La normativa comunitaria ed italiana in tema di spam

UNIVERSITÀ DEGLI STUDI DI UDINE
FACOLTÀ DI GIURISPRUDENZA
DIPARTIMENTO DI SCIENZE GIURIDICHE
Udine, 4 maggio 2007
La normativa comunitaria e italiana
in tema di spam
© Andrea Sirotti Gaudenzi
Avvocato
Professore a contratto nell’Università di Padova
1
Domande preliminari
 Cos’è
la privacy?
 Cos’è la protezione dei dati personali?
 Cosa sono i dati personali ?
 Esistono regole in tema di sicurezza
informatica ?
 Esiste la sicurezza assoluta ?
© Studio legale Sirotti Gaudenzi
2
Utopia di Thomas More
© Studio legale Sirotti Gaudenzi
3
Le fonti della disciplina
 Fonti
internazionali (art. 8 Convenzione CEDH)
 Fonti comunitarie (direttive 95/46 e 2002/58)
 Fonti nazionali (d. lgs. 196/2003)
© Studio legale Sirotti Gaudenzi
4
Direttiva 2002/58/CE

La direttiva (12 luglio 2003) si occupa del
trattamento dei dati personali e alla tutela della
vita privata nel settore delle comunicazioni
elettroniche
 La riservatezza nelle comunicazioni è garantita
conformemente agli strumenti internazionali
relativi ai diritti dell’uomo, in particolare alla
Convenzione europea per la protezione dei diritti
dell'uomo e delle libertà fondamentali e alle
costituzioni degli Stati membri.
© Studio legale Sirotti Gaudenzi
5
Direttiva 2002/58/CE



Gli abbonati ad un servizio di comunicazione elettronica
accessibile al pubblico possono essere persone fisiche o
persone giuridiche.
La direttiva, integrando la direttiva 95/46/CE, è volta a
tutelare i diritti fondamentali delle persone fisiche e in
particolare il loro diritto alla vita privata, nonché i legittimi
interessi delle persone giuridiche.
La direttiva non comporta in alcun caso per gli Stati
membri l’obbligo di estendere l'applicazione della direttiva
95/46/CE alla tutela dei legittimi interessi delle persone
giuridiche, tutela che è assicurata nel quadro della vigente
normativa comunitaria e nazionale.
© Studio legale Sirotti Gaudenzi
6
Direttiva 2002/58/CE

La direttiva prevede la tutela dei legittimi
interessi degli abbonati che sono persone
giuridiche (art. 1)
 La direttiva si applica al trattamento dei dati
personali connesso alla fornitura di servizi
di comunicazione elettronica accessibili al
pubblico su reti pubbliche di comunicazione
nella Comunità (art. 3)
© Studio legale Sirotti Gaudenzi
7
Pubblicità - 1


«qualsiasi forma di messaggio che sia diffuso, in qualsiasi
modo, nell’esercizio di un’attività commerciale,
industriale, artigianale o professionale allo scopo di
promuovere la vendita di beni mobili o immobili, la
costituzione o il trasferimento di diritti ed obblighi su di
essi oppure la prestazione di opere o di servizi» (art. 20
Cod. consumo)
Si esprime “principio generale” di trasparenza e di
correttezza della comunicazione pubblicitaria che
impone all’operatore pubblicitario di esplicitare nel
messaggio, con chiarezza ed autonoma evidenza, oggetto
e contenuto delle condizioni e i limiti cui è subordinata
la fruizione dell’oggetto della reclame (AGCM, 14
ottobre 2004, in Giust. civ., 2005)
© Studio legale Sirotti Gaudenzi
8
Pubblicità - 2

Il secondo comma dell’art. 19 del codice dispone che la
pubblicità debba essere:
1.
2.
3.
palese;
veritiera;
corretta.

