Il decalogo di raccomandazioni dell'Agencia Espanola de Proteccion de Datos per combattere lo Spam

A seguito della Dichiarazione di Ginevra del 2004, si è riconosciuto che la nascita della tanto decantata “società dell’informazione” costituisce, oggi più che mai, un’esigenza globale ineluttabile verso la quale devono rivolgersi gli sforzi di tutte le nazioni al fine di debellare quelli che sono identificati come i maggiori ostacoli alla sua realizzazione.
Tra questi, particolare attenzione è stata prestata, oramai da diversi anni, al fenomeno dello Spam o “corrispondenza spazzatura”, che rappresenta oggi circa il 70% del traffico mondiale realizzato attraverso la posta elettronica. Più precisamente lo Spam consiste in qualsiasi messaggio non autorizzato che normalmente perviene alle caselle di posta elettronica per offrire, commercializzare o semplicemente attirare il consumatore verso un determinato prodotto o servizio. L’invio massiccio e incontrollato di tali comunicazioni mina, in maniera irreparabile, quel clima di fiducia verso le tecnologie informatiche che gli utenti devono nutrire, specie per quanto riguarda la tutela e la salvaguardia dei propri dati personali, affinché sia ipotizzabile lo sviluppo della società dell’informazione. Proprio a tal fine molteplici sono state le misure prese a livello legislativo dai diversi paesi. In maniera particolare la Spagna, dopo aver adottato una normativa specifica [1] che al contempo cerca di immunizzare il fenomeno e mira ad una ferrea protezione dei dati personali, ha promosso una vera e propria campagna di sensibilizzazione del cittadino/utente.
Tale campagna ha raggiunto il proprio apice attraverso la diffusione, alla fine del 2005, di una “Guìa contra el Spam”, ossia un decalogo di raccomandazioni per combattere e prevenire lo Spam, realizzata dalla Agencia Espanola de Proteccion de Datos (AEPD), autorità indipendente che vigila per il rispetto della normativa sulla protezione dei dati personali (LOPD 15/1999). Difatti, l’entrata in vigore delle norme in materia di Telecomunicazioni (LGT 32/2003) e Servizi della Società della Informazione (LSSI 34/2002) attribuisce all’Agenzia la tutela dei diritti e delle garanzie degli utenti e abbonati nell’ambito della comunicazione elettronica e, tra questi, la difesa della privacy dei fruitori di Internet rispetto allo Spam [2]. La LSSI, inoltre, stabilisce [3] che compete all’Autorità Garante l’imposizione di sanzioni in caso di infrazioni per l’invio di comunicazioni commerciali non autorizzate, effettuate attraverso posta elettronica o altri mezzi di comunicazione equivalenti, senza che siano state compiute le previsioni stipulate nel suo articolato, con particolare riferimento a quelle ex art. 20.1: “Le comunicazioni commerciali realizzate per posta elettronica dovranno essere chiaramente identificate come tali e dovranno indicare la persona fisica o giuridica nel nome del quale si realizzano. Nel caso in cui vengano realizzate per posta elettronica ( . . .) devono includere nell’oggetto del messaggio la parola “pubblicità” ”. (Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y deberán indicar la persona física o jurídica en nombre de la cual se realizan. En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra “publicidad”), ed ex art. 21.1 per la quale: “E’ proibito l’invio di comunicazioni pubblicitarie o promozionali attraverso posta elettronica o altro mezzo equivalente che non siano state previamente sollecitate o autorizzate dai destinatari delle stesse” (Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas).
Bisogna inoltre ricordare che, le sanzioni previste agli artt. 43 e ss. della LSSI rispetto allo Spam sono applicabili anche nel caso in cui non venga rispettato il diritto degli abbonati a non ricevere chiamate automatiche senza intervento umano o messaggi tramite fax con fini di vendita diretta senza che, su questi, sia stato dato il proprio consenso libero e informato, nonché nell’ipotesi prospettata dall’art. 21.2 [4], qualora il gestore dello Spam non si sia adoperato per la creazione di procedimenti semplici e gratuiti affinché il destinatario possa opporsi al trattamento dei propri dati a fini promozionali in qualsiasi momento. (Art.21.2 parte II: “El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija”).
Come si evince dal corposo insieme delle pene previste per i reati in questione si nota un forte interesse delle autorità per cercare di arginare celermente e in maniera definitiva il fenomeno dello Spam ma tale sforzo, al momento, sembra non essere sufficiente. Difatti, investigare sui casi di “posta spazzatura” diventa sempre più difficile, poiché gli spammer [5] spesso ricorrono ai cd. “pirati informatici” per celare la loro vera identità (spoofing). Per tal motivo, viene richiesto un solerte e attento aiuto sia da parte dei gestori dei servizi internet (ISP), che devono tagliare il servizio agli utenti qualora si accorgano che questi generano Spam dalle proprie reti [6], sia da parte di tutti gli altri fruitori di internet. Con questo stesso decalogo, infatti, l’autorità spagnola ha voluto rendere consapevole il singolo consumatore, fornendogli un quadro descrittivo del fenomeno, e impartire delle raccomandazioni che possano permettergli di prevenire o quanto meno ridurre lo Spam domestico, così da combattere il problema alla radice.
Per far ciò l’AEPD ha, in primo luogo, incentrato l’attenzione sui diversi modi di diffusione dello Spam illustrando in maniera chiara e concisa le maggiori forme con cui questo si propaga:

