OECD WORKSHOP ON SPAM 2-3 febbraio 2004 – Bruxelles, Belgio

"Frameworks for Enforcement Co-operation in Related Areas"    
Giovanni Buttarelli,
Garante per la protezione dei dati personali - Italia

Traduzione non ufficiale
a cura dell´Ufficio del Garante

Da questo Workshop sono già emerse molte idee interessanti.

Ci sono varie proposte, che dovremo cercare di armonizzare nel pomeriggio.

C’è però un filo conduttore tra gli interventi di ieri e di stamane: malgrado i molti sforzi, le norme opt-in approvate in molti Paesi, l’armonizzazione delle regole in Europa, i codici deontologici promossi, alcune tecniche specie di filtraggio, la sensibilizzazione culturale, il fenomeno dello spamming non è ancora sensibilmente ridotto e in alcuni Paesi è ancora oggi in corposo aumento.

Una seconda considerazione mi sembra sottesa a vari interventi: ci vuole un approccio globale su scala mondiale, caratterizzato dall’interazione di molti approcci e strumenti, anziché su soluzioni basate solo sulla repressione o sulla self-regulation o su interventi educativi.

Prima di fare qualche considerazione generale, vorrei portarvi la recente esperienza italiana, molto aggressiva nei confronti dello spam ma inefficace in alcuni casi specifici.

Nel mio Paese siamo stati tra i primi a seguire l’approccio opt-in, fin dal 1996, tutelando tutti i destinatari, sia persone fisiche sia persone giuridiche. Nel mio Paese lo spamming è anche un reato, se c’è un fine di profitto o l’intento di danneggiare il destinatario. Queste regole sono state confermate due volte dal nostro legislatore nazionale, nel 1998 e nel 2003.

Devo ammettere che non abbiamo maturato un’esperienza particolarmente consistente per quanto riguarda la cooperazione quotidiana con altri Paesi in materia di enforcement. Abbiamo avuto moltissimi casi ed ottimi esempi in cui abbiamo potuto scambiare informazioni ed ottenere l’esecuzione di nostri provvedimenti, in Europa come in Australia, in Canada e negli USA; tuttavia, ciò ha riguardato soprattutto altre problematiche, diverse dallo spamming.

La nostra Autorità di protezione dei dati personali da 2/3 anni è impegnata massicciamente: abbiamo adottato vari provvedimenti, anche di carattere generale, con i quali abbiamo toccato i vari aspetti del consenso e dell’informativa.

Abbiamo ribadito più volte che è vietato utilizzare software che rastrellano indiscriminatamente dati disponibili in rete (ad esempio in forum o newgroups), o creano automaticamente indirizzi senza neanche verificare a chi pervengono o se sono attivi.

Abbiamo sanzionato l’utilizzo commerciale di indirizzi di posta elettronica che erano stati pubblicati su siti di pubbliche amministrazioni e di aziende per specifiche finalità.

Ci siamo occupati della pubblicità delle liste anagrafiche degli abbonati ai provider, e degli elenchi delle persone che hanno registrato i nomi a dominio.

Abbiamo affermato più volte il principio della libertà del consenso, che non si può estorcere ad un utente solo perché si fornisce un altro servizio.

Abbiamo dichiarato sleali determinate prassi nelle quali non vi era un’adeguata e sincera informativa sugli scopi dell’utilizzazione di dati da parte di terzi, o nelle quali con la scusa di chiedere il consenso si mandava una prima pubblicità in stile opt-out.

Nel 2002 abbiamo visto che non si raccoglievano molti frutti e siamo passati allora ad una dimensione più repressiva.

Con la collaborazione di una forza di polizia abbiamo eseguito contemporaneamente lo stesso giorno dodici provvedimenti con cui abbiamo bloccato l’attività illecita di alcune aziende, le abbiamo denunciate all’autorità giudiziaria.

Abbiamo dato molto risalto mediatico all’’iniziativa, e il popolo della rete ha iniziato ad esercitare massicciamente i propri diritti di accesso, opposizione e cancellazione dei dati direttamente presso gli spammer, stimolata anche dal fatto che, a parte il risarcimento del danno che può essere chiesto davanti al giudice, noi accordiamo subito a ciascun ricorrente un ristoro immediatamente esecutivo sulle spese del procedimento, fino a 250 euro e, nei casi più gravi, fino a 500 euro per ogni ricorso.

