Spam e e-mail indesiderate nella normativa italiana ed europea
Abstract
Per “spam” s’intendono quelle e-mail percepite come fastidiose e indesiderate. Esistono tutta una serie di rischi sottesi al loro ricevimento e il legislatore nazionale, sotto la spinta di quello europeo, è intervenuto con alcune norme specifiche, finalizzate a garantire correttezza e trasparenza, anche con riguardo alla protezione dei dati personali. Si propone una riflessione sulle ultime azioni di attivismo digitale portate avanti dal gruppo “MonitoraPA”. Possono davvero ritenersi corrette o piuttosto rischiano di calpestare altri diritti fondamentali?
Indice
1. Lo “spam” nell’immaginario collettivo
2. Il carattere pregiudizievole delle e-mail spam
3. E-mail indesiderate ai sensi dell’art. 130 del Codice della privacy
4. Una comunicazione può essere illegittima anche se non “indesiderata”?
5. I limiti giuridici dei processi decisionali automatizzati
6. Il caso di MonitoraPA
Lo “spam” nell’immaginario collettivo
La parola “spam” è entrata da tempo nel lessico comune e viene generalmente accostata ai messaggi di posta elettronica, considerato l’elevato grado di affezione che gli spammer hanno con tale strumento. Con il termine “spam” deve intendersi il “messaggio indesiderato di posta elettronica, spesso di natura pubblicitaria: “ricevere, cancellare una spam.”[1], o più semplicemente, la “posta elettronica indesiderata e fastidiosa”[2]. Similmente, e in maniera ancor più diretta, il Cambridge Dictionary definisce “spam” le “emails that you do not want, usually advertisements”.
Non rileva a tal fine la natura delle e-mail, e in particolare il loro contenuto più o meno commerciale/pubblicitario/promozionale. Anche un messaggio contenente un semplice invito a compiere determinate azioni (tanto per dirne una), o addirittura un semplice “ciao”, a certe condizioni si presta a essere giustamente etichettato come spam.
Il carattere pregiudizievole delle e-mail spam
Le e-mail spam, così come generalmente intese, sono idonee ad arrecare danni[3] anche giuridicamente rilevanti e per il risarcimento dei quali è pertanto possibile agire in giudizio.
I danni che possono conseguire dal ricevimento di e-mail spam sono sia nei confronti della collettività sia nei confronti del singolo destinatario della comunicazione. Sotto quest’ultimo profilo, i danni arrecati da una comunicazione e-mail configurabile come spam possono essere di varia natura e non si limitano a danni strettamente economici, come possono essere quelli rappresentati dai maggiori costi del servizio e di connessione a Internet che il destinatario può trovarsi costretto a sopportare.
Le e-mail spam sono potenzialmente lesive sotto vari altri aspetti: ricevere una o più e-mail spam, innanzitutto, rappresenta un’interferenza nella vita privata del destinatario e, per certi versi, una invasione di domicilio (non si dimentichi che la casella e-mail è protetta nel nostro ordinamento anche quale forma di domicilio privato); può inoltre comportare disagio e seccatura, provocare ansia, frustrazione, apprensione e, soprattutto, causare perdita forzosa di tempo (e cosa c’è di più prezioso del tempo?) in capo al destinatario che deve provvedere non solo a cestinare l’e-mail (e se del caso a chiedere di non riceverne altre analoghe), ma prima ancora a leggerne attentamente il contenuto e a verificarne l’attendibilità.
Quest’ultima circostanza ricorre soprattutto nei casi in cui l’e-mail spam, per le modalità con cui è redatta, presenti dei profili di dubbia (il)liceità e di non facile comprensione per l’utente medio, il quale magari è anche costretto a rivolgersi a specialisti per svolgere le dovute (?) verifiche.
Si pensi, giusto per fare uno tra i tanti possibili esempi, a un’e-mail dalla dubbia liceità (ad esempio ove non si comprenda a che titolo scrive il mittente) che contenga una diffida a compiere determinate azioni e che sia altresì corredata da minacce d’azione più o meno velate.
E-mail indesiderate ai sensi dell’art. 130 del Codice della privacy
Nell’ambito di tali norme, particolarmente rilevante è l’art. 130 del d. lgs. 196/2003 (c.d. Codice privacy), rubricato “Comunicazioni indesiderate”, che tra le altre cose subordina la liceità dell’invio di determinate tipologie di e-mail alla raccolta del consenso del contraente o dell’utente[4]. Più precisamente, occorre raccogliere il consenso del destinatario per l’invio di e-mail finalizzate a:
- inviare materiale pubblicitario o di vendita diretta;
- compiere ricerche di mercato;
- inviare una comunicazione commerciale.