Tutti i mezzi descritti procurano agli spammer informazioni personali come il cognome e la nazionalità dell’utente, le indicazioni relative alla propria professione o impresa e innumerevoli altri dati che, una volta immessi nella rete, possono venire utilizzati per fini illeciti a discapito del titolare. Al fine di ridurre tali pratiche criminali, l’ADEP prosegue individuando una serie di consegne per evitare quanto più possibile lo Spam e nel contempo salvaguardare la privacy.
Tra queste viene consigliata una particolare attenzione all’utente nel comunicare il proprio indirizzo email [7] e soprattutto nel crearlo, utilizzando parole o simboli che non siano a lui direttamente riconducibili [8], rendendo così più articolata la sottrazione dell’indirizzo identificativo del soggetto.
Infatti, gli indirizzi che contengono elementi direttamente riferibili ad un individuo o ad un ente costituiscono per gli spammer i bersagli più agevoli, essendo questi in possesso di software che generano automaticamente innumerevoli combinazioni di indirizzi email solo introducendo poche parole. Il Garante Spagnolo raccomanda, inoltre, l’utilizzo di “filtri” che limitano la ricezione della posta non desiderata nella propria mail-box. Tale misura è facilmente realizzabile, in quanto diversi sono i gestori di posta elettronica, così come molti titolari di pagine web, che offrono la possibilità di attivare codesti filtri che sono in grado di separare la posta legittima dallo Spam. I maggiori inconvenienti risultano pervenire dalla possibilità che, in questo campo, si inventano programmi con tecnologie sempre più avanzate, che impediscono ai filtri di riconoscere gli Spam più evoluti consentendogli ugualmente una notevole espansione nel sistema e nei casi peggiori anche la diffusione di virus. Per tal motivo si rende necessaria anche un’abituale manutenzione dei computer domestici attraverso l’installazione di software antivirus che proteggano contro questi perniciosi programmi, capaci di distruggere l’intero archivio di un computer.
Come risulta evidente, il problema della posta indesiderata, data la natura propria di internet e dei mezzi tecnologici con i quali si produce, assume sempre più una veste internazionale invero, la maggior parte dello Spam proviene da paesi diversi rispetto a quelli di destinazione e pertanto, eventuali comunicazioni illecite, difficilmente sono sanzionabili dalla legislazione nazionale. In punto a tale questione la Spagna, come molti altri paesi, ha optato per una cooperazione organizzata nella lotta contro lo Spam mediante l’adozione di documenti di collaborazione e assistenza reciproca tra le varie istituzioni nazionali sia a livello comunitario che extracomunitario [9].
La stessa AEDP, che nel 2003 si è assunta l’incarico di operare per il compimento degli obiettivi proposti nella LSSI, ha visto un notevole ampliamento delle sue funzioni in campo internazionale. A livello europeo l’AEPD fa parte del Contact Network of Spam Authorities (CNSA) assieme alle altre autorità nazionali responsabili per la regolazione e controllo delle comunicazioni non sollecitate dell’Unione Europea e dello Spazio Economico Europeo. Nell’ultima riunione tenutasi a Bruxelles è stata prevista la redazione di un documento con l’obiettivo di stabilire un accordo intraeuropeo per lo scambio di informazioni riguardanti lo Spam tra le diverse autorità competenti con indicazioni chiare sulle misure da prendere quando si riceve una denuncia. Punto comune di questi paesi è l’art. 13 della Direttiva 2002/58 CE [10].
In virtù di questo accordo, che comunque non risulta essere vincolante per le legislazioni nazionali e internazionali, sono state approvate diverse forme di collaborazione:

