x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Email spazzatura: il buon senso al servizio della privacy

Altri articoli dell'autore

Diritto /

Ecommerce B2C- Report del Politecnico di Milano: i settori di punta delle vendite online nel 2018

Diritto /

Omicidio stradale: non sussiste concorso di reati con la fattispecie contravvenzionale di guida in stato d’ebbrezza

Diritto /

Lotta alla corruzione: intervista al Professor Ranieri Razzante

Il Garante privacy italiano (insieme a quelli dei paesi membri dell’Unione Europea) da anni combatte una battaglia contro lo spamming a mezzo email, prima in forza di quanto previsto dalla Legge 675/1996 e oggi dal Decreto Legislativo 196/2003 ("Codice Privacy").

Per la verità, che sia una battaglia persa lo possiamo accertare quando scarichiamo la posta elettronica e impieghiamo qualche minuto (se siamo fortunati) per eliminare i messaggi indesiderati. A poco o nulla valgono i sistemi di protezione antispamming, offerti in soluzioni pacchettizzate o implementati specificamente per la realtà di interesse.

Il fenomeno dello spamming ha fatto da precursore al phishing, dal quale si differenzia per il minore intento truffaldino, rappresentando tuttavia un danno per tutti (aziende e consumatori) a causa delle perdite di tempo (anche lavorativo), delle spese (connessione ad internet, sistemi di protezione, ecc.), ma anche dello stress e delle arrabbiature che provoca!

Per fare "terrorismo giuridico" diciamo che l’articolo 167 del Codice Privacy punisce "salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto in materia di comunicazioni indesiderate è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi".

Al di là della sanzione penale, è forse opportuno ricordare che i profili di danni sopra individuati possono comportare la sanzione civilistica del risarcimento, che potrebbe raggiungere somme non irrisorie. La giurisprudenza dei giudici di pace conosce già pronunce in tal senso e forse ciò può costituire un deterrente per privati e aziende non virtuosi, molto più di una minaccia ad una condanna penale.

Vediamo in sintesi la disciplina applicabile.

Il principio generale è stabilito dall’articolo 130 del Codice Privacy, secondo cui l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell’interessato. Tale principio si applica anche a e-mail, fax, mms, sms.

In sostanza, il Codice Privacy ha accolto il sistema dell’opt-in, che ammette l’invio solo in presenza di consenso preventivo. Deve pertanto escludersi che sia lecito inviare messaggi chiedendo al destinatario di esercitare il proprio rifiuto (sistema dell’opt-out). Il Garante ha precisato che tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso, abbia comunque un contenuto promozionale oppure pubblicitario (circostanza che, a dire la verità, non è certo sempre facile da accertare).

Per la corretta iscrizione di un account di posta elettronica tra i destinatari di una newsletter mediante iscrizione per via telematica, è opportuno predisporre un sistema di double check, in forza del quale

a) l’interessato deve inserire il proprio indirizzo di posta elettronica nell’apposito campo, che deve prevedere uno spazio dedicato all’informativa sul trattamento del dato personale costituito dall’indirizzo di posta elettronica;

b) il sistema genera automaticamente una email di conferma nella quale, oltre ad essere riepilogata l’informativa sul trattamento del dato e ad essere inserite eventuali ulteriori informazioni sul servizio, è richiesto al destinatario della email di esprimere un ulteriore consenso all’inoltro della email (cliccando su un link, reinoltrando la email, ecc.);

c) solo ad avvenuto ricevimento del secondo consenso, il sistema provvede ad inserire nella mailing list il nuovo account.

Questo sistema oltre ad essere corretto secondo la disciplina privacy permette di riconoscere immediatamente eventuali errori, permettendo una più efficiente ed efficace gestione della mailing list. In sostanza, indipendentemente da quanto richiesto dal Garante, si tratta di misure che potremmo definire di buona prassi (commerciale o no) utilizzabile in qualsiasi ipotesi di spedizione di newsletter, sia essa a contenuto promozionale, pubblicitario, commerciale o semplicemente informativo.

Lo stesso Codice Privacy regola l’unica eccezione alla regola generale dell’opt-in: "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente".

Quanto agli aspetti formali della email, occorre ricordare che il Decreto Legislativo 70/2003 in materia di commercio elettronico stabilisce che la email di carattere commerciale sia identificata chiaramente e inequivocabilmente nell’oggetto e che contenga l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni (dato per scontato che sia stato raccolto un preventivo consenso in ossequio alla regola dell’opt-in!).

