Diritto

Spam: dalla padella alla… mail!

di Micol Nantiat

La carne di maiale in scatola “Spam” è diventata nota negli Stati Uniti non solo per la sua scarsa qualità, ma soprattutto per un tormentone dello spettacolo televisivo di Monty Python’s Flying Circus: il menù proposto dalla cameriera di un locale ai suoi clienti è costantemente composto dalla carne Spam. Salsicce e spam, uova e spam, uova, pancetta e spam. Dall’insistenza e ossessiva presenza della carne in scatola, la parola spam è diventata un vocabolo chiave del gergo dei cibernauti e indica la diffusione ripetitiva di e-mail spazzatura indesiderate[1].

L’attività di spamming è svolta non solo attraverso e-mail ma anche tramite sms, mms e altri mezzi di comunicazione che si affiancano ai progressi delle tecnologie. Il suo scopo è l’invio di comunicazioni indesiderate a fini commerciali[2]; da qui anche il termine UCE, ossia unsolicited commercial e-mail. Una volta acquisiti gli indirizzi, gli spammer noleggiano o vendono alle società di marketing tali elenchi elettronici per trarne profitto. Lo spam in senso stretto non è da confondere tuttavia con il phishing che ha lo scopo di ottenere illecitamente dati finanziari, personali e/o password dei destinatari, ovvero inviare software pirata, farmaci privi di ricetta medica, falsi indirizzi di posta elettronica di istituti bancari.

Non solo i dati sono spesso utilizzati senza il nostro consenso, ma in aggiunta i costi dello spamming in termini economici e temporali per gli utenti e per i server providers sono spesso sottovalutati. Secondo l’Unione Europea, nel 2006 lo spam rappresentava tra il 50 e l’80% dei messaggi indirizzati agli utilizzatori finali[3]. È stato stimato che se un utente ricevesse soltanto 5 e-mail di spam al giorno e dedicasse 30 secondi ad ognuna, sprecherebbe 15 ore all’anno a causa della posta indesiderata[4]. Se a ciò aggiungiamo la possibilità di contrarre virus, i costi in termini di banda larga e la perdita di credibilità dei server provider, si può facilmente capire l’importanza di una normativa chiara ed efficace che contrasti l’attività indiscriminata di spamming.

Esistono due approcci distinti alla questione: il modello opt-in tipico della legislazione comunitaria europea e il modello opt-out che caratterizza, tra gli altri, il sistema statunitense. Risulta fondamentale conoscere entrambe i modelli considerate le peculiarità della Rete che consentono all’utente di ricevere UCE non solo all’interno del proprio ordinamento, ma anche e soprattutto da mittenti legati a normative differenti. Ne consegue che il mittente di UCE dovrà prima informarsi sulla normativa vigente nel paese in cui intende inviare spam così da non incorrere in spiacevoli reclami.

L’approccio opt-in prevede che i destinatari di messaggi di spam non abbiano alcun onere se non decidere se dare o no il consenso all’invio di materiale pubblicitario: il mittente è colui che deve richiedere e ottenere tale consenso. L’opt-in è un sistema snello che consente una regolamentazione breve, semplice e volta alla protezione della privacy degli utenti; nella legislazione comunitaria ha preso le sembianze della Direttiva 2002/58/CE. Questo approccio è equiparabile ai sistemi automatizzati di chiamata e apparecchi fax poiché richiede un consenso preventivo; in aggiunta, è proibito l’uso di falsi indirizzi di risposta[5].

Al contrario, l’opt-out richiede una normativizzazione lunga, complessa e destinata a proteggere il mercato. Infatti, in questo caso è il potenziale destinatario che deve dichiarare espressamente di non voler ricevere UCE. Se l’UE vuole tutelare gli utenti al fine di evitare che dati personali vengano utilizzati indiscriminatamente per fini commerciali, il sistema statunitense, legato ai principi di libertà del mercato, supporta invece l’attività di promozione economica dello spammer consentendo all’utente di decidere ex post se continuare a ricevere tali messaggi. È evidente che l’opt-out del CAN-SPAM Act statunitense prevede tale possibilità solo per i messaggi che abbiano contenuti promozionali di servizi e/o prodotti. Quando gli scopi di carattere commerciale vengono meno -come nel caso del phishing– le UCE ricadono tra i messaggi fraudolenti e quindi non tutelati dalla normativa.

L’utente internet medio spesso non è al corrente delle tutele previste in suo favore e delle modalità per garantirle -in Italia ad esempio è possibile effettuare istanze, reclami, segnalazioni e presentare ricorso al Garante della privacy.