Per quanto riguarda le relazioni con gli USA [11], l’autorità competente spagnola ha firmato con la Federal Trade Commission (FTC) un Accordo di Cooperazione Amministrativa per la lotta contro lo Spam (Memorandum Of Understanding - MOU), in base al quale entrambe le parti assicurano le seguenti forme di collaborazione:

Ancora, l’AEPD ha partecipato nell’ottobre del 2004 a Londra, ad un gruppo di lavoro multilaterale per arginare lo Spam assieme con altre autorità nazionali(agenzie indipendenti e ministeri responsabili) e rappresentanti dei settori industriali implicati. Frutto di questa riunione è stata la redazione del “London Action Plan” (LAP) sottoscritto da 19 organismi e istituzioni appartenenti a 15 diversi paesi del mondo, che ha gettato le basi per la realizzazione di nuove future cooperazioni internazionali.

---------------------

  [1] Tra la normativa in materia, fondamentali sono i seguenti riferimenti: a) Articoli relativi all’invio di posta elettronica pres LOPD 15/1999 (Ley Organica de Proteccion de Datos) n°3 a), 4, 5, 6, 37- 1n), 44 e 45; c) Articoli della LGT 32/2003 (Ley enti nella LSSI 34/2002 (Ley de Servicios de la Sociedad de la Informacion) n°19, 20, 21, 22, 38 e 43; b) Articoli della General de Telecomunicaciones) n°38, 53z, 54r, 58b.

  [2] Art.19 LSSI 34/2002: « 1. Las comunicaciones comerciales y las ofertas promocionales se regirán, además de por la presente Ley, por su normativa propia y la vigente en materia comercial y de publicidad ; 2. En todo caso, será de aplicación la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, en especial, en lo que se refiere a la obtención de datos personales, la información a los interesados y la creación y mantenimiento de ficheros de datos personales ( . . .) ».

  [3] Art 43 LSSI 34/2002: ( . . . ) « No obstante lo anterior, la imposición de sanciones por incumplimiento de las resoluciones dictadas por los órganos competentes en función de la materia o entidad de que se trate a que se refieren los párrafos a y b del artículo 38.2 de esta Ley corresponderá al órgano que dictó la resolución incumplida. Igualmente, corresponderá a la Agencia de Protección de Datos la imposición de sanciones por la comisión de las infracciones tipificadas en los artículos 38.3 c, d e i y 38.4 d, g y h de esta Ley ».

  [4] Art 21.2 LSSI 34/2002: “Il disposto dell’articolo anteriore non si applica quando esiste una previa relazione contrattuale, sempre che il gestore abbia ottenuto in modo lecito e dati di contatto del destinatario e li impieghi per l’invio di comunicazioni commerciali riferibili a prodotti o servizi della sua propria impresa che siano simili a quelli che inizialmente furono oggetto di contrattazione con il cliente”.(“Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”).

