UNIVERSITÀ DEGLI STUDI DI UDINE FACOLTÀ DI GIURISPRUDENZA DIPARTIMENTO DI SCIENZE GIURIDICHE Udine, 4 maggio 2007 La normativa comunitaria e italiana in tema di spam © Andrea Sirotti Gaudenzi Avvocato Professore a contratto nell’Università di Padova 1 Domande preliminari Cos’è la privacy? Cos’è la protezione dei dati personali? Cosa sono i dati personali ? Esistono regole in tema di sicurezza informatica ? Esiste la sicurezza assoluta ? © Studio legale Sirotti Gaudenzi 2 Utopia di Thomas More © Studio legale Sirotti Gaudenzi 3 Le fonti della disciplina Fonti internazionali (art. 8 Convenzione CEDH) Fonti comunitarie (direttive 95/46 e 2002/58) Fonti nazionali (d. lgs. 196/2003) © Studio legale Sirotti Gaudenzi 4 Direttiva 2002/58/CE La direttiva (12 luglio 2003) si occupa del trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche La riservatezza nelle comunicazioni è garantita conformemente agli strumenti internazionali relativi ai diritti dell’uomo, in particolare alla Convenzione europea per la protezione dei diritti dell'uomo e delle libertà fondamentali e alle costituzioni degli Stati membri. © Studio legale Sirotti Gaudenzi 5 Direttiva 2002/58/CE Gli abbonati ad un servizio di comunicazione elettronica accessibile al pubblico possono essere persone fisiche o persone giuridiche. La direttiva, integrando la direttiva 95/46/CE, è volta a tutelare i diritti fondamentali delle persone fisiche e in particolare il loro diritto alla vita privata, nonché i legittimi interessi delle persone giuridiche. La direttiva non comporta in alcun caso per gli Stati membri l’obbligo di estendere l'applicazione della direttiva 95/46/CE alla tutela dei legittimi interessi delle persone giuridiche, tutela che è assicurata nel quadro della vigente normativa comunitaria e nazionale. © Studio legale Sirotti Gaudenzi 6 Direttiva 2002/58/CE La direttiva prevede la tutela dei legittimi interessi degli abbonati che sono persone giuridiche (art. 1) La direttiva si applica al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nella Comunità (art. 3) © Studio legale Sirotti Gaudenzi 7 Pubblicità - 1 «qualsiasi forma di messaggio che sia diffuso, in qualsiasi modo, nell’esercizio di un’attività commerciale, industriale, artigianale o professionale allo scopo di promuovere la vendita di beni mobili o immobili, la costituzione o il trasferimento di diritti ed obblighi su di essi oppure la prestazione di opere o di servizi» (art. 20 Cod. consumo) Si esprime “principio generale” di trasparenza e di correttezza della comunicazione pubblicitaria che impone all’operatore pubblicitario di esplicitare nel messaggio, con chiarezza ed autonoma evidenza, oggetto e contenuto delle condizioni e i limiti cui è subordinata la fruizione dell’oggetto della reclame (AGCM, 14 ottobre 2004, in Giust. civ., 2005) © Studio legale Sirotti Gaudenzi 8 Pubblicità - 2 Il secondo comma dell’art. 19 del codice dispone che la pubblicità debba essere: 1. 2. 3. palese; veritiera; corretta. In virtù dell’art. 20, è ingannevole «qualsiasi pubblicità che in qualunque modo, compresa la sua presentazione sia idonea ad indurre in errore le persone fisiche o giuridiche alle quali è rivolta o che essa raggiunge e che, a causa del suo carattere ingannevole, possa pregiudicare il loro comportamento economico ovvero che, per questo motivo, sia idonea ledere un concorrente». © Studio legale Sirotti Gaudenzi 9 Spam © Studio legale Sirotti Gaudenzi 10 Lo spamming SPAM - spiced pork and ham DISAGI: 1) i messaggi non sono richiesti e, quindi, creano una perdita di tempo; 2) l’utente, per scaricare tali messaggi, paga un costo di connessione non preventivato; 3) il traffico delle comunicazioni viene allentato a causa di questi messaggi non desiderati. © Studio legale Sirotti Gaudenzi 11 Dubbio Opt-out Opt-in © Studio legale Sirotti Gaudenzi 12 Opt - out La soluzione opt-out comporta una prima presa di contatto da parte dello spammer. Al destinatario viene data la possibilità di scegliere se ricevere ancora e-mail commerciali (ad es., un collegamento attivo "unsubscribe“). Se il destinatario non fa uso della soluzione optout, accetta in modo implicito di ricevere altra posta. © Studio legale Sirotti Gaudenzi 13 Opt - in La soluzione opt-in impone il consenso esplicito del destinatario di messaggi commerciali. Il mittente deve quindi ottenere il consenso del cliente prima di procedere al primo invio. © Studio legale Sirotti Gaudenzi 14 Lo spamming nel commercio elettronico L’art. 9 del d. lgs. n. 70/2003 si occupa di “comunicazione commerciale non sollecitata” Fatti salvi