L'indirizzo di posta elettronica utilizzato dagli utenti di Internet rientra nel concetto di "dato personale" (qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione), ed è quindi tutelato ai sensi della legge sulla privacy. La raccolta e l'utilizzo a qualunque fine di elenchi di indirizzi e-mail insieme a dati anagrafici è dunque attività lecita purché svolta nel rispetto di quanto previsto dalla legge 675/96.
In linea generale, colui il quale intenda raccogliere elenchi di indirizzi e-mail insieme a dati anagrafici (per esempio fondando mailing list o raccogliendo tali informazioni al momento dell'adesione dell'utente a servizi offerti elettronicamente), deve innanzitutto notificare l'avvio di tale trattamento al Garante per la Protezione dei Dati Personali, assumendo infatti la qualifica e la posizione di Titolare del trattamento (art. 7 legge 675/96). Inoltre, ed è qui il vero cuore del problema, lo stesso titolare del trattamento deve rendere la cosiddetta informativa all'interessato, deve cioè fornire all'utente che si accinge a comunicargli il proprio indirizzo Internet (o del quale abbia reperito l'indirizzo in altro modo), una serie di informazioni relative alle attività su dati che egli intende effettuare (art. 10 legge 675/96).
In particolare il Titolare dovrà specificare per iscritto all'interessato:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
e) i diritti spettanti all'interessato;
f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile.
L'aspetto più delicato dell'informativa da rendere all'interessato è senz'altro quello relativo alle finalità del trattamento, che devono essere indicate esaustivamente e in maniera comprensibile, poiché solo ciò che sarà stato indicato potrà essere effettivamente posto in essere successivamente. In conseguenza delle attività indicate nell'informativa, è poi necessario o meno raccogliere il consenso dell'interessato (artt. 11 e 12 legge 675/96).
La legge sulla privacy impone come regola generale quella per cui è sempre necessario il consenso espresso al trattamento dei dati personali, ma prevede opportunamente una serie di casi di esclusione da tale obbligo, rilevanti per molteplici tipologie di trattamento (dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; trattamento di dati necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per l'acquisizione di informative precontrattuali attivate su richiesta di quest'ultimo, ovvero per l'adempimento di un obbligo legale; dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; dati relativi allo svolgimento di attività economiche raccolti anche ai fini pubblicitari; etc..). Il titolare del trattamento dovrà poi rispettare, oltre alle ulteriori disposizioni contenute nella legge 675/96 e nei suoi atti integrativi, quanto previsto dal D.P.R. 318/99 relativo alle misure minime di sicurezza da adottare in via preventiva per la protezione dei dati personali trattati nell'ambito della propria attività.
Le indicazioni sopra riportate servono come base per trarre alcune considerazioni:
a) colui il quale raccoglie lecitamente indirizzi e-mail potrà poi utilizzarli solo per perseguire le finalità indicate agli interessati del trattamento nella informativa e per le quali abbia raccolto, se necessario, il consenso. Quindi, il titolare del trattamento non potrà fare attività pubblicitaria diretta utilizzando le e-mail raccolte se non lo avrà indicato nella informativa ma, per questa attività, non gli è necessario il consenso dell'interessato, che potrà successivamente chiedere di essere cancellato dalla Mailing-list dei destinatari di corrispondenza commerciale;
b) il titolare del trattamento non potrà vendere o comunque distribuire a terzi gli indirizzi e-mail raccolti se non avrà raccolto il consenso specifico dei titolari degli indirizzi e-mail stessi. L'attività di comunicazione di dati personali a terzi a fini pubblicitari è infatti sempre subordinata all'obbligo del consenso dell'interessato;
c) è assolutamente vietato lo spamming, cioè l'invio indiscriminato di informazioni pubblicitarie in caselle e-mail o attraverso Mailing-list o attraverso Newsgroup;
d) per l'attività pubblicitaria via Internet vanno rispettate le normative vigenti in materia di privacy, di tutela del consumatore e di pubblicità veritiera;
e) l'interessato del trattamento potrà sempre esercitare i diritti di cui all'articolo 13 della legge 675/96 (aggiornamento dei dati; accesso alle banche dati; cancellazione dei dati se trattati in violazione di legge; diniego relativo a determinate finalità del trattamento; etc..), e potrà quindi in qualunque momento opporsi all'invio di mailing pubblicitarie al proprio indirizzo e-mail nonché opporsi all'utilizzo dei suoi dati personali al di là di quanto imposto da una norma di legge o da un contratto del quale egli stesso sia di creare contatti preferenziali con la propria clientela.
Prima che il Garante arrivasse con la sua normativa su Internet vigeva da tempo una "norma naturale", la netiquette, che è più conosciuta e rispettata delle norme imposte.
Tutelare la privacy nell'ambiente Internet è molto più difficile; regolamentare la protezione dei dati presso le imprese che operano su internet è necessario ma non sufficiente. Necessario come principio, non sufficiente con la sola regolamentazione preventiva.