  [5] “Spammer” – Letteralmente “creatori di Spam”, coloro che introducono nel sistema la posta non desiderata.

  [6] Questa previsione è stata introdotta per la prima volta dalla LGT, in vigore dal 5 novembre del 2003. Nello stesso modo questa legge ha previsto che tale disposizione fosse ripresa nella LSSI qualora si verifichino invii massivi di Spam, o trasmissione ad uno stesso destinatario, nel giro di un anno, di più di tre comunicazioni commerciali non richieste tramite email.

  [7] Guìa pag 6: “Ser cuidadoso al facilitar la direccion de correo – Facilitar unicamente la direccion de correo a aquellas personas en las que confia y aquellas con las que quieta comunicar”.

  [8] Guìa pag 7: “Elegir una direccion de correo poco identificable”.

  [9] I paesi europei con i quali sono stati stabiliti accordi di cooperazione per la lotta contro lo Spam sono diversi e a questi vanno aggiunti gli USA, i paesi latino-americani (Argentina, Brasile, Cile, Costa Rica, El Salvador, Equador, Messico, Perù, Panama e Venezuela) e l’Australia. Nello specifico gli enti competenti per tali nazioni sono: Austria: Austrian Data Protection Authority, Belgio: Privacy Protection Commission, Cipro: Office of the Commissioner for Personal Data Protection, Danimarca: Danish Consumer Ombudsman, Slovacchia: Slovak Personal Data Protection, Estonia: Estonian Data Protection Inspectorate, Finlandia: Data Protection Ombudsman, Francia: Commission Nationale de l’informatique et des Libertés (CNIL), Grecia: Hellenic Data Protection Authoritie, Unghería: Data Protection and Freedom of Information Commissioner of Hungary, Irlanda: Data Protection Commissioner, Italia: Garante per la protezione dei dati personali, Lettonia: Datu valsts inspekcijas, Lituania: Valstybine duomenu apsaugos inspekcija, Lussemburgo: Commission nationale pour la protection des données, Malta: Data Protection Commissioner, Paesi Bassi: College bescherming persoonsgegevens, Polonia: Inspector General for the Protection of Personal Data, Portogallo: Comissão Nacional de Protecção de Dados, Repubblica Ceca: Office for Personal Data Protection, Svezia: Swedish Data Inspection Board.

  [10] Art. 13 Direttiva 2002/58 CE - Comunicazioni indesiderate “1. L'uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso. 2. Fatto salvo il paragrafo 1, allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio ai sensi della direttiva 95/46/CE, la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all'uso di tali coordinate elettroniche qualora il cliente non abbia rifiutato inizialmente tale uso. 3. Gli Stati membri adottano le misure appropriate per garantire che, gratuitamente, le comunicazioni indesiderate a scopo di commercializzazione diretta, in casi diversi da quelli di cui ai paragrafi 1 e 2, non siano permesse se manca il consenso degli abbonati interessati oppure se gli abbonati esprimono il desiderio di non ricevere questo tipo di chiamate; la scelta tra queste due possibilità è effettuata dalla normativa nazionale. 4. In ogni caso, è vietata la prassi di inviare messaggi di posta elettronica a scopi di commercializzazione diretta camuffando o celando l'identità del mittente da parte del quale la comunicazione è effettuata, o senza fornire un indirizzo valido cui il destinatario possa inviare una richiesta di cessazione di tali comunicazioni. 5. Le disposizioni di cui ai paragrafi 1 e 3 si applicano agli abbonati che siano persone fisiche. Gli Stati membri garantiscono inoltre, nel quadro del diritto comunitario e della normativa nazionale applicabile, un'adeguata tutela degli interessi legittimi degli abbonati che non siano persone fisiche relativamente alle comunicazioni indesiderate.”

  [11] La lotta contro lo Spam negli Stati Uniti parte da una realtà molto diversa rispetto a quella Europea. In questo paese è stato istituito un sistema di opt-out nella legge che regola questo tipo di comunicazioni, il “CAN-SPAM Act”.