La tutela della privacy nell’era di Internet
ITALIA – Catania. 17/08/13. La Società dell’informazione ha creato una nuova, inedita e complessa identità dell’individuo che prende il nome di “identità informatica”. «Essa è distinta dall’identità fisica, poiché si tratta di un’identità virtuale costituita da dati riferiti a una persona, che acquistano il loro significato solo quando abbia luogo il relativo procedimento elettronico», come sostiene autorevolmente Vittorio Frosini.
Alla luce della progressiva diffusione delle nuove tecnologie dell’informazione e della comunicazione, la locuzione “identità digitale” ha assunto una rilevanza sempre più attuale in quanto strettamente connessa allo sviluppo delle nuove tecnologie che confermano il primato di Internet con l’avvento dell’era digitale.
La tutela dei dati personali è stata per la prima volta riconosciuta normativamente dalla Direttiva 1995/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 “Relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.
La direttiva in esame è stata recepita nel nostro ordinamento con la legge 31 dicembre 1996, n. 675. La materia è stata ulteriormente riformata con la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” (cd. “Direttiva relativa alla vita privata e alle comunicazioni elettroniche”) recepita con il d.lgs. 30 giugno 2003, n. 196 con cui è stato predisposto il noto “Codice in materia di protezione dei dati personali”.
Lo sviluppo evolutivo delle nuove tecnologie impone la ricerca di un indispensabile punto di equilibrio tra la tutela dell’individuo e l’esigenza di diffondere le informazioni nel cyberspazio: anche perché la “ragnatela globale” della Rete rende sempre più difficile la possibilità di controllare i propri dati personali. Infatti, con l’avvento del “Web 2.0”, caratterizzato da una partecipazione interattiva degli utenti alla creazione di contenuti digitali, si è determinata una significativa modificazione delle modalità di gestione dei dati personali e dei rischi legati al loro uso.
Il World Wide Web può essere considerato una straordinaria fonte di approvvigionamento dei dati personali, perché consente di reperire e registrare numerose informazioni riguardanti la vita delle persone. In questo senso, il diritto alla privacy, riattualizzato nell’era della Società dell’Informazione, comprende una notevole varietà di fattispecie che sono espressione di una comune matrice ideale caratterizzata dall’indispensabile tutela della persona.
Nel rapporto dell’individuo con la collettività, il diritto alla privacy trova il suo limite più evidente nel contrapposto diritto di manifestare liberamente il proprio pensiero garantito dall’art. 21 Cost., con la conseguenza che per tutelare efficacemente il diritto alla riservatezza è necessario elaborare adeguati criteri di bilanciamento che consentano di garantire l’interesse pubblico all’informazione e al pari la tutela della riservatezza della persona.
A livello europeo, un primo significativo riconoscimento delle istanze di riservatezza dell’individuo è contenuto nella Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (CEDU), il cui art. 8 sancisce espressamente il rispetto dei diritti fondamentali e la protezione della vita privata e familiare. Peraltro, la Corte CEDU, in più occasioni, ha elaborato orientamenti giurisprudenziali ricognitivi di un’interpretazione estensiva della locuzione “vita privata”, in maniera tale da ampliare l’ambito applicativo della relativa tutela riconosciuta dalla norma (a titolo esemplificativo si vedano le sentenze Klass/Germania del 6 settembre 1978; Leander/Svezia del 26 maggio 1987; Halford/Regno Unito del 25 giugno 1997; Rotaru/Romania del 4 maggio 2000; Perry/Regno Unito del 17 luglio 2003).
Nell’ordinamento italiano il primo intervento di carattere generale in materia di trattamento dei dati personali è stato realizzato con la legge 31 dicembre 1996, n. 675 (attuativa della Direttiva 95/46/CE) modificata e integrata dal d.lgs. 30 giugno 2003, n. 196 che ha introdotto il noto “Codice della privacy” (in recepimento della Direttiva 2002/58/CE) che contiene il testo unico delle norme in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse.
L’art. 2, a tal fine, precisa espressamente che «Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali» (comma 1); «Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento» (comma 2).
In base alla definizione normativa delineata dal Codice si evince chiaramente che i dati personali identificano le informazioni che consentono di individuare, direttamente o indirettamente, una persona fisica o giuridica, sulla base di una configurazione ampia e generale che estende la portata applicativa della disciplina normativa per la regolamentazione di varie ed eterogenee fattispecie, in presenza degli elementi costitutivi delineati dal legislatore, come risulta chiaramente nell’art. 4che contiene le definizioni di riferimento.