gli obblighi (già) previsti dal decreto legislativo 22 maggio 1999, n. 185 e dal decreto legislativo 13 maggio 1998, n. 171, le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e contenere l'indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni. La prova del carattere sollecitato delle comunicazioni commerciali spetta al prestatore. Il modello dell’opt-out sembra essere in contrasto con le indicazioniofferte dalla direttiva 2002/58/CE. © Studio legale Sirotti Gaudenzi 15 Il D. L.gs. 30 giugno 2003 n. 196 Per dato personale deve intendersi “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Ai sensi dell’art. 23 comma I del Codice il trattamento di dati personali può avvenire normalmente solo in virtù di consenso dell’interessato. In determinate ipotesi, previste dall’art. 24 comma I, il trattamento può avvenire senza necessità di consenso, come nel caso di trattamento dei dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (lett. c). © Studio legale Sirotti Gaudenzi 16 Il D. L.gs. 30 giugno 2003 n. 196 L’art. 130 si occupa delle comunicazioni indesiderate (“L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell'interessato”) Si fa riferimento anche a: posta elettronica, telefax, messaggi del tipo Mms o Sms o di altro tipo. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. E’ vietato lo spoofing © Studio legale Sirotti Gaudenzi 17 L’intervento del Garante 11 gennaio 2001 E’ infondata la tesi secondo cui, con la partecipazione a forum e newsgroup, l'utente "decide di pubblicare (cioè di rendere pubblico) il proprio indirizzo di posta elettronica" ed "è consapevole che quell'indirizzo, quel dato, potrà esser letto ed acquisito da chiunque si trovi "a passare" dalla pagina web interessata". La circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari © Studio legale Sirotti Gaudenzi 18 L’intervento del Garante 29 maggio 2003 Spamming Regole per un corretto invio delle e-mail pubblicitarie Provvedimento generale © Studio legale Sirotti Gaudenzi 19 L’intervento del Garante Gli indirizzi di posta elettronica recano dati di carattere personale da trattare nel rispetto della normativa in materia La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso libero, specifico e informato. © Studio legale Sirotti Gaudenzi 20 L’intervento del Garante Il consenso è necessario anche quando gli indirizzi sono formati ed utilizzati automaticamente con un software senza l’intervento di un operatore, o in mancanza di una previa verifica della loro attuale attivazione o dell’identità del destinatario del messaggio, e anche quando gli indirizzi non sono registrati dopo l’invio dei messaggi. Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è stato ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 luglio 2002). © Studio legale Sirotti Gaudenzi 21 I RISCHI © Studio legale Sirotti Gaudenzi 22 Illeciti penali Art. 167 Trattamento illecito di dati 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. © Studio legale Sirotti Gaudenzi 23 Tuttavia … © Studio legale Sirotti Gaudenzi 24 Cass., sez. III, 15 febbraio 2005, n. 5728 Il fatto che un soggetto comunichi i dati personali di un altro soggetto, reperiti in rete, ad alcuni provider, non integra gli estremi dei delitti previsti dai commi 1 e 2 dell’art. 167 d.lgs. n. 196/2003. In assenza di nocumento, non sono configurabili gli estremi del reato previsto dall’art. 167 d.lgs. n. 196/2003. © Studio legale Sirotti Gaudenzi 25 Cass., sez. III, 15 febbraio 2005, n. 5728 Uso del nome di un personaggio celebre all’interno di chat erotici Iscrizione di un ammiratore di una nota sportiva a servizi erotici utilizzando i dati della propria beniamina © Studio legale Sirotti Gaudenzi 26 Cass., sez. III, 15 febbraio 2005, n. 5728 I dati di un personaggio celebre sono “dati pubblici” L’attività posta in essere dall’imputato non cagiona alcun nocumento alla celebre sportiva © Studio legale Sirotti Gaudenzi 27 Art. 170 Illeciti penali Inosservanza di provvedimenti del Garante Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni. © Studio legale Sirotti Gaudenzi 28 Attività pericolosa Anche nel Codice il trattamento di dati è parificato all’esercizio di attività pericolose ex art. 2050 c.c. Sostanzialmente, di fronte a danni riconducibili al trattamento dei dati, la società dovrà provare di avere fatto tutto quanto era possibile fare per evitare i danni. © Studio legale Sirotti Gaudenzi 29 Grazie per la cortese attenzione Andrea R. Sirotti Gaudenzi Studio legale Sirotti Gaudenzi www.studiosirottigaudenzi.it [email protected] Elephas indus culices non timet 30