Lo spamming a fini di profitto è reato. Dura reprimenda del garante per la privacy contro linvio di e-mail pubblicitarie indesiderate

Garante per la protezione dei dati personali, Comunicato stampa 3 settembre 2003

Lo spamming a fini di profitto è un reato

Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge. Se questa attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il fatto può essere denunciato allautorità giudiziaria. Sono previste varie sanzioni e, nei casi più gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si omette di indicare in modo chiaro il mittente del messaggio e lindirizzo fisico presso il quale i destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati.

Il Garante per la protezione dei dati personali ha posto in chiara evidenza i profili penali tornando ad occuparsi con un provvedimento generale del fenomeno dello spamming, cioè dellinvio massiccio ed indiscriminato di messaggi pubblicitari non richiesti, che interessa singoli utenti Internet e piccole e medie imprese costrette a sopportare vari costi. Oltre a rappresentare una fastidiosa intrusione, lo spamming comporta infatti ingenti spese, in termini di tempo, di costi di utilizzazione della linea telefonica, di misure organizzative e tecnologiche per contrastare virus, tentate truffe, messaggi e immagini inadatti a minori, riversando sugli utenti i costi di una pubblicità a volte aggressiva e insistente.

Dopo una serie di interventi mirati che hanno portato a sospendere lattività illecita di alcune aziende e persone fisiche e a denunciarne talune allautorità giudiziaria, e di linee comuni concordate su scala europea, il Garante ha adottato un nuovo provvedimento per precisare vari aspetti legati allinvio in Internet di e-mail promozionali o pubblicitarie, anche alla luce del recepimento della recente direttiva europea avvenuto con il Codice in materia di protezione dei dati personali da poco pubblicato decreto legislativo n. 196/2003, in www.garanteprivacy.it).

Chi intende utilizzare le e-mail per comunicazioni commerciali e promozionali senza mettere in atto comportamenti illeciti deve tenere presente che:

1. è necessario il consenso informato del destinatario. Gli indirizzi e-mail recano dati personali e il fatto che essi possano essere reperiti facilmente su Internet non implica il diritto di utilizzarli liberamente per qualsiasi scopo, come per linvio di messaggi pubblicitari: in particolare, i dati di chi partecipa a newsgroup, forum, chat, di chi è inserito in una lista anagrafica di abbonati ad un Internet provider o ad una newsletter, o i dati pubblicati su siti web di soggetti privati o di pubblici per fini istituzionali. Gli indirizzi e-mail, insomma, non sono pubblici nel senso corrente del termine;

2. il consenso è necessario anche quando gli indirizzi e-mail sono formati ed utilizzati automaticamente mediante un software, senza verificare se essi siano effettivamente attivati e a chi pervengano, e anche quando non sono registrati dopo linvio dei messaggi;

3. il consenso del destinatario deve essere chiesto prima dellinvio e solo dopo averlo informato chiaramente sugli scopi per i quali i suoi dati personali verranno usati: vale dunque la regole dellopt-in, cioè del accettazione preventiva di chi riceve le e-mail, non del rifiuto a posteriori (opt-out);

4. non è ammesso linvio anonimo di messaggi pubblicitari, cioè senza lindicazione della fonte di provenienza del messaggio o di coordinate veritiere. E comunque opportuno indicare nelloggetto del messaggio la sua tipologia pubblicitaria o commerciale;

5. chi detiene i dati deve sempre assicurare agli interessati la possibilità di far valere i diritti riconosciuti dalla normativa sulla privacy (revoca del consenso, richiesta di conoscere la fonte dei dati, cancellazione dei dati dallarchivio etc.);

6. chi acquista banche dati con indirizzi di posta elettronica è tenuto ad accertare che ciascuno degli interessati presenti nella banca dati abbia effettivamente prestato il proprio consenso allinvio di materiale pubblicitario;

7. la formazione di appositi elenchi di chi intende ricevere e-mail pubblicitarie o di chi è contrario (le cosiddette black list) non deve comportare oneri per gli interessati.

Lautorità ha disposto per unampia serie di destinatari un ulteriore divieto dellattività, già illecita in base alla legge, indicando alcune modalità per tutelare i diritti degli interessati anche di fronte allautorità giudiziaria penale o in caso di e-mail provenienti dallestero.

Le sanzioni per chi viola le disposizioni di legge vanno dalla multa, in particolare per omessa informativa allutente (fino a 90mila euro); alla sanzione penale qualora luso illecito dei dati sia stato effettuato al fine di trarne per sé o per altri un profitto o per arrecare ad altri un danno (reclusione da 6 mesi a 3 anni). E prevista anche la sanzione accessoria della pubblicazione della pronuncia penale di condanna o dellordinanza amministrativa di ingiunzione.

Ulteriori conseguenze possono riguardare leventuale risarcimento del danno e le spese in controversia giudiziaria o amministrativa.

Il provvedimento del Garante è consultabile sul sito www.garanteprivacy.it

Roma 3 settembre 2003