Per garantire la protezione del diritto alla privacy, il Codice stabilisce stringenti prescrizioni normative finalizzate alla tutela dell’interesse generale in cui si sostanzia il diritto in esame, imponendo il rispetto dei principi generali di necessità, liceità e correttezza del trattamento (art. 11) e configurando a carico del titolare una serie di doveri di condotta (adozione di misure di sicurezza ex Titolo V, Capo I; richiesta del consenso all’interessato ex artt. 7 e 8; indicazione delle informazioni circa le finalità del trattamento di cui all’art. 13, ecc.).
La tutela penale della privacy, intesa nel duplice profilo della riservatezza del domicilio e della vita privata, nonché del segreto della corrispondenza e delle comunicazioni, è garantita dagli artt. 615, 615-bis, 615-ter, 615-quater, 615-quinquies e 616 c.p.
Le nuove esigenze di tutela derivanti dalla diffusione delle tecnologie sono state recepite introducendo nel codice penale nuove specifiche fattispecie mediante l’elaborazione di norme introdotte in relazione alle banche dati accessibili ai pubblici ufficiali (si vedano, tra l’altro, la legge 98/1974 e la legge 121/1981), sulla base di un processo evolutivo influenzato ancora una volta dagli interventi normativi predisposti dal legislatore europeo.
Inoltre, sono state recepite le indicazioni del Consiglio d’Europa contenute nella Raccomandazione R(89)9 relative alla prevenzione e repressione dei crimini informatici mediante l’emanazione della legge 23 dicembre 1993, n. 547 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”, che ha introdotto nel codice penale una serie di reati aventi ad oggetto il sistema informatico.
Il Codice della privacy amplia ulteriormente la sfera di protezione dei dati personali, attuando i principi di sussidiarietà e di estrema ratio della sanzione penale, con la conseguenza che l’ambito di applicazione delle sanzioni amministrative è stato generalizzato, attribuendosi carattere eccezionale alle sanzioni penali, irrogate soltanto in presenza dei presupposti normativi previsti dal legislatore.
L’art. 167 del Codice della privacy punisce la fattispecie del trattamento illecito di dati personali, ponendo, tuttavia rilevanti difficoltà interpretative nella concreta individuazione della portata applicativa della norma.
L’art. 1 lett. a) precisa che per “trattamento” si intende «qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati»; tuttavia, l’ampiezza di tale definizione crea difficoltà interpretative ai fini della concreta configurazione della condotta penalmente rilevante anche perché, ad esempio, la norma non precisa se le operazioni elencate debbano essere tutte compresenti per la configurazione del trattamento illecito dei dati, ovvero se sia sufficiente a tal fine anche solo una di esse.
Il comportamento illecito si realizza per il contrasto con le norme tassative indicate dall’art. 167 del Codice. Il primo comma della norma dispone che «Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi». Il secondo comma dell’art. 167 aggiunge che «Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni».
Sul punto, nel tentativo di chiarire l’ambito interpretativo della disciplina, è intervenuta la Corte di Cassazione, con la sentenza del 9 luglio 2004, n. 1134 (il cui testo è disponibile su http://www.penale.it/giuris/cass_024.htm), precisando che il delitto in esame, a seguito della modifica apportata dal Codice della Privacy (d.lgs. 196/03), è stato trasformato «da reato di pericolo presunto a quello di pericolo concreto» con un’ulteriore maggiore “tipicizzazione” del danno e del profitto, evidenziando che «Sono escluse dalla fattispecie criminosa di cui all’art. 167 del Codice della Privacy (“Trattamento illecito di dati”) non solo le semplici violazioni formali ed irregolarità procedimentali, ma anche quelle inosservanze che producano un vulnus minimo all’identità personale del soggetto e alla sua privacy come definite sia nell’aspetto negativo sia positivo e non determinino alcun danno patrimoniale apprezzabile».
L’orientamento prevalente della giurisprudenza ritiene esistente il nocumento nel caso in cui vi sia un danno economicamente rilevante e valutabile, in modo da intervenire la sanzione penale soltanto nei casi in cui l’illiceità del trattamento sia effettivamente rilevante e comporti una lesione dell’interesse giuridico protetto, così da non sanzionare “reati bagatellari”, come confermato dalla stessa Cassazione secondo cui «L’art. 167, d.lgs. 196/2003, è un reato di pericolo effettivo e non meramente presunto con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento alla persona dell’interessato e/o al suo patrimonio […] al verificarsi dei suoi elementi costitutivi (condotta, evento, nesso di causalità ed elemento psichico) ma che diviene punibile solo al verificarsi di questo quid pluris che il legislatore definisce “nocumento” e che deve discendere dal fatto» (sentenza 15 giugno 2012, n. 23798, il cui testo è disponibile su http://www.altalex.com/index.php?idnot=57799).