Ne sono derivate molte inchieste penali, moltissimi ricorsi veri e propri alla nostra Autorità, che li decide entro 60 gg. con una decisione che deve essere rispettata altrimenti si commette un autonomo reato.

Il legislatore ci ha dato l’autorità di imporre ai provider l’adozione di filtri e di altre misure praticabili per quanto riguarda le coordinate di posta elettronica degli spammer.

Il risultato è incoraggiante in termini culturali e di opinione pubblica, ma pesante per quanto riguarda la funzionalità del nostro organismo.

Le indagini per rintracciare lo spammer sono a volte complesse e richiedono molte energie o si fermano senza esito.

Lo spamming non è il più grave degli illeciti che si possono commettere con i dati personali, eppure assorbe oggi già almeno il 34 % delle ispezioni esterne e ¼ delle decisioni sui ricorsi dei cittadini.
Avremmo dovuto denunciare alla magistratura penale migliaia di persone e siamo stati quindi indotti ad interpretare la norma penale nel senso che lo spamming è reato non quando c’è una sola e-mail indesiderata, ma solo quando c’è un’attività sistematica.

Non abbiamo fatto solo repressione: abbiamo anche dato suggerimenti su come informare user friendly e raccogliere lealmente il consenso.

Tra poco faremo adottare anche uno specifico codice deontologico che avrà valore di legge e sarà addirittura allegato all’originale del Data Protection Act.

Tuttavia, il sistema descritto è frutto di un approccio nazionale; il fenomeno dello spamming resta elevato e l’approccio di law enforcement da solo non può risolvere il problema, anche quando giungessimo ad applicare comunque la norma penale nazionale del luogo in cui giunge l’e-mail.

Fino a qualche anno fa il mio indirizzo di posta elettronica personale era conosciuto anche all’estero, ma solo ad amici e colleghi. Da quando ho partecipato negli U.S.A. ad un convegno sulla privacy, e l’ho incautamente indicato a qualcuno, ricevo non meno di 50 e-mail di tutti i tipi, tutte dall’estero, e leggendo le quali si potrebbe delineare un mio pessimo profilo.

Le garanzie italiane mi aiutano poco perché non sono applicabili alle e-mail provenienti dall’estero, conformemente al principio di stabilimento adottato dalla direttiva n. 95/46 del 1995.

Potrei invocare la legge penale fuori del campo della protezione dei dati, se c’è ad esempio una tentata truffa o un’offesa alla mia dignità o reputazione. Potrei scrivere ad un’autorità competente nel Paese da dove proviene lo spamming (una soluzione prospettata in uno dei nostri provvedimenti generali), ma impiegherei molto tempo e non posso permetterlo.

In molti casi, poi, lo spamming viene nei week-end e si capisce che gli spammer sono molte volte singole persone che esercitano in privato questa attività da casa, senza un’organizzazione alle spalle e senza ricadere necessariamente nel campo di applicazione di una legge relativa alla protezione dati, visto che, almeno in Europa, questa normativa in genere non riguarda alcuni trattamenti di dati personali per scopi privati e personali. Pertanto, rispondere loro contestando lo spamming significherebbe confermare la validità del mio indirizzo, renderlo più interessante per altri messaggi.

Ho poi un caso interessante di cooperazione tra autorità di protezione dei dati, basato su un’esperienza personale.

Mentre ero al telefono con i colleghi francesi, ho ricevuto una e-mail indesiderata dalla Francia. Ho chiesto in tempo reale di smettere minacciando altrimenti di rivolgermi alla polizia e ho ricevuto in pochi secondi un “no” insultante.

Allora ho chiesto, sempre in tempo reale, alla collega francese come regolarmi e ho girato a lei le e-mail. Con una encomiabile efficienza, l’Autorità francese ha rintracciato lo spammer, lo ha deferito per pratica commerciale non autorizzato, ha verificato l’origine dei dati, ha posto un formale stop allo spamming e mi ha scritto due lettere in poco tempo. Sono veramente molto grato al sig. Gentot, ma poi mi sono chiesto come potremmo –noi autorità di protezione dei dati- far fronte caso per caso a questi fenomeni.

Che cosa possiamo allora suggerire nel breve periodo?

Sono ottimista, ma preoccupato dell’aumento dei costi economici dello spamming e della crescente offerta di servizi di posta elettronica anti-spamming a pagamento.

Concordo su molte altre proposte fatte, sulle quali non tornerò.