Tali e-mail, in assenza di consenso, e fatta salva la deroga di cui al comma 4 dell’articolo in questione, devono considerarsi, appunto, “comunicazioni indesiderate”, con tutto ciò che ne consegue anche in termini sanzionatori e di maggior tutela per l’utente o il contraente.
L’elenco sopra riportato delinea un ambito oggettivo della disposizione molto ampio e dai confini non nettamente delineati.
Se, infatti, è pacifico che una proposta di acquistare un prodotto a un determinato prezzo possa essere ricondotta a una o più delle finalità citate, che dire invece di una comunicazione e-mail dal contenuto opaco o dal dubbio tenore, o magari idonea a indurre il destinatario, con messaggi e/o suggerimenti più o meno velati, a aderire a soluzioni o servizi offerti solo in apparenza gratuitamente? O ancora, di una comunicazione e-mail in qualche modo idonea a promuovere l’immagine professionale di un mittente?
Comunicazioni che presentino una o più delle caratteristiche appena ipotizzate aprono una serie di quesiti che per numero e complessità non possono essere efficacemente affrontati in un solo articolo. Certo è che la ratio dell’art. 130 del Codice della privacy, consistente tra l’altro nella protezione dei soggetti dai rischi connessi al ricevimento di comunicazioni non desiderate, suggerirebbe una interpretazione estensiva della disposizione in commento, soprattutto nella società odierna contraddistinta dalla facilità di reperire e di utilizzare strumenti intesi a inviare e-mail in quantità ingente e in maniera automatizzata. D’altronde, l’ambiguità di una comunicazione e-mail può arrecare maggiori danni a chi la riceve.
Una comunicazione può essere illegittima anche se non “indesiderata”?
In ogni caso, e fermo quanto sopra, non si trascuri il fatto che una comunicazione ben può essere illegittima anche nei casi in cui non configuri comunicazione indesiderata ai sensi dell’art. 130 del Codice privacy, per le motivazioni in parte già illustrate con riguardo al carattere pregiudizievole delle e-mail spam.
A ciò si aggiunga che, ove l’invio di un’e-mail comporti il trattamento di dati personali ai sensi del Regolamento (UE) 2016/679, ad esempio in quanto lo stesso indirizzo e-mail del destinatario sia qualificabile come dato personale (ed è questa una ipotesi facilmente ricorrente, anche perché non è necessario che l’indirizzo e-mail contenga nome e cognome perché possa riguardare una persona fisica identificata o identificabile[5]), tra le altre cose l’invio di tale e-mail deve comunque perseguire una finalità lecita (nel senso che non deve essere contraria al nostro ordinamento, e tale circostanza va verificata unitamente alla qualifica del soggetto che compie l’azione) ed essere fondata su un’adeguata base giuridica. Inoltre, deve garantire trasparenza informativa anche sui diritti degli interessati, tra cui il diritto di opporsi a tali trattamenti[6].
Diversamente, è considerabile quale spam, e come tale può essere cestinata e configurare in ogni caso un illegittimo trattamento di dati personali.
I limiti giuridici dei processi decisionali automatizzati
L’art. 22 par. 1 del GDPR è preciso: “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
In poche parole, se non prestato preventivamente un esplicito consenso[7], una persona non può essere sottoposta a procedure automatizzate che la riguardino, incidendo tali trattamenti automatizzati su diritti e libertà fondamentali di quest’ultima.
Il Caso di MonitoraPA
Le caratteristiche delle azioni di attivismo digitale portate avanti da Federico Leva e dal “gruppo di hacker” (così si sono definiti) riconosciutosi sotto l’etichetta di “MonitoraPA” crediamo siano ben note.
In estrema sintesi, ricordiamo solo che attraverso procedure automatizzate sono stati visitati vari siti web di PA, partiti politici, società, privati cittadini e, qualora da tali visite automatizzate sia stata rilevata la presenza di strumenti come Google Analytics o Google Fonts[8], sempre attraverso procedure automatizzate sono state inoltrate comunicazioni e-mail piuttosto minacciose, in cui si è intimato di dismettere tali servizi perché – secondo un’interpretazione arbitrariamente estensiva della sentenza Schrems II – attraverso di essi si potrebbero effettuare indirettamente comunicazioni verso autorità statunitensi (in adempimento a discipline normative USA non allineate a quelle europee) e a sostituirli, così, con altri servizi come Web Analytics dagli stessi promossi e giudicati più garantisti per i diritti e libertà dei cittadini.
