Privacy e consenso: via mail, via sms, via telefono..

Ecco la seconda parte del post marketing e tutela dei dati personali. Un po’ di definizioni e riferimenti utili per chi si interessa al settore. Visto che viviamo in un momento di invasione di posta indesiderata (spam), ecco un po’ di chiarezza..

Principi generali vigenti

L’articolo 130, commi 1 e 2, del D.Lgs 196/03, intitolato alle “Comunicazioni indesiderate”, subordina la possibilità di utilizzare i sistemi automatici di chiamata, senza l’intervento dell’operatore, e le comunicazioni elettroniche tramite fax, posta elettronica, SMS ed MMS, al fine dell’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, al previo consenso del soggetto interessato.
Al di fuori delle ipotesi appena menzionate, il paragrafo 3 dell’articolo 13 della direttiva 2002/58/CE ha consentito alle normative dei singoli Stati Membri di individuare gli strumenti più opportuni mediante i quali impedire tutte le altre forme di comunicazione non desiderate (ad esempio le chiamate vocali non automatizzate di telefonia fissa o mobile) scegliendo tra un sistema di “opt-in” oppure di “opt-out”.
Nel merito il legislatore italiano si è espresso con il comma 3 dell’articolo 130 citato, optando per un sistema del primo tipo (opt-in) che si realizza attraverso l’applicazione del principio del consenso o, in alternativa, l’esistenza di una delle fattispecie che, ai sensi dell’articolo 24, permettono un trattamento dei dati anche senza consenso.
In ogni caso, comunque, il successivo comma 5 dell’art. 130 vieta qualsiasi forma di comunicazione, per le finalità indicate, effettuata camuffando o celando l’identità del mittente o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i propri diritti.
E’ evidente in tal caso l’interesse del legislatore ad evitare tutte quelle situazioni che possano comportare di fatto un aggiramento delle disposizioni di legge, soprattutto per ciò che concerne l’esercizio dei diritti da parte degli interessati.
In effetti il codice della privacy appresta una particolare tutela del cd. diritto “ad essere lasciati in pace” attraverso l’articolo 7, comma 4 lett. b) che attribuisce ai soggetti interessati il diritto di opporsi, in tutto od in parte, al trattamento dei dati personali che li riguardano per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. ‘, infine, il caso di notare che il principio del consenso trova una ulteriore conferma in materia di contratti a distanza stipulati dai consumatori. ispone infatti l’articolo 58, comma 1, del D.Lgs 206/2005 che “L’impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax richiede il consenso preventivo del consumatore”.

Comunicazioni tramite l’utilizzo dei servizi di posta elettronica

La possibilità di svolgere attività promozionali o di commercializzazione diretta mediante la posta elettronica deve ritenersi subordinata, sulla base dei principi appena esaminati, al previo consenso dell’interessato.
Il Garante della privacy ha ribadito che gli indirizzi di posta elettronica contengono dati personali, da trattare nel rispetto della normativa vigente, e che il consenso assume un connotato autorizzativo di tipo positivo, tale per cui l’eventuale silenzio dell’interessato comporta diniego e non rileva come assenso tacito all’invio di messaggi (6).
Questo vincolo è operante a prescindere dalla facilità con la quale sia possibile reperire un indirizzo di posta e dal fatto che esso sia pubblicato sulla rete Internet e, dunque, trova applicazione in una vasta congerie di casi:
– indirizzi generati ed utilizzati automaticamente mediante software senza l’intervento di un operatore;
– indirizzi degli utenti che prendono parte ad un gruppo di discussione;
– indirizzi compresi negli elenchi degli abbonati a particolari servizi;
– indirizzi pubblicati in siti web da soggetti pubblici o privati;
– indirizzi presenti nelle registrazioni dei nomi di dominio Internet;
– qualsiasi altro indirizzo reperito, in qualunque modo, sulla rete Internet;