In realtà, il destinatario deve essere messo nelle condizioni di revocare il proprio consenso al ricevimento dei messaggi mediante semplici operazioni (cliccando su un link, inviando una email dall’oggetto predefinitio, ecc.). Una volta revocato il consenso, l’indirizzo di posta elettronica dovrà essere immediatamente rimosso dalla mailing list. Sempre in conformità alla disciplina privacy, occorrerà dare corso tempestivamente alle eventuali richieste di modifica dell’indirizzo di spedizione.

Fermo quanto sopra, oggi è possibile servirsi anche degli elenchi pubblici degli abbonati ad operatori telefonici, per verificare se l’interessato abbia o meno espresso il proprio consenso a ricevere messaggi nel proprio account di posta elettronica.

In conclusione, ecco alcuni consigli per un’azienda intenzionata ad utilizzare una mailing list per la spedizione di messaggi promozionali:

- predisporre specifici moduli per raccogliere il consenso all’inoltro dei messaggi, da utilizzare in tutte le occasioni di rapporti con il pubblico (fiere, negozi, eventi particolari, ecc.);

- predisporre specifiche clausole da inserire nella modulistica contrattuale verso i propri clienti, anche potenziali (contratti, preliminari, conferme d’ordine, preventivi, ecc.);

- predisporre un sistema di iscrizione automatizzato in conformità al sistema del double check sopra descritto, da utilizzare sul proprio sito internet istituzionale.

In tutti i predetti casi si dovrà avere cura di fornire un’apposita informativa sul trattamento dei dati personali, eventualmente anche sintetica, che rinvii all’informativa completa eventualmente pubblicata sul sito internet istituzionale.

Va da sé che i dati raccolti dovranno essere trattati in conformità alle misure di sicurezza previste dal Codice Privacy e che per la spedizione di newsletter è sempre opportuno servirsi di servizi professionali che garantiscano l’adozione di elevati standard di sicurezza e il rispetto di misure e prassi adottate dagli operatori del settore.

Il Garante privacy italiano (insieme a quelli dei paesi membri dell’Unione Europea) da anni combatte una battaglia contro lo spamming a mezzo email, prima in forza di quanto previsto dalla Legge 675/1996 e oggi dal Decreto Legislativo 196/2003 ("Codice Privacy").

Per la verità, che sia una battaglia persa lo possiamo accertare quando scarichiamo la posta elettronica e impieghiamo qualche minuto (se siamo fortunati) per eliminare i messaggi indesiderati. A poco o nulla valgono i sistemi di protezione antispamming, offerti in soluzioni pacchettizzate o implementati specificamente per la realtà di interesse.

Il fenomeno dello spamming ha fatto da precursore al phishing, dal quale si differenzia per il minore intento truffaldino, rappresentando tuttavia un danno per tutti (aziende e consumatori) a causa delle perdite di tempo (anche lavorativo), delle spese (connessione ad internet, sistemi di protezione, ecc.), ma anche dello stress e delle arrabbiature che provoca!

Per fare "terrorismo giuridico" diciamo che l’articolo 167 del Codice Privacy punisce "salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto in materia di comunicazioni indesiderate è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi".

Al di là della sanzione penale, è forse opportuno ricordare che i profili di danni sopra individuati possono comportare la sanzione civilistica del risarcimento, che potrebbe raggiungere somme non irrisorie. La giurisprudenza dei giudici di pace conosce già pronunce in tal senso e forse ciò può costituire un deterrente per privati e aziende non virtuosi, molto più di una minaccia ad una condanna penale.

Vediamo in sintesi la disciplina applicabile.

Il principio generale è stabilito dall’articolo 130 del Codice Privacy, secondo cui l’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell’interessato. Tale principio si applica anche a e-mail, fax, mms, sms.

In sostanza, il Codice Privacy ha accolto il sistema dell’opt-in, che ammette l’invio solo in presenza di consenso preventivo. Deve pertanto escludersi che sia lecito inviare messaggi chiedendo al destinatario di esercitare il proprio rifiuto (sistema dell’opt-out). Il Garante ha precisato che tale disciplina non può essere elusa inviando una prima e-mail che, nel chiedere un consenso, abbia comunque un contenuto promozionale oppure pubblicitario (circostanza che, a dire la verità, non è certo sempre facile da accertare).

