Vorrei trarre spunto da un recente "OECD workshop on spam", tenutosi il 2 e 3 febbraio 2004 a Bruxelles, nel quale vari esperti sulla "privacy" da ogni parte del mondo hanno partecipato cercando di capire quale filo conduttore ci possa essere in una tematica che interessa molte organizzazioni.

Un primo interrogativo affrontato da alcuni interlocutori è che lo spamming non sarebbe "una questione di privacy" e presenterebbe invece connotati più rilevanti per altri settori del diritto, anche per quanto riguarda i diritti dei consumatori.

Questa tesi non ha trovato, anche in quella sede, accoglimento perché prevale l'interpretazione secondo la quale un indirizzo di posta elettronica, benché creato automaticamente da una macchina, benché non si abbia, in prima battuta, conoscenza del nominativo cui è associato (e neanche la conferma se la casella sia effettivamente attivata), è considerato comunque espressione di un dato di carattere personale che permette di essere collegato ad una persona fisica o a un ente o a una persona giuridica identificabile indirettamente.

È certo, però, che la protezione dei dati personali operi in questo settore, sebbene non sia l'unico terreno sul quale le garanzie possano misurarsi. Nel 1998 avevamo recepito una direttiva europea in materia di telecomunicazioni e già all'epoca confermammo, sia pure indirettamente, il principio secondo cui gli indirizzi di posta elettronica non sono "dati pubblici" e che quindi ci vuole il consenso per trattarli.

Questo principio dell'opt-in venne all'epoca sancito espressamente solo da alcuni Paesi e ricordo, all'epoca, le polemiche che venivano sollevate in ambito nostrano. Si diceva: siamo troppo ambiziosi ed esigenti in questa materia; creiamo distorsioni nell'ambito della concorrenza informativa, giacché il principio dell'opt-out favorisce soggetti operanti in altri Paesi europei.

L'armonizzazione del diritto comunitario offre oggi una garanzia di uniformità. Il workshop di Bruxelles ha evidenziato alcuni limiti nell'azione degli organi pubblici che intervengono in questa materia. Innanzitutto, alcuni Paesi non hanno ancora recepito la direttiva 2002/58 e seguono ancora formalmente il principio dell'opt-out.

Questa circostanza va poi associata al fatto che non è stata recepita in tutti i Paesi in modo uniforme la direttiva sul commercio elettronico, che pure spiega chiaramente come le prescrizioni contenute in essa non si debbano applicare quando sono trattati dati di carattere personale (in questo caso, si espandono infatti quelle garanzie, ora espressamente sancite in chiave di opt-in, previste dalle due direttive in materia di protezione dei dati).

Oltre a questo limite nell'applicazione della disciplina della protezione dei dati, va tenuto conto, anche riconoscendo che le caselle di posta elettronica sono dati di carattere personale, che in molti Paesi vi sono comunque altre istanze che permettono a consumatori ed utenti di ottenere un minimo di tutela, anche senza fare riferimento alla protezione dei dati personali.

Un consumatore o utente di rete, in base alla disciplina nazionale sul commercio elettronico o sulle vendite a distanza, potrebbe veder rispettate alcune garanzie. Magari, in qualche caso potrebbe non essere legittimato a lamentare il fatto che non ha espresso un consenso preventivo; però, potrebbe avere comunque un minimo di protezione rispetto alla circostanza che non è stato informato su determinati servizi o per quanto riguarda il tipo di offerta fatta oppure per quanto attiene all'interruzione del comportamento molesto. Quindi, non tanto qui in Italia, quanto in altri Paesi, vi sono più interlocutori istituzionali che possono avere una qualche competenza.

Il concetto finale che è venuto dal workshop di Bruxelles, lanciato in un certo senso da noi stessi (raccolto anche dalla Federal Trade Commission), è quello di dare un messaggio chiaro e semplice a tutti gli utenti consumatori su ciascun territorio nazionale per individuare, con un documento pubblico di policy concordato tra più soggetti, chi fa cosa e cosa si può ottenere in materia di contrasto allo spamming.

Questa prospettiva è importante anche per il Garante italiano, perché molti utenti sbagliano chiedendo a noi il risarcimento del danno sofferto per effetto del trattamento illecito dei dati. Il risarcimento del danno nel nostro Paese va chiesto all'autorità giudiziaria ordinaria.