Il consenso può essere prestato con ogni modalità tale da renderlo una libera manifestazione di volontà dell’interessato, espressa con riferimento ad una specifica finalità e sulla base di una idonea informativa contenente le indicazioni richieste dalla legge. Se ricorrono tali requisiti il consenso può anche essere raccolto a voce, purchè esso sia inequivoco, e, comunque,  sia sempre documentato in modo scritto. Il richiamo all’esistenza di una specifica finalità, secondo l’interpretazione fornita dal gruppo di lavoro sulla tutela dei dati personali, previsto dall’articolo 29 della direttiva 95/46/CE, postula la necessità che la manifestazione di una volontà positiva sia accompagnata da una esplicita indicazione della tipologia di prodotti o di servizi per i quali possono essere inviati messaggi promozionali (5).
Alla luce di queste premesse, il Garante ritiene, pertanto, una elusione della normativa la prassi consistente nel richiedere il consenso dell’interessato attraverso una prima email, avente comunque un contenuto promozionale, oppure riconoscendo al soggetto un semplice diritto di “opt-out”, cioè in pratica la facoltà di attivarsi al fine di non ricevere più messaggi dello stesso tipo. Al contrario, invece, appare congrua la prestazione del consenso attraverso la registrazione in un sito web, purchè accompagnata da una successiva sollecitazione a confermare la registrazione stessa.
Con riferimento a tale ultimo caso il Garante, tuttavia, sottolinea che i sistemi informativi del sito web devono essere configurati o progettati con l’intento di permettere all’interessato l’esercizio del proprio diritto all’autodeterminazione informativa.
Questo comporta la necessità di predisporre delle opzioni di scelta di tipo positivo – ad esempio caselle da selezionare piuttosto che già preselezionate – poichè, così facendo, l’utente viene effettivamente messo nella condizione di esprimere liberamente la propria scelta in ordine alle finalità da perseguire (9).

Comunicazioni tramite l’utilizzo degli SMS

Anche in materia di messaggi veicolati tramite il servizio SMS (Short Message System) il Garante ha confermato l’assoluta imprescindibilità del consenso quale “conditio sine qua non” per un valido trattamento dei dati.
Il principio trova applicazione sia nel caso di sms spediti da un fornitore di servizi di telefonia, per conto proprio o di terzi, sia nell’ipotesi di sms inviati da soggetti differenti sia, infine, nel caso in cui i numeri telefonici dei destinatari siano individuati sulla base di una mera generazione automatica, tramite software, e non estrapolati da elenchi di utenze (7).
L’autorità, prendendo spunto dall’analisi di una serie di reclami, ha in particolare chiarito che il consenso deve essere sempre libero, al punto che non può ritenersi tale una manifestazione di volontà ricevuta esclusivamente sulla base della sua presunta necessità ai fini della successiva stipula di un contratto.
A ben vedere, infatti, il consenso viene in tal caso snaturato per il fatto che il soggetto “deve” prestarlo al fine di ottenere la prestazione desiderata, con l’ulteriore rischio che i dati così raccolti siano, in realtà, utilizzati per uno scopo diverso da quello originario, in palese violazione del principio della finalità di cui all’articolo 11, comma 1, lett. b) del codice (9).
Per le medesime ragioni deve considerarsi invalido l’inserimento, tra gli obblighi contrattuali, di una dichiarazione standard d’impegno alla ricezione di sms dal contenuto non meglio precisato, così come l’unilaterale presentazione di sms, dal contenuto tipicamente promozionale, alla stregua di semplici messaggi di servizio.
Anche le cd. clausole di stile, spesso inserite nel contesto di una informativa (“I dati da lei forniti saranno trattati secondo quanto previsto dalla normativa…”), sono da considerarsi contra legem allorquando esse siano prive della maggior parte delle informazioni richieste dall’art. 13 del codice.

Comunicazioni tramite l’utilizzo degli apparati telefax

Quanto fin esposto ha formato oggetto di ulteriore conferma anche con riferimento alla spedizione di messaggi pubblicitari mediante sistemi telefax (8).