In virtù dell’art. 20, è ingannevole «qualsiasi pubblicità
che in qualunque modo, compresa la sua presentazione
sia idonea ad indurre in errore le persone fisiche o
giuridiche alle quali è rivolta o che essa raggiunge e che,
a causa del suo carattere ingannevole, possa pregiudicare
il loro comportamento economico ovvero che, per
questo motivo, sia idonea ledere un concorrente».
© Studio legale Sirotti Gaudenzi
9
Spam
© Studio legale Sirotti Gaudenzi
10
Lo spamming

SPAM - spiced pork and ham
 DISAGI:
1) i messaggi non sono richiesti e, quindi, creano
una perdita di tempo;
2) l’utente, per scaricare tali messaggi, paga un
costo di connessione non preventivato;
3) il traffico delle comunicazioni viene allentato a
causa di questi messaggi non desiderati.
© Studio legale Sirotti Gaudenzi
11
Dubbio
 Opt-out
 Opt-in
© Studio legale Sirotti Gaudenzi
12
Opt - out

La soluzione opt-out comporta una prima presa di
contatto da parte dello spammer.
 Al destinatario viene data la possibilità di scegliere
se ricevere ancora e-mail commerciali (ad es., un
collegamento attivo "unsubscribe“).
 Se il destinatario non fa uso della soluzione optout, accetta in modo implicito di ricevere altra
posta.
© Studio legale Sirotti Gaudenzi
13
Opt - in

La soluzione opt-in impone il consenso
esplicito del destinatario di messaggi
commerciali.
 Il mittente deve quindi ottenere il consenso
del cliente prima di procedere al primo
invio.
© Studio legale Sirotti Gaudenzi
14
Lo spamming nel commercio elettronico
L’art. 9 del d. lgs. n. 70/2003 si occupa di “comunicazione
commerciale non sollecitata”
 Fatti salvi gli obblighi (già) previsti dal decreto legislativo
22 maggio 1999, n. 185 e dal decreto legislativo 13 maggio
1998, n. 171, le comunicazioni commerciali non sollecitate
trasmesse da un prestatore per posta elettronica devono, in
modo chiaro e inequivocabile, essere identificate come tali
fin dal momento in cui il destinatario le riceve e contenere
l'indicazione che il destinatario del messaggio può opporsi
al ricevimento in futuro di tali comunicazioni.
 La prova del carattere sollecitato delle comunicazioni
commerciali spetta al prestatore.
 Il modello dell’opt-out sembra essere in contrasto con le
indicazioniofferte dalla direttiva 2002/58/CE.

© Studio legale Sirotti Gaudenzi
15
Il D. L.gs. 30 giugno 2003 n. 196
Per dato personale deve intendersi “qualunque informazione
relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale”.
 Ai sensi dell’art. 23 comma I del Codice il trattamento di dati
personali può avvenire normalmente solo in virtù di consenso
dell’interessato.
 In determinate ipotesi, previste dall’art. 24 comma I, il
trattamento può avvenire senza necessità di consenso, come nel
caso di trattamento dei dati provenienti da pubblici registri,
elenchi, atti o documenti conoscibili da chiunque (lett. c).

© Studio legale Sirotti Gaudenzi
16
Il D. L.gs. 30 giugno 2003 n. 196




L’art. 130 si occupa delle comunicazioni indesiderate
(“L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore
per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di
ricerche di mercato o di comunicazione commerciale è consentito con il
consenso dell'interessato”)
Si fa riferimento anche a: posta elettronica, telefax, messaggi del tipo Mms o Sms
o di altro tipo.
Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a
fini di vendita diretta di propri prodotti o servizi, le coordinate di posta
elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di
un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di
servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente
informato, non rifiuti tale uso, inizialmente o in occasione di successive
comunicazioni. L’interessato, al momento della raccolta e in occasione dell'invio
di ogni comunicazione effettuata per le finalità di cui al presente comma, è
informato della possibilità di opporsi in ogni momento al trattamento, in maniera
agevole e gratuitamente.
E’ vietato lo spoofing
© Studio legale Sirotti Gaudenzi
17
L’intervento del Garante



11 gennaio 2001
E’ infondata la tesi secondo cui, con la partecipazione a
forum e newsgroup, l'utente "decide di pubblicare (cioè di
rendere pubblico) il proprio indirizzo di posta elettronica"
ed "è consapevole che quell'indirizzo, quel dato, potrà
esser letto ed acquisito da chiunque si trovi "a passare"
dalla pagina web interessata".
La circostanza che gli indirizzi di posta elettronica possano
essere reperiti con una certa facilità in Internet non
comporta il diritto di utilizzarli liberamente per inviare
messaggi pubblicitari
© Studio legale Sirotti Gaudenzi
18
L’intervento del Garante