È evidente che la tutela della privacy assume una rilevanza particolarmente significativa nel contesto della Società dell’Informazione, dal momento che Internet configura nuovi pericoli derivanti dal fatto che la pubblicazione online di dati personali può avere gravi conseguenze, rendendo praticamente impossibile la rettifica di informazioni non corrette o la gestione del diritto all’oblio. Particolarmente interessante è menzionare il caso relativo alla pubblicazione dei dati dei contribuenti sul sito internet dell’Agenzia delle entrate: il Garante per la protezione dei dati personali ha adottato d’urgenza provvedimenti diretti a bloccare la diffusione di ulteriori dati, affermando che «L’uso di uno strumento come Internet rende indispensabili rigorose garanzie a tutela dei cittadini. L’immissione in rete generalizzata e non protetta dei dati di tutti i contribuenti italiani (non sono stati previsti “filtri” per la consultazione online) da parte dell’Agenzia delle entrate ha comportato una serie di conseguenze: la centralizzazione della consultazione a livello nazionale ha consentito, in poche ore, a numerosissimi utenti, non solo in Italia ma in ogni parte del mondo, di accedere a innumerevoli dati, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere ulteriormente dati in circolazione, ponendo a rischio la loro stessa esattezza. Tale modalità ha, inoltre, dilatato senza limiti il periodo di conoscibilità di dati che la legge stabilisce invece in un anno» (Comunicato stampa 6 maggio 2008 disponibile sul sito ufficiale http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/1510761).
In generale, quando si parla della tutela della privacy con specifico riferimento al cyberspazio, occorre focalizzare le principali caratteristiche del fenomeno, tenendo presente che i sistemi di file sharing, YouTube e in generale i social network consentono oggi a tutti gli utenti di immettere e diffondere in Rete una grande varietà di dati e informazioni, realizzando il cd. “user generated content” (UGC): si è passati, cioè, da contenuti generati da soggetti specializzati (testate giornalistiche online, pubbliche amministrazioni digitalizzate, ecc.) a contenuti generati spontaneamente dagli utenti stessi, non più soltanto semplici destinatari passivi dell’informazione elettronica, ma creatori delle risorse che circolano nello spazio virtuale della Rete.
Naturalmente, tale fenomeno pur essendo estremamente positivo dal punto di vista dell’ampliamento della libertà di espressione in Internet, al tempo stesso, a causa della mancanza di un preventivo esame e controllo sui dati diffusi, può incidere negativamente sulla privacy degli individui, partendo dal presupposto che per il Codice della privacy un dato personale è «qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» (art. 4, comma 1, lett b).
Alla luce di tale ampia definizione normativa, anche un semplice indirizzo di posta elettronica o un’immagine, rientrando nella nozione di dato personale, non potrebbe essere pubblicata senza il consenso dell’interessato.
In base a tali riferimenti normativi, si configurano non pochi aspetti problematici in relazione al fenomeno del cd. ”user generated content”, soprattutto con l’avvento dei social network che contengono un’incredibile quantità di dati personali, la cui pubblicazione spesso non è autorizzata (molti utenti di Facebook, ad esempio, pubblicano sul proprio profilo, rendendole pubbliche, numerose foto che ritraggono altre persone, ignare dell’avvenuta pubblicazione della propria immagine). Lo stesso Garante per la privacy, con il suo provvedimento del gennaio 2005 “Videofonini: cautele per un uso legittimo”, precisa che «le immagini e i suoni ripresi con il videofonino per uso personale potrebbero riguardare terzi ed essere comunicati sistematicamente, oppure diffusi, per esempio attraverso Internet, anche mediante un proprio sito web personale».
In tale prospettiva, la sfida più importante è quella di predisporre concrete ed efficaci regole che siano in grado di disciplinare la pubblicazione dei dati personali da parte degli utenti, soprattutto in relazione al successo dei social network e in generale del “Web 2.0”.