Mi limito invece ad alcune considerazioni finali, sul piano giuridico e tecnico.

Sul piano giuridico, i meccanismi tradizionali delle rogatorie penali non sono molto adatti a queste fattispecie e penso che il terreno della protezione dei dati possa dare migliori risultati.

Le direttive europee sulla privacy, la Convenzione di Strasburgo n. 108/1981 e la Convenzione sul Cybercrime prevedono già forme di cooperazione che sono già in atto anche attraverso il Gruppo dell’art. 29 e periodici workshops sui ricorsi, che sono menzionati anche nella Comunicazione della Commissione europea.

Non vedo alcuna difficoltà per quanto riguarda lo scambio di informazioni rispetto a ricorsi transfrontalieri, l’eventuale rimessione del ricorso all’autorità pertinente (quella del Paese da cui provengono i messaggi), l’armonizzazione delle prassi seguite da tutte le Autorità di protezione dati. Su questi punti, mi sembra che non ci sia alcuna esigenza fondamentale di introdurre norme ulteriori.

Possiamo comunque incrementare questa cooperazione fra Autorità nazionali già sul piano amministrativo, attraverso la creazione di Intranet oppure scambi di dati, e potremmo forse riflettere su un nuovo quadro giuridico di cooperazione settoriale, per intensificarla ancora di più.

Si potrebbe prendere ad esempio il regolamento comunitario n. 1/2003, che in materia di diritto della concorrenza istituzionalizza networks orizzontali (fra autorità e potere giudiziario negli Stati membri, e tra Stati membri) e verticali (anche con la Commissione) e ipotizza altre forme di collaborazione bilaterale e multilaterale con Stati terzi.

Dunque, le difficoltà più consistenti riguardano forse l’eliminazione di ostacoli allo scambio di informazioni ed alla cooperazione con gli Stati terzi.

Dovremmo poi riflettere sulla possibilità giuridica di:

• considerare responsabile in solido il soggetto in favore del quale è fatta la pubblicità, quando non è identificabile il mittente della e-mail;
• valorizzare le responsabilità di fornitori di servizi di comunicazione elettronica e il ruolo delle autorità di regolamentazione in quel settore, per far sì che le gravi e reiterate inosservanze della normativa sulla protezione dei dati, che rileva come uno dei requisiti fondamentali del servizio prestato, possano essere oggetto di un provvedimento di richiamo, sospensione o revoca dell’autorizzazione a prestare il servizio, in base alla disciplina di recepimento delle direttive nn. 19, 20 e 21 del 2002.

Sul piano tecnico, la normativa sul servizio di identificazione delle linee telefoniche chiamanti di tipo digitale pone l’interrogativo se sia possibile introdurre anche nelle comunicazioni e-mail un servizio che permetta di rifiutare gratuitamente e automaticamente (senza sopportare i costi della loro ricezione) e-mail non incluse in una white-list aggiornata dall’utente destinatario.

Un’obiezione non trascurabile a questi sistemi di "whitelisting" è quella relativa al fatto che il "primo contatto" tra due utenti desiderosi di comunicare per mezzo di email dovrebbe a volte avvenire con una comunicazione "fuori banda", quindi con strumenti diversi dalla posta elettronica.

D´altra parte, per adottare misure realmente efficaci in Internet e che non rallentino l´efficienza dei protocolli e delle reti è conveniente attendere le iniziative in corso nelle sedi tecniche come lo IETF (Internet Engineering Task Force) e lo IAB (Internet Architecture Board) e che presumibilmente comporteranno proposte tecniche di sostanziali modifiche agli attuali protocolli di posta elettronica.

Giova ricordare, a questo proposito, che l´attuale protocollo SMTP (Simple Mail Transfer Protocol - RFC-821) risale nella sua prima formulazione all´agosto del 1982.

Interventi correttivi sulla base dell´attuale protocollo, pur apprezzabili e utili in questo momento, avrebbero la valenza di rimedi palliativi e temporanei in attesa di una ridefinizione dei protocolli che per portata e impatto non sarebbe comunque inferiore all´introduzione del "new generation IP" ovvero del protocollo IPv6. Lasciamo quindi questo compito ai tecnici.

Infine, vorrei tornare al suggerimento formulato da Mozelle Thompson, il quale giustamente sottolinea la necessità di fare chiarezza sulla competenza e sui poteri degli organismi giudiziari e amministrativi, non soltanto nel settore della privacy e/o della protezione dei dati.