Non possiamo in questa sede pubblicare i nomi delle società che sono state coinvolte in ricorsi al Garante Privacy perché il regolamento del Garante impone (dpr 501/98 art.21 comma 1) che le parti del procedimento possano rimanere anonime facendone richiesta prima della pubblicazione dei ricorsi negli elenchi pubblici del Garante; cercheremo però di delineare il comportamento del Garante in base alle decisioni che ha preso.
Il primo caso in esame è quello di una società per azioni italiana leader nel mercato degli internet provider; l'autore di questo articolo ha presentato il ricorso per aver ricevuto posta pubblicitaria a distanza di ben 3 anni della sua sottoscrizione dell'account gratuito di posta elettronica; in questi 3 anni il proprio fornitore è stato acquistato dalla società chiamata in causa nel ricorso, la quale, per promuovere la propria community ha ritoccato unilateralmente le norme contrattuali lasciando all'utente la sola scelta di rinunciare al servizio (pratica oggi molto comune, si veda il caso delle varie flat-rate morte o moribonde). Al momento della sottoscrizione del servizio, nell'informativa sulla privacy non vi era indicazione sul fatto che i dati comunicati sarebbero stati usati dal fornitore per effettuare comunicazioni pubblicitarie, comunicazioni che hanno iniziato ad arrivare con il ritmo di una o due alla settimana.
Anche sull'attuale informativa non si cita l'uso per scopi pubblicitari; l'informativa si articola in 4 punti:
- fornire i servizi previsti, che non andrebbe neanche dichiarato perché già previsto dalla 675;
- fornire i servizi che la società riterrà interessanti per gli utenti; clausola vessatoria?
- verificare la qualità dei servizi offerti
- risalire, su richiesta delle autorità, agli autori di eventuali illeciti commessi tramite i propri servizi; anche qui eventualità che non deve essere necessariamente esplicitata perché già prevista dalla legge 675.
Il Garante nella sua sentenza ha determinato che il ricorso era fondato perché la società non aveva risposto alla raccomandata dell'utente che chiedeva informazioni riguardo al trattamento dei dati personali; ma ha altresì dichiarato non luogo a provvedere per quanto riguarda l'opposizione all'uso improprio dei dati in quanto l'azienda ha già dichiarato durante il procedimento di aver rimosso i dati dal proprio database. In funzione di queste considerazioni ha emesso un ordine secondo cui la società dovrà comunicare al proprietario dei dati tutte le informazioni da lui richieste e dovrà versare le spese del procedimento previa giusta compensazione delle spese sostenute da entrambe le parti.
A conti fatti l'utente verrà rimborsato di 62,5 Euro (1/4 di 250 Euro), dovrà ricevere entro il 20 settembre p.v. la comunicazione dei dati richiesti nella prima raccomandata e non riceverà più spam.
Altro caso interessante è stato quello di una società di Roma che ha inoltrato una richiesta per inserire utenti nei propri database a svariate decine di persone: peccato che abbia rastrellato gli indirizzi dei malcapitati da tutte le fonti a propria disposizione, autorizzate e non. Infatti uno dei destinatari di quelle email ha pensato bene che non aveva mai comunicato con la società in questione e che quindi non potevano avere la propria autorizzazione; per farla breve, la società spammatrice aveva minuziosamente conservato tutti i destinatari aggiuntivi inclusi nelle comunicazioni (lecite) tra lei e terze parti per farne buon uso al momento opportuno. L'indirizzo del ricorrente era stato prelevato da una mail con destinatari multipli che un'altra azienda aveva spedito alla società chiamata in ricorso, circa 10 mesi prima dell'invio della email incriminata; quindi i dati erano stati letti, memorizzati ed usati a scopo commerciale senza un'autorizzazione esplicita.
Il Garante per la protezione dei dati personali ha osservato che:
"Il ricorso verte sul trattamento dei dati personali effettuato attraverso l'invio di corrispondenza ad un indirizzo di posta elettronica, senza che risulti acquisito il previo consenso informato da parte dell'interessato od operante uno dei presupposti del trattamento di cui all'art.12 della legge n.675/1996"Ed ancora:
"Analogamente a quanto rilevato in altre decisioni di questa Autorità (Provv. 11 gennaio 2001), l'indirizzo di posta elettronica del ricorrente non risulta provenire da pubblici registri, elenchi, atti o documenti conoscibili da chiunque" contenenti dati che possono essere quindi utilizzati, sulla base di un'idonea informativa, anche in mancanza del consenso informato dell'interessato o di un altro idoneo presupposto del trattamento (art. 12, comma 1, lett. C)"Risulta chiaro quindi come un indirizzo di posta elettronica non può essere utilizzato (letto, memorizzato, usato, venduto, ceduto, esportato, etc) da chiunque senza previa autorizzazione del proprietario dello stesso.
Rimane però da comprendere perché il Garante in questo caso abbia disposto la compensazione delle parti per quanto riguarda le spese, come rimane da chiarire perché il Garante stabilisca rimborsi spese in misura variabile da 0 a 250 euro pur riconoscendo la trasgressione della 675.
La società in questione aveva risposto alla richiesta informazioni correttamente ed aveva rimosso i dati dell'utente già prima del ricorso; inoltre, a propria tutela, aveva delegato un avvocato effettuando di fatto delle spese. Forse queste sono state le cause della giusta compensazione che non ha visto rimborsare all'utente i costi del procedimento aperto.
Per quanto visto fino a qui sembrerebbe che il Garante si limiti a fermare gli illeciti in atto, senza notificare all'autorità giudiziaria la trasgressione della legge sulla privacy che configura il reato penale di violazione di privacy.
Ma ad aggravare la situazione, ci sono anche i casi dei privati che hanno inviato messaggi non proprio pubblicitari ma comunque mirati ad attivare delle attività commerciali che fanno aumentare le comunicazioni in maniera esponenziale: ne è l'esempio il caso di Filippo Forni che ha recentemente notificato
la sua vicenda a PI. Od altri casi, attualmente in via di definizione dal Garante per la protezione dei dati personali, nati da comunicazioni commerciali di liberi professionisti che hanno sfruttato indirizzi email presenti su cd-rom acquistati in edicola.