29 maggio 2003
 Spamming
 Regole per un corretto invio delle e-mail
pubblicitarie
 Provvedimento generale
© Studio legale Sirotti Gaudenzi
19
L’intervento del Garante

Gli indirizzi di posta elettronica recano dati
di carattere personale da trattare nel rispetto
della normativa in materia
 La loro utilizzazione per scopi promozionali
e pubblicitari è possibile solo se il soggetto
cui riferiscono i dati ha manifestato in
precedenza un consenso libero, specifico e
informato.
© Studio legale Sirotti Gaudenzi
20
L’intervento del Garante


Il consenso è necessario anche quando gli indirizzi sono
formati ed utilizzati automaticamente con un software
senza l’intervento di un operatore, o in mancanza di una
previa verifica della loro attuale attivazione o dell’identità
del destinatario del messaggio, e anche quando gli indirizzi
non sono registrati dopo l’invio dei messaggi.
Questo assetto, basato su una scelta dell’interessato c.d. di
opt-in, è stato ribadito nel 1998 (con il d.lg. n. 171) prima
ancora che una recente direttiva comunitaria lo estendesse
a tutti i Paesi dell’Unione europea (n. 2002/58/CE in fase
di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201
del 31 luglio 2002).
© Studio legale Sirotti Gaudenzi
21
I RISCHI
© Studio legale Sirotti Gaudenzi
22
Illeciti penali
Art. 167
Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno,
procede al trattamento di dati personali in violazione di quanto
disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in
applicazione dell’articolo 129, è punito, se dal fatto deriva
nocumento, con la reclusione da sei a diciotto mesi o, se il fatto
consiste nella comunicazione o diffusione, con la reclusione da sei
a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarne per sé o per altri profitto o di recare ad altri un danno,
procede al trattamento di dati personali in violazione di quanto
disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e
45, è punito, se dal fatto deriva nocumento, con la reclusione da
uno a tre anni.
© Studio legale Sirotti Gaudenzi
23
Tuttavia …
© Studio legale Sirotti Gaudenzi
24
Cass., sez. III, 15 febbraio 2005,
n. 5728

Il fatto che un soggetto comunichi i dati
personali di un altro soggetto, reperiti in
rete, ad alcuni provider, non integra gli
estremi dei delitti previsti dai commi 1 e 2
dell’art. 167 d.lgs. n. 196/2003.
 In assenza di nocumento, non sono
configurabili gli estremi del reato previsto
dall’art. 167 d.lgs. n. 196/2003.
© Studio legale Sirotti Gaudenzi
25
Cass., sez. III, 15 febbraio 2005,
n. 5728

Uso del nome di un personaggio
celebre all’interno di chat erotici
 Iscrizione di un ammiratore di una
nota sportiva a servizi erotici
utilizzando i dati della propria
beniamina
© Studio legale Sirotti Gaudenzi
26
Cass., sez. III, 15 febbraio 2005,
n. 5728

I dati di un personaggio celebre sono
“dati pubblici”
 L’attività posta in essere
dall’imputato non cagiona alcun
nocumento alla celebre sportiva
© Studio legale Sirotti Gaudenzi
27
Art. 170
Illeciti penali
Inosservanza di provvedimenti del Garante
Chiunque, essendovi tenuto, non osserva il
provvedimento adottato dal Garante ai sensi degli
articoli 26, comma 2, 90, 150, commi 1 e 2, e 143,
comma 1, lettera c), è punito con la reclusione da tre
mesi a due anni.
© Studio legale Sirotti Gaudenzi
28
Attività pericolosa

Anche nel Codice il trattamento di dati è
parificato all’esercizio di attività
pericolose ex art. 2050 c.c.
 Sostanzialmente, di fronte a danni
riconducibili al trattamento dei dati, la
società dovrà provare di avere fatto tutto
quanto era possibile fare per evitare i
danni.
© Studio legale Sirotti Gaudenzi
29
Grazie per la cortese attenzione
Andrea R. Sirotti Gaudenzi
Studio legale Sirotti Gaudenzi
www.studiosirottigaudenzi.it
[email protected]
Elephas indus culices non timet
30