Quindi, alcune opportunità per cause pilota potrebbero esserci anche fuori del settore di competenza del Garante per la protezione dei dati personali. Il messaggio è quello di creare una sorta di avviso/codice molto chiaro concordato con i provider e con altri interlocutori pubblici quali Ministero delle attività produttive, Dipartimento per l'innovazione tecnologica, Ministero delle Comunicazioni e la Autorità per le garanzie nelle comunicazioni che ha alcune competenze su questa materia.

Non sarebbe male che, applicando il Codice, si giunga presto a creare una sorta di informativa unica per consumatori ed utenti, per spiegare quali risultati si possono conseguire. Spesso accade che si chieda al Ministero per le Attività produttive, all'Autorità per le garanzie nelle comunicazioni o al Ministero per le comunicazioni, un certo risultato che può essere invece ottenuto soltanto davanti al giudice ordinario o al Garante.

Tutto ciò è importante perché l'utente vuole a volte un tipo di risultato - far interrompere una serie di messaggi molesti -; altre volte vuole invece "infierire" giustamente sullo spammer ed esercitare un'azione giudiziaria pilota per un consistente ristoro del nocumento subito; altre volte, persegue, al contrario, un obiettivo che riguarda magari solo il contenuto o la qualità dell'offerta ricevuta e quindi qualcosa che attiene alla correttezza dell'offerta commerciale e che va oltre la questione del lecito utilizzo della casella di posta elettronica quale dato di carattere personale.

Occorre quindi spiegare bene a consumatori ed utenti i vari obiettivi, i diversi risultati che possono conseguire e anche le differenti procedure. E' una cosa per la quale abbiamo già preso un impegno. Abbiamo già un buon tavolo di lavoro -quello che ha organizzato la giornata di lavoro sullo spam- che può, con il contributo di altri, in breve tempo, attuare la proposta di elaborare il codice, in modo tale da poterlo rendere noto alla Commissione europea, di fronte alla quale abbiamo preso l'impegno cui accennavo, ed anche ad altri interlocutori.

Come ultima considerazione (alla luce della ricca esperienza che abbiamo da questo osservatorio privilegiato che è il Garante), penso che una soluzione al problema dello spamming nel nostro Paese non possa che essere multiforme e globale, basata su più appoggi: non è soltanto quello ispettivo-poliziesco-giudiziale che può darci una soluzione.

Certamente, anche il contenzioso, anche il controllo e la verifica sul campo possono svolgere un ruolo importante. Nel 2001 noi abbiamo, primi in Europa, disposto il blocco contemporaneo di 11 trattamenti di dati rivolti sistematicamente a scopo di spamming, con la collaborazione della Polizia di stato; l'operazione ha dato alcuni risultati che sono andati oltre le aspettative e che sono stati commentati anche all'estero. Abbiamo avuto occasione di verificare con interlocutori statunitensi, australiani e canadesi come ci fosse una positiva sorpresa nel vedere che, di fronte ad una autorità amministrativa indipendente, c'è la possibilità in 30 - 60 giorni- di ottenere un provvedimento inibitorio il cui rispetto deve essere assicurato a pena di sanzione penale e che può essere messo in concreta esecuzione attraverso un organo di polizia.

La cosa potrà sembrare strana, ma in altri Paesi non sempre questo risultato si può ottenere in via amministrativa. Questo approccio multiforme deve vedere, secondo me, il concorso di alcune regole di condotta che dobbiamo suggerire agli utenti; insieme dovremmo concordare una serie di regole operative che i provider potrebbero adottare.

Il Dipartimento comunicazioni e reti telematiche del Garante ha già curato, negli anni scorsi, un primo vademecum per gli utenti. Ora, possiamo cominciare a redigere ulteriori istruzioni condivise tra noi e gli operatori pubblici e privati, su una serie di suggerimenti che oggi sono forse patrimonio più di utenti esperti che non della massa dei navigatori in Internet. Oltre a quanto possiamo fare sul piano giuridico del contenzioso, dobbiamo fare un lavoro comune per la contrattualistica, partendo dal limite che c'è in varie proposte contrattuali che non contengono riferimenti specifici alle conseguenze che derivano da una condotta illecita in materia di spamming.

Credo quindi che un secondo terreno di lavoro comune, attraverso la sinergia con la Società Internet, potrebbe toccare questo punto.