In primo luogo è possibile inviare un’istanza al titolare o al responsabile (se designato) dei messaggi di spam affinché cessi l’utilizzo dell’indirizzo di posta elettronica non autorizzato. Sul sito web del Garante della privacy è disponibile un modulo pre-compilato per agevolare l’uso di questo strumento.

In caso di mancato o insoddisfacente riscontro, l’utente ha due possibilità non cumulabili: rivolgersi a un giudice -che, accertata il carattere indesiderato della violazione, può disporre un risarcimento del danno- ovvero al Garante della privacy. Nel secondo caso, il destinatario di UCE può presentare un reclamo con cui denunciare al Garante una violazione della disciplina in materia di protezione dei dati personali. A tal fine, deve indicare i fatti e le circostanze su cui si basa il reclamo stesso, le norme ritenute violate, le misure richieste e gli estremi del titolare, del responsabile (se conosciuto) e dell’istante. La misura pone le basi per un’istruttoria preliminare e un eventuale procedimento amministrativo, che a sua volta può prescrivere il blocco del trattamento, ovvero l’adozione di misure per rendere il trattamento conforme alla normativa (caso Peppermint).

Essendo il reclamo a pagamento, l’utente può anche utilizzare lo strumento gratuito della segnalazione al Garante, finalizzata a sollecitarne l’esercizio dell’attività di controllo. La segnalazione deve contenere tutti gli elementi utili al Garante per decidere sulla violazione del diritto alla privacy e ottenere, come nel reclamo, un’istruttoria preliminare e un procedimento amministrativo (caso Google Street View).

Ultimo strumento che può essere utilizzato per combattere lo spam è il ricorso al Garante. Trattasi di un atto formale volto a far valere i diritti previsti all’articolo 7 del Codice sulla privacy. In questo caso, le parti possono richiedere che il Garante disponga una condanna alle spese nei confronti del soccombente, restando salva la compensazione delle spese per giusto motivo. Se il Garante ritiene che il ricorso sia fondato può ordinare la cessazione dello spamming secondo le modalità più idonee ed entro un termine congruo. Tuttavia, il silenzio decorsi sessanta giorni dalla data di presentazione del ricorso equivale a diniego. Contro il provvedimento (espresso o tacito) del Garante è possibile ricorrere dinanzi al tribunale di residenza del titolare del trattamento.

La difficoltà per i servizi di spamming sta quindi nell’identificare le normative di riferimento dei destinatari di UCE. Per far fronte alla complessità e alle differenze normative, alcuni spammer utilizzano un approccio di opt-in indipendentemente dal paese di origine e destinazione. Quale sia l’approccio migliore non è dato saperlo. Se con l’opt-in si vuole tentare di limitare le possibilità di “infastidire” gli utenti in termini di tempo e sicurezza delle comunicazioni, l’opt-out vuole garantire la possibilità agli operatori economici di proporre ai potenziali clienti i propri servizi e/o prodotti consentendo all’utente di valutare tutte le offerte del mercato e decidendo liberamente, solo dopo averne consultato i contenuti, di essere eliminato dalle liste dei destinatari. In entrambe i casi si è di fronte a un dilemma: sacrificare la libertà di mercato – e (forse?) il diritto all’informazione – o cedere parte del nostro diritto alla privacy? Se la soluzione sta nel mezzo, si auspica una terza soluzione che renda le UCE meno invasive per i destinatari e garantisca al contempo la possibilità per gli operatori economici di raggiungere i clienti.


Bibliografia

Gambino M., A. Stazi, Diritto dell’informatica e della comunicazione, Giappichelli, Torino, 2012.
Gfi-Italia, Come tenere lontano lo spam dalla rete, White Paper, 2006 http://www.pmi.it/file/whitepaper/000072.pdf
Lugaresi N., La tutela della privacy on-line in ambito comunitario: profili interpretativi, in GIUSTAMM.IT, v. 1, n. 5 (2004), p. 482-494.

Legislazione

Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni. Sulla lotta contro le comunicazioni commerciali indesiderate (spam), i programmi spia (spyware) e i software maligni. 15.11.2006 COM(2006) 688.
D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva relativa alla vita privata e alle comunicazioni elettroniche).
The Can-Spam Act 2003

Note

[1] Gambino M., A. Stazi (2012), pag. 40.

[2] Definizione di spam secondo la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002.

[3] Comunicazione della Commissione 15.11.2006 COM(2006) 688.

[4] Gfi-Italia (2006), pag. 2.

[5] Lugaresi N., La tutela della privacy on-line in ambito comunitario: profili interpretativi, in GIUSTAMM.IT, v. 1, n. 5 (2004), p. 482-494.