|
di Valentina Quattrociocchi
II recente provvedimento del
Garante Privacy sul fax selvaggio dall'estero, che ha
rivelato una innovativo concetto di competenza
dell'Autorità e un innovativo modello prescrittivo.
La fattispecie in rilievo e le
lamentele dei segnalanti
L’Autorità è recentemente
intervenuta - con il provvedimento del 7 aprile 2011 -
nei confronti di una società che metteva a disposizione
dei propri clienti una piattaforma per l’invio di fax
senza previo informato consenso.
La medesima in alcuni casi è
risultata aver ceduto liste di nominativi distinte per
area geografica o per categoria commerciale, in altri
casi aver inviato direttamente ed autonomamente fax
promozionali in modo sistematico e massivo utilizzando i
numeri telefonici di numerosi ignari cittadini.
I fax allegati alle segnalazioni
dei cittadini erano di carattere promozionale e
presentavano in calce un’informativa priva di qualsiasi
indicazione in merito al titolare e al responsabile del
trattamento, e nella quale viene indicato come unico
riferimento, per l’esercizio dei diritti di cui all’art.
7 del Codice, un numero telefonico da utilizzare per
opporsi a futuri invii indesiderati e presso il quale
inviare il medesimo fax ricevuto.
I segnalanti hanno evidenziato che,
pur avendo provveduto a richiedere la cancellazione dei
propri dati con la modalità sopraindicata, hanno
comunque continuato a ricevere fax di carattere
promozionale e che è risultato vano anche il tentativo
di contattare telefonicamente il numero chiamante.
Spam dall’estero e conservazione
dei dati fuori dal territorio nazionale, ma è competente
il garante italiano!
Dagli accertamenti ispettivi e
documentali complessivamente analizzati, è emerso che,
sebbene i dati fossero conservati all’estero e gestiti
in modalità remota venendo inviati da fax server situati
al di fuori del territorio nazionale, la società
utilizzava in modo prevalente uno specifico dispositivo
(fax gateway) collocato, tuttavia, in territorio
italiano.
Ciò ha consentito di radicare la
competenza dell’Ufficio italiano anche in conformità
all’orientamento più volte espresso dal Gruppo di lavoro
ex art. 29, quale necessario referente a livello
comunitario riguardo all’ampio concetto di “equipment”,
ossia lo strumento utilizzabile per il trattamento dati
(in questo caso soprattutto l’invio dello spam) e per
fondare la competenza dell’Autorità operante sul
territorio ove è collocato lo strumento operativo.
Il Garante ha ritenuto che il
servizio di invio di fax fornito dalla società a utenti
italiani da fax server situati al di fuori del
territorio nazionale non si configura come “servizio di
mero transito”, ma in un servizio reso su due distinte
reti: la rete internet, per l’invio dei fax nella tratta
compresa tra il fax server ed il fax gateway in Italia e
la rete pubblica telefonica per la trasmissione dei fax
da parte del fax gateway nella tratta compresa tra lo
stesso e il terminale dell’utente. L’Autorità, nella
fattispecie, ha potuto rilevare che il dispositivo fax
gateway effettua i seguenti trattamenti di dati
personali, quali la conversione di un identificativo di
utente, valido all’interno della rete internet, in un
numero di abbonato, valido all’interno della rete
telefonica pubblica e la ricezione del fax al fine di
acquisirne l’immagine.
Quindi si è condivisibilmente
ritenuto che non può trovare applicazione al caso di
specie la norma di esenzione di cui all’articolo 5,
comma 2, del Codice, relativa a trattamenti effettuati
con strumenti situati nel territorio dello Stato,
utilizzati per fini di mero transito, anzi si è concluso
per la competenza dell’Autorità, proprio perchè il
dispositivo fax gateway, utilizzato per il servizio di
trasmissione dei fax sulla rete telefonica pubblica, è
risultato situato all’interno del territorio italiano.
Tale circostanza impone, allora,
all’azienda il rispetto della normativa italiana, con il
conseguente obbligo di acquisire il preventivo specifico
consenso informato dei destinatari delle comunicazioni.
Parametro normativo di essenziale riferimento è l’art.
130 del Codice Privacy, il quale prevede, per le
comunicazioni a scopo promozionale o pubblicitario -
alle quali sono equiparate anche le e-mail aventi
contenuto politico (v. www.garanteprivacy.it doc web.
nn. 1165613 e 634369) - inviate in maniera automatizzata
(e dunque anche via e-mail, fax, ecc.) una deroga
rispetto alla disciplina generale posta dagli artt. 23 e
24 del Codice, stabilendo la necessità della richiesta
di un consenso preventivo e specifico di ciascun
interessato.
Ciò anche nel caso in cui i dati
siano presi da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque e anche se i
destinatari delle predette comunicazioni siano soggetti
che svolgono un’attività economica. Ebbene, nella
fattispecie, i segnalanti non soltanto non avevano mai
acconsentito alla ricezione delle comunicazioni
promozionali, ma non avevano neanche avuto la
possibilità di opporsi ad ulteriori invii, poiché era
risultato vano o comunque privo di effetto concreto ogni
tentativo di rispedire il fax al mittente o di
contattare la società.
Possibili riflessi penalistici
dello spam
Va osservato che il Garante ha
individuato anzitutto possibili profili penalistici
della condotta di spammer imputata alla società con il
provvedimento in questione. Infatti lo spam, realizzato
dalla società, se si accertasse il dolo quale elemento
soggettivo imputabile alla medesima, potrebbe aver
integrato le due fattispecie, rispettivamente:
1) del trattamento illecito di dati
(art. 167 Codice), in ragione del nocumento conseguente
all’invio massivo di fax,
2) e della falsità nelle
dichiarazioni al Garante (art. 168 Codice), essendo
emerse alcune contraddizioni tra le dichiarazioni rese
dalla società durante l’accertamento ispettivo e quanto
invece riportato nelle note di riscontro fornite, nel
corso del procedimento, da alcuni soggetti clienti della
stessa.
Ma su tali profili evidentemente
l’ultima e definitiva parola spetterà, per competenza e
poteri, al giudice ordinario, al quale son stati
trasmessi gli atti da parte del Garante.
La prescrizione di uno specifico
modello (template) per l’invio dei fax
Inoltre, l’Autorità ha ordinato
alla società di indicare agli utenti, con caratteri
grafici ben evidenziati all’interno di un apposito
riquadro (template) inserito nel fax, l’identità del
titolare ed un recapito idoneo a consentire ai
destinatari l’esercizio dei propri diritti, ivi compreso
quello di opporsi a successivi invii ai sensi degli art.
7 ss. del Codice Privacy.
È questo un profilo particolarmente
innovativo poiché, secondo una modellistica destinata
presumibilmente a un impiego sempre più diffuso per
evidenti ragioni di uniformità di trattamento, l’Ufficio
del Garante ha ritenuto di incidere più pervasivamente
sull’autonomia dell’impresa destinataria
dell’accertamento ispettivo, prescrivendole l’adozione
di uno specifico modello di template funzionale a
rendere conforme al Codice Privacy l’invio dei fax in
questione e impedire così che esso si ponga agli
interessati come molesto e illecito spam.
Il separato procedimento
sanzionatorio
Nei confronti della società,
l’Autorità ha avviato un autonomo ulteriore
procedimento, questa volta di carattere specificatamente
sanzionatorio, per valutare l’eventuale applicazione di
sanzioni amministrative nei confronti dello spammer in
rilievo.
Infatti, si evidenzia che, in caso
di violazione dell’art. 130 del Codice, la disciplina
prevede le sanzioni amministrative di cui agli artt. 161
(da 6mila a 36mila euro) e 162, comma 2-bis (da 10mila a
120mila euro) del Codice.
Nota critica
Va al contempo però considerato che
la medesima impresa, ritenuta dall’Ufficio del Garante
Privacy, quale titolare del trattamento dei dati, potrà
impugnare il provvedimento ricevuto e potrà
eventualmente anche dimostrare che non poteva essere
ritenuta titolare del trattamento perlomeno in alcuni
dei casi di invio di fax tramite la piattaforma
operativa messa a disposizione dei propri clienti.
Questi ultimi in vero talora
potrebbero essere stati gli effettivi titolari del
trattamento dati, se si dimostrasse la mera messa a
disposizione da parte della società della sua
piattaforma operativa.
Senza però contestuale cessione o
comunicazione di proprie liste di indirizzi da
utilizzare per l ‘invio dello spam o senza fornire
alcuna istruzione ai clienti in relazione al trattamento
dati. Senza cioè poter individuare in capo alla società
destinataria del provvedimento in questione un autonomo
potere decisionale rispetto al trattamento dati
realizzato con l’invio dello spam. |