Il terzo terreno è quello del contenuto del codice deontologico per vedere quali misure si possono adottare per un corretto uso della rete Internet. Penso che ci sia senz'altro l'occasione per nuove operazioni organizzate di contrasto dello spamming.

Però, non penso che si possa adottare in questa materia un approccio esclusivamente poliziesco-repressivo. Noi constatiamo che molte e-mail vengono prevalentemente da fuori il territorio italiano ed anzi, più spesso, da fuori dell'Unione Europea.

Nel provvedimento che abbiamo adottato in Italia alcuni mesi fa abbiamo indicato la possibilità di ottenere una tutela in situazioni nelle quali il messaggio viene da uno dei "soliti noti" situati magari negli Stati Uniti, perché spesso ci sono elementi che permettono di far scattare la perseguibilità di un reato comune diverso da quello di spamming -magari, una tentata truffa-, con la collaborazione anche dei competenti organi; noi possiamo in alcuni casi arrivare a tali risultati lavorando anche sulla nozione di evento e sull'istituto della richiesta del Ministro della giustizia che è prevista in alcune norme del codice di procedura penale.

Abbiamo visto che negli Stati Uniti, a livello statale, non federale, ci sono molti stati che hanno una disciplina specifica antispamming più severa della nostra -basti citare quella della California- e si può notare come, avendo contatti con gli organi statali del luogo o laddove esistono autorità di produzione di dati personali (non è il caso degli Stati Uniti), si può cercare di esercitare un'azione pilota persino in situazioni per le quali si pensa che altrimenti non ci sia alcuna concreta tutela.

Però non possiamo pensare che il reato che esiste in questa materia -perché fare spamming in Italia è in molti casi reato- possa essere l'unica soluzione.

Tutte le indicazioni che ho cercato di sintetizzare (dalle regole di condotta alla contrattualistica, dall'approccio educativo a quello informativo, alle misure di contrasto per inibire materialmente la posta elettronica) credo che possano operare con il complemento del profilo penale: è giusto che l'autorità gudiziaria penale cominci ad occuparsi ancor più di questa materia, sebbene dobbiamo essere consapevoli di un particolare a proposito dell'articolo del Codice che riguarda il reato di trattamento illecito dei dati.

Se noi oggi leggessimo infatti questo articolo e lo applicassimo alla lettera al problema del trattamento illecito dei dati relativi alle caselle di posta elettronica, l'Ufficio del Garante dovrebbe procedere in ogni caso una volta venuto a conoscenza, alla denuncia penale, anche in caso di rilevazione di una sola e-mail inviata senza che l'interprete abbia l'effettiva consapevolezza del principio dell'opt-in (perché ci sono alcuni interlocutori che ancora pensano, soprattutto a livello periferico e in piccole realtà, che il principio dell'opt-out sia operante: quindi, mettono un'informativa all'e-mail indesiderata e pensano che basti non rispondere più a chi ha chiesto di non ricevere più pubblicità).

Noi non abbiamo fatto sconti a nessuno, sul piano operativo, nel senso che quando abbiamo rilevato un’attività sistematica di spamming, in base ai canoni che adesso verranno illustrati, abbiamo proceduto a denuncia penale ed abbiamo anche disposto il blocco del trattamento, cioè abbiamo vietato di continuare a fare queste cose, con la differenza, una volta adottato il divieto e notificato, che violare quel divieto praticamente comporta due reati, l’ulteriore reato di trattamento illecito dei dati e anche la violazione del provvedimento dell’autorità garante con anche conseguenze un po’ più pesanti sul piano della pena.

Questa dimensione penale, se può avere un ruolo complementare, non può avere nel medio periodo una centralità esuberante.

Dobbiamo essere anche consapevoli della gradualità con cui questi meccanismi vanno innestati nella comunità ed avere la consapevolezza che la dimensione giudiziaria ha un ruolo certamente centrale, ma non esclusivo.

Tutto ciò induce a rendere ancora più attivo il tavolo di lavoro, che verrà ufficialmente attivato, per il codice di deontologia per l’Internet.

È auspicio del Garante che il codice di deontologia veda la luce al più presto, essendo, dopo i codici deontologici in materia di statistica e di centrale dei rischi, quello che unitamente all’andare in marketing fa parte della lista di priorità.