Ora, a prescindere dalle valutazioni di opportunità legate all’avvio di azioni di questo tipo – secondo le quali un manipolo di giustizieri del web possa davvero considerarsi in grado di sostituirsi alle autorità preposte, giudicando, cioè, ciò che sia giusto fare o non fare, fornendo interpretazioni massimaliste e senza alcuna possibilità di appello[9] – alla luce di quanto la normativa sopra descritta prevede, si chiede ai nostri attenti lettori di valutare serenamente se tali azioni possano davvero ritenersi corrette in punto di diritto o piuttosto se – operando in questo modo e pur motivati da intenzioni positive di difesa di diritti digitali dei cittadini italiani – non si rischi di calpestare altri diritti fondamentali, generando peraltro un pericoloso fastidio verso la protezione dei dati.
Tale materia andrebbe invece spiegata con pazienza, favorendo una consapevolezza diffusa e collettiva, nostra unica arma di difesa realmente utile contro lo strapotere dei grandi player.
Del resto, un pur eventuale nobile fine, non giustifica l’utilizzo di mezzi grossolani nel perseguirlo.
Non siamo nel far web. Non ancora almeno.
[1] Definizione reperita dal vocabolario Treccani in data 6 settembre 2022 (https://www.treccani.it/vocabolario/).
[2] Definizione reperita da Dizionario di italiano del Corriere della Sera in data 6 settembre 2022 (https://dizionari.corriere.it/).
[3] A proposito della nocività delle e-mail massive non sollecitate, si veda: THE INTERNET SOCIETY (1999), “DON’T SPEW - A Set of Guidelines for Mass Unsolicited Mailings and Postings (spam*)”, documento consultabile al seguente link: https://www.rfc-editor.org/rfc/rfc2635.
[4] L’ambito di tutela del presente articolo è quindi ben più ampio e va oltre la definizione di semplice interessato al trattamento di dati personali.
[5] Si pensi semplicemente a un account info@xxx.it appartenente al titolare di un blog personale.
[6] La trasparenza informativa, oltre che prevista come principio generale nel GDPR, caratterizza la normativa consumeristica (Codice del Consumo) e anche quella relativa ai servizi della società dell’informazione (d. Lgs. 70/2003). Sviluppare servizi automatizzati di invio di messaggi non sollecitati che possono avere un contenuto direttamente o indirettamente commerciale, anche semplicemente suggerendo servizi di varia natura, deve – ad esempio – secondo queste normative che tra loro si intrecciano, qualificarsi come tale, deve individuare con esattezza il soggetto proponente, spiegare base giuridica, modalità, in poche parole, le ragioni di questo trattamento e contenere sempre l’indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni.
[7] In particolare, l’art. 22 par. 2 prevede che il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
[8] E le intenzioni sembrano essere quelle di proseguire questa “guerra” agli OTT (Over The Top) contestando con le stesse modalità qualsiasi servizio sviluppato “gratuitamente” da “Gafam” (cioè dai grandi player extra UE, come Amazon, Microsoft, Apple, Facebook e Google) che potenzialmente possa comportare – secondo gli attivisti – un trasferimento extra UE. A tal proposito, si rinvia a due appuntamenti online liberamente fruibili dalla piattaforma DIGEAT PLUS, rispettivamente un talk che ha visto l’intervento dell’Avv. Luca Bolognini: Divieto di trasferimento dei dati all’estero: una riflessione sull’ astrattismo della giurisprudenza europea https://www.digeat.it/talk-cpt/divieto-di-trasferimento-dei-dati-allestero-una-riflessione-sull-astrattismo-della-giurisprudenza-europea/ e un workshop con la partecipazione dell’Avv. Sarah Ungaro: Come gestire le problematiche legate a Google Analytics. Microsoft 365, Fanpage di Facebook & servizi simili https://www.digeat.it/webinar-cpt/come-gestire-le-problematiche-legate-a-google-analytics-microsoft-365-fanpage-di-facebook-servizi-simili/
[9] Come peraltro sottolineato dal Partito Pirata che ha risposto autorevolmente a tali richieste. Segnaliamo anche le risposte inviate dal nostro Studio in risposta alle PEC ricevute, pubblicate qui.