Come è stato autorevolmente confermato in dottrina, rischi particolarmente elevati per la privacy degli utenti sono determinati da specifici fattori:
- 1)Mancanza del diritto all’oblio: i dati pubblicati non vengono cancellati e continuano ad essere memorizzati nei server originari o in server che svolgono attività archivistiche o di ricerca di informazioni sul web (come i motori di ricerca attraverso la loro “copia cache”);
- 2)Mancanza di trasparenza sulle modalità di condivisione delle informazioni: soprattutto nei social network (infatti, alcuni dati pubblicati nei profili degli utenti sono qualificabili come dati riservati e sensibili, ma vengono condivisi in maniera assolutamente incontrollata da parte di chi li ha generati);
- 3)Mancanza di trasparenza sulle modalità di utilizzazione diretta delle informazioni: molti siti che basano i propri servizi sui contenuti generati dagli utenti svolgono una vera e propria attività di profilazione dei fruitori, riutilizzando i dati raccolti anche per attività di marketing;
- 4)Furti di identità: la diffusa disponibilità dei dati, più o meno completi, degli utenti spesso ne provoca l’abuso da parte di soggetti terzi non autorizzati;
Per quanto riguarda il furto di identità, tra le più note tipologie diffuse online è possibile annoverare: il ghosting, il financial identity theft, l’identity cloning, il synthetic identity theft, il criminal identity theft.
Quando si parla di ghosting si fa riferimento ad un fenomeno molto diffuso in base al quale il ghoster (colui che agisce) utilizza l’identità di una persona defunta, con cui condivide l’età, la città o ulteriori dati che possono facilmente confondere i terzi. Il synthetic identity theft si realizza quando il “ladro” costruisce artificialmente un’identità utilizzando dati reali di altre persone ed elementi completamente falsi. L’identity cloning rappresenta la forma classica di furto di identità: il cloner copre la sua reale identità con quella di un’altra persona (la vittima) e vive la sua vita reale come se fosse la vittima, raccogliendo quante più informazioni possibili sulla vita utili per tracciare il suo profilo utilizzato dal cloner. Con l’identity theft il “ladro” sottrae dati anagrafici e/o finanziari. Giova, altresì, ricordare il financial identity theft che consiste nella sottrazione dei dati finanziari di una persona per scopi illeciti, pregiudicando la credibilità economico-finanziaria della vittima verso le banche e i terzi. Con il criminal identity theft, invece, un soggetto fornisce alle forze di polizia e alle autorità un’identità falsa che corrisponde a quella di un’altra persona.
I dati personali possono essere sottratti in svariati modi, non essendo sempre necessarie specifiche conoscenze tecniche. La sottrazione di dati personali può avvenire anche a causa di un “software malevolo” (malware keylogger) che registra tutto ciò che viene digitato sulla tastiera. Il software keylloger può essere contenuto nel malware, ossia in un software malevolo come Trojan o Worm, che normalmente si riceve per posta elettronica; una volta arrivato sul pc, il malware consentirà, in maniera del tutto invisibile e silenziosa per l’utente, l’installazione del keylloger, che inizierà a registrare tutte le battute della tastiera provvedendo ad inviarle in automatico a chi è in attesa di ricevere i dati.
Inoltre, i dati personali possono essere sottratti mediante la tecnica del “pishing”, che consiste nell’inviare e-mail false contenenti un collegamento diretto al link che riproducono il template grafico di banche o servizi postali con cui vengono richiesti i codici di accesso ai conti correnti o ad aree riservate per sottrarre denaro.
Con la sentenza n. 9891/2011 la II sezione della Corte di Cassazione Penale (il cui testo è disponibile su http://www.penale.it/page.asp?IDPag=1101) fornisce un’autorevole definizione di tale fenomeno, precisando che il phishing «è quell’attività illecita in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici ed malwere) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancali o postali che vengono rapidamente svuotati». Secondo la Suprema Corte, la condotta del phisher integra gli estremi dell’art. 640 ter cp in quanto «è sussumibile nell’ipotesi “dell’intervento senza diritto su […] informazioni […] contenute in un sistema informatico” di cui alla seconda parte dell’art. 640 ter c.p., comma 1.
Infatti, anche l’abusivo utilizzo di codici informatici di terzi (“intervento senza diritto”) – comunque ottenuti e dei quali si è entrati in possesso all’insaputa o contro la volontà del legittimo possessore (“con qualsiasi modalità”) – è idoneo ad integrare la fattispecie di cui all’art. 640 ter c.p. ove quei codici siano utilizzati per intervenire senza diritto su dati, informazioni o programmi contenuti in un sistema informatico o telematico, al fine di procurare a sè od altri un ingiusto profitto».
Naturalmente, un problema di privacy si pone in relazione al diffuso fenomeno dei social network. È noto che quando l’utente si registra su tale piattaforma virtuale pubblica le proprie informazioni e condivide numerosi dati personali (data e luogo di nascita, stato civile, orientamento politico, religione, recapito telefonico, ecc.) con gravi ripercussioni negative sulla privacy, nella misura in cui il profilo personale è pubblico e quindi a disposizione dei motori di ricerca.
Alla luce di tali aspetti, nel maggio del 2