Per la corretta iscrizione di un account di posta elettronica tra i destinatari di una newsletter mediante iscrizione per via telematica, è opportuno predisporre un sistema di double check, in forza del quale

a) l’interessato deve inserire il proprio indirizzo di posta elettronica nell’apposito campo, che deve prevedere uno spazio dedicato all’informativa sul trattamento del dato personale costituito dall’indirizzo di posta elettronica;

b) il sistema genera automaticamente una email di conferma nella quale, oltre ad essere riepilogata l’informativa sul trattamento del dato e ad essere inserite eventuali ulteriori informazioni sul servizio, è richiesto al destinatario della email di esprimere un ulteriore consenso all’inoltro della email (cliccando su un link, reinoltrando la email, ecc.);

c) solo ad avvenuto ricevimento del secondo consenso, il sistema provvede ad inserire nella mailing list il nuovo account.

Questo sistema oltre ad essere corretto secondo la disciplina privacy permette di riconoscere immediatamente eventuali errori, permettendo una più efficiente ed efficace gestione della mailing list. In sostanza, indipendentemente da quanto richiesto dal Garante, si tratta di misure che potremmo definire di buona prassi (commerciale o no) utilizzabile in qualsiasi ipotesi di spedizione di newsletter, sia essa a contenuto promozionale, pubblicitario, commerciale o semplicemente informativo.

Lo stesso Codice Privacy regola l’unica eccezione alla regola generale dell’opt-in: "se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente".

Quanto agli aspetti formali della email, occorre ricordare che il Decreto Legislativo 70/2003 in materia di commercio elettronico stabilisce che la email di carattere commerciale sia identificata chiaramente e inequivocabilmente nell’oggetto e che contenga l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni (dato per scontato che sia stato raccolto un preventivo consenso in ossequio alla regola dell’opt-in!).

In realtà, il destinatario deve essere messo nelle condizioni di revocare il proprio consenso al ricevimento dei messaggi mediante semplici operazioni (cliccando su un link, inviando una email dall’oggetto predefinitio, ecc.). Una volta revocato il consenso, l’indirizzo di posta elettronica dovrà essere immediatamente rimosso dalla mailing list. Sempre in conformità alla disciplina privacy, occorrerà dare corso tempestivamente alle eventuali richieste di modifica dell’indirizzo di spedizione.

Fermo quanto sopra, oggi è possibile servirsi anche degli elenchi pubblici degli abbonati ad operatori telefonici, per verificare se l’interessato abbia o meno espresso il proprio consenso a ricevere messaggi nel proprio account di posta elettronica.

In conclusione, ecco alcuni consigli per un’azienda intenzionata ad utilizzare una mailing list per la spedizione di messaggi promozionali:

- predisporre specifici moduli per raccogliere il consenso all’inoltro dei messaggi, da utilizzare in tutte le occasioni di rapporti con il pubblico (fiere, negozi, eventi particolari, ecc.);

- predisporre specifiche clausole da inserire nella modulistica contrattuale verso i propri clienti, anche potenziali (contratti, preliminari, conferme d’ordine, preventivi, ecc.);

- predisporre un sistema di iscrizione automatizzato in conformità al sistema del double check sopra descritto, da utilizzare sul proprio sito internet istituzionale.

In tutti i predetti casi si dovrà avere cura di fornire un’apposita informativa sul trattamento dei dati personali, eventualmente anche sintetica, che rinvii all’informativa completa eventualmente pubblicata sul sito internet istituzionale.

Va da sé che i dati raccolti dovranno essere trattati in conformità alle misure di sicurezza previste dal Codice Privacy e che per la spedizione di newsletter è sempre opportuno servirsi di servizi professionali che garantiscano l’adozione di elevati standard di sicurezza e il rispetto di misure e prassi adottate dagli operatori del settore.

Articoli più letti su questo argomento

Diritto /

Lo Statuto dell’Imprenditore Commerciale

Diritto /

La partecipazione di minorenni negli spettacoli televisivi: l’esibizione dal vivo in reality e nei festival

Diritto /

Il contributo annuale al Consiglio dell’Ordine: disciplina, natura e conseguenze del suo mancato versamento

Newsletter Abbonamenti