Teleselling

Con alcuni provvedimenti, diffusi in data 15 giugno 2007 (12), il Garante si è occupato del crescente fenomeno del cd. teleselling, consistente nella promozione e nella vendita diretta di prodotti e servizi per mezzo del tradizionale servizio telefonico. Tenuto conto dei particolari connotati di invasività del fenomeno e del fatto che i dati venissero, spesso, trattati in palese violazione della normativa vigente, l’Autorità ha posto il generale divieto di effettuare telefonate in assenza di un consenso dell’interessato e senza che quest’ultimo sia stato preventivamente informato sulle caratteristiche del trattamento dei dati che lo riguardano. Con i medesimi provvedimenti è stato intimato a società telefoniche e call center di cessare ogni forma di trattamento illecito dei dati in essere e di inoltrare una informativa avente ad oggetto lo stato di implementazione delle misure tecniche, organizzative e procedurali, richieste dalla vigente normativa, da realizzare comunque entro il termine perentorio del 10 settembre 2007.

Le comunicazioni di servizi e prodotti analoghi

Il codice riserva un trattamento peculiare all’ipotesi della comunicazione elettronica di natura commerciale relativa a rapporti instaurati con i propri clienti. Dispone al riguardo l’art. 130, comma 4, che “Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”.
Poiché la norma pone una eccezione al principio generale della richiesta di consenso, la stessa deve ritenersi suscettibile di una interpretazione restrittiva. Nella fattispecie presa in considerazione gli interessati devono avere, evidentemente, fornito, in occasione di una precedente vendita, le proprie coordinate elettroniche: se così è, allora i mittenti dei messaggi possono essere le sole entità titolari dei dati.
Un problema che si pone, al riguardo, è quello di determinare la finestra temporale entro la quale si possa presumere, come validamente prestato, il consenso a ricevere ulteriori messaggi: si tratta di una questione che appare logico affrontare partendo dal presupposto della ragionevolezza del tempo intercorso tra la precedente vendita ed il successivo invio dei messaggi. Ulteriore condizione è quella relativa alla necessità che l’oggetto dei messaggi sia rappresentato da prodotti o servizi analoghi a quelli già forniti. Infine, ma non per questo meno importante, c’è l’assenza di un rifiuto da parte dell’interessato all’uso dei propri recapiti per le finalità indicate.
A questo proposito la norma specifica che all’interessato deve essere comunicata la possibilità di opporsi, non soltanto nel momento iniziale della raccolta dei dati, ma anche successivamente in occasione di ogni comunicazione, e ciò per l’evidente esigenza di garantire l’esercizio di un effettivo diritto di opposizione.

Acquisto di banche dati e comunicazione per conto di terzi

Nel caso di acquisizione di banche dati da parte di terzi l’acquirente deve accertare che ciascun interessato abbia validamente prestato il consenso alla comunicazione dei dati ed al successivo utilizzo dei propri recapiti elettronici per l’invio di materiale di natura promozionale (6).
Al momento della registrazione l’acquirente deve inviare a tutti i soggetti interessati l’informativa, di cui all’articolo 13, comprendente l’indicazione di un luogo fisico, e non soltanto elettronico, presso il quale è possibile esercitare i propri diritti.
Una considerazione analoga va fatta con riferimento alle ipotesi di comunicazioni inoltrate da società specializzate per conto di terzi committenti. Anche queste società che, spesso, utilizzano gli indirizzi presenti in banche dati proprietarie, sono, infatti, tenute a rispettare le disposizioni in materia di informativa e di consenso, soprattutto per ciò che concerne l’eventuale comunicazione dei dati personali ai committenti medesimi e le inerenti finalità del trattamento.

Responsabilità e risarcimento dei danni

Le conseguenze derivanti da un trattamento illecito dei dati possono essere distinte sotto il profilo penale e civile.
Dal primo punto di vista ricordiamo, innanzitutto, la disposizione dell’articolo 167 del codice della privacy secondo la quale, salvo che il fatto non costituisca reato più grave, il trattamento illecito dei dati, diretto a procurare a sé o ad altri profitto o ad arrecare ad altri un danno, è punibile con la reclusione da sei a diciotto mesi oppure da sei a ventiquattro mesi, rispettivamente, se dal fatto deriva nocumento o se il fatto consiste nella comunicazione o diffusione.
Sul tema si è pronunciata la Corte di Cassazione osservando che, per effetto della novella introdotta dall’articolo 167 del codice, il reato di trattamento illecito dei dati si è trasformato da reato di pericolo presunto a reato di pericolo concreto.
Dunque, ai fini della configurabilità del nocumento, al quale fa esplicito riferimento la norma citata, è necessario che ricorra un danno patrimoniale apprezzabile e non delle semplici inosservanze o irregolarità procedimentali che cagionano un vulnus minimo all’identità del soggetto ed alla sua privacy (Cass. pen., Sez. III, 09/07/2004 nr. 30134).
Rimanendo sempre nello stesso ambito, va ricordato che l’insistenza con la quale sono state instaurate comunicazioni non desiderate, soprattutto per mezzo del servizio telefonico o tramite SMS, ha portato, in alcune circostanze, alla contestazione della fattispecie della molestia o del disturbo delle persone, ai sensi dell’art. 660 del codice penale (Cass. pen., Sez. III, 26/03/2994 nr. 28680, Cass. pen., Sez I, 11/05/2006 nr. 16215).
Sul piano civile, invece, diverse pronunce ammettono la sussistenza di una responsabilità, sia sotto l’aspetto del trattamento illecito dei dati, sia per ciò che concerne l’indebita invasione della riservatezza idonea ad arrecare disagio all’individuo, con la conseguente condanna al risarcimento dei danni (Giudice di Pace di Napoli, 10 giugno 2004, Giudice di Pace di Napoli, 26 giugno 2004).
In un caso particolare il Tribunale è anche giunto a stimare, in via equitativa, il danno risarcibile, fissando un importo risarcitorio di 1000 euro per sms ricevuto (Trib. Latina, sez. dist. Terracina, 19 giugno 2006).

Conclusioni

Qualunque attività, svolta per le finalità indicate dalla legge, che si avvale degli strumenti messi a disposizione dalle moderne tecnologie informatiche, telematiche od elettroniche non può, ormai, ritenersi esente dalla acquisizione di un valido consenso da parte degli interessati, pena il rischio della insorgenza di una responsabilità, sotto il profilo penale o civile, con il conseguente obbligo al risarcimento dei danni.
Il consenso può essere raccolto con modalità differenti purchè queste siano tali da permettere ai soggetti, adeguatamente informati, la libera espressione di una propria volontà in merito al trattamento dei dati per le finalità di che trattasi.
In particolare deve essere portata all’attenzione degli interessati una apposita informativa, di cui devono far parte tutte le indicazioni previste dalla normativa, ivi comprese le finalità dettagliate e specifiche del trattamento e tutte quelle altre informazioni – soprattutto i recapiti, non soltanto virtuali ma anche fisici – che rendano possibile l’eventuale esercizio dei propri diritti da parte degli interessati medesimi.

Note bibliografiche:
1.   D.Lgs. 196/03 (Codice della privacy);
2.   D.Lgs 206/05 (Codice del consumo);
3.   Direttiva 2002/58/CE (relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche);
4.   Direttiva 1995/46/CE (relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali nonchè alla libera circolazione dei dati);
5.   Parere 5/2004 del gruppo di lavoro per la tutela dei dati personali relativo alle comunicazioni indesiderate ai fini di commercializzazione diretta;
6.   Provvedimento generale del Garante del 29 maggio 2003 (spamming, regole per un corretto invio delle email pubblicitarie);
7.   Provvedimento generale del Garante del 10 giugno 2003 (linee guida sull’uso degli sms per scopi promozionali e pubblicitari);
8.   Provvedimento del garante del 23 novembre 2006 (fax promozionali: vietato l’invio senza il previsto consenso);
9.   Provvedimento del garante 12 ottobre 2005 (biglietti on line e marketing);
10. Provvedimento del garante del 20 aprile 2006 (internet: no a email pubblicitarie senza il consenso);
11. Provvedimento del garante del 7 dicembre 2006 (mamme e neonati profilati a fini di marketing);
12. Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere comportamenti illeciti, (http://www.garanteprivacy.it/garante/doc.jsp?ID=1412772)

Autore: Stefano Bendandi