I grandi operatori possono disporre di tecnologie e sistemi di rilevazione che sfuggono anche ai controlli più sofisticati; questi sistemi danno luogo a metodi di sfruttamento originali ed imprevedibili.
Sappiamo che un database può essere ubicato su server remoti, insediati in luoghi sconosciuti del mondo; possono essere scomposti e riaggregati in diversi modi, tutti, potremmo dire, invisibili.
Chi ha la tecnologia non teme le attuali norme di salvaguardia; la tecnologia è pratica dei grandi operatori; le piccole imprese che non adoperano adeguatamente la tecnologia, invece, sono schiacciate da adempimenti spropositati e per lo più inutili; si tratta di imposizioni che gravano come una mannaia, le solite regole complesse che pongono le piccole imprese al ricatto di accertamenti meticolosi, arbitrari ed intransigenti, nello stile della farraginosa burocrazia italiana.
Le piccole imprese che vogliono stare tranquille sono costrette a rivolgersi ad un consulente.
Di consulenti preparati a buon mercato non ce ne sono.
La tutela dei consumatori rischia poco su Internet se ci riferiamo alle piccole imprese, che praticano un marketing "ruspante" e che hanno sistemi informativi semplici, se li hanno.
La legge obbliga coloro che elaborano informazioni a carattere personale a darne notificazione al Garante per la protezione dei dati; le notificazioni pervenute confluiscono in un registro dei trattamenti tenuto dal Garante e consultabile liberamente. Quindi, secondo la legge, chiunque in Italia faccia qualsiasi operazione con qualsivoglia dato sulle persone deve applicare le disposizioni della 675/96?
No, perché ci sono esoneri, gradualità, modifiche, integrazioni, eccezioni, puntualizzazioni. Per sapere come stanno le cose occorre consultare centinaia tra leggi, regolamenti e risoluzioni da ricorsi, segnalazioni, reclami e pareri, oltre le sentenze giurisprudenziali.
Questo è un principio inaccettabile tanto per il cittadino quanto per l'impresa: prima obbligare tutti e poi esonerare qualcuno; non ci piace il principio che si possa fare solo ciò che è permesso; preferisco il principio che si possa fare tutto meno quello che è espressamente vietato.
Alle piccole imprese la legge sulla privacy appare con un imponente prevenzione a cui segue una esigua repressione, soprattutto formale e teorica; appare come un adempimento burocratico che, per la sua complessità, è uno dei tanti orpelli che bisogna subire da uno Stato che mette in pratica dei buoni propositi nei modi sbagliati, appesantendosi con sovrastrutture burocratiche e distinguo che servono a complicare la vita piuttosto che semplificarla, ignorando la semplicità ed equità. L'ambiente Internet, proprio per la sua naturale autodisciplina, offre l'occasione di applicare il principio sacrosanto che la buona fede si presume e che il cittadino non è un suddito Tutte le imprese che lavorano su Internet affrontano ogni giorno la competizione puntando su semplicità, usabilità e amichevolezza nella comunicazione. Cercano istintivamente di evidenziare la propria affidabilità; la tutela della privacy è addirittura presentata come elemento distintivo, come leva di marketing.
Il Legislatore avrebbe molto da imparare se navigasse più su Internet.
In materia di Internet il Garante ha espresso pochi pareri e dichiarazioni in risposta a segnalazioni pervenute; il più chiaro, e guarda caso in sintonia piena con la netiquette, è sull'uso della posta elettronica in campagna elettorale.
Il Garante si è occupato di Internet poco e quindi occorre ragionare per analogia.
Da quanto scritto possiamo trarre solo riflessioni che comunque non servono ancora a chiarire il limiti e le modalità dell'uso commerciale della posta elettronica; le imprese e gli utenti conoscono ed apprezzano molto di più la netiquette che la legge sulla privacy, pur essendo la prima più rigida e restrittiva della seconda, ma almeno è più chiara; la netiquette ha una adesionespontanea.
Appare evidente che, con la normativa sulla privacy, si è pensato più tutelare la custodia dei dati e meno al loro uso. Al contrario della netiquette.
Resta il fatto che le banche dati sono tranquillamente disponibili, soprattutto dall'estero, per lo spamming ed altre azioni commerciali discutibili.
La legge sulla privacy le ha solo rese più costose.
Queste analisi, unitamente a quelle che vengono di seguito evidenziate in relazione all'indagine su "COME VIENE VALUTATA DALLE PMI LA LEGGE SULLA PRIVACY", sono ovviamente una opinione del Relatore; è vero che trova il consenso di una gran parte delle PMI, ma rimane pur sempre un'opinione.
Le regole sulla tutela della Privacy rimangono comunque confuse, disomogenee e non applicate.
Il WEB UNIT MANAGER, comunque, deve attenersi alla regole, così come sono imposte (anche se la pensa come il Relatore). Sappiate che queste opinioni il Relatore le ha espresse direttamente al Garante in un seminario tenutosi presso la Cassazione a Roma…ed il Garante non le ha potute contestare, ma, neanche, ovviamente, le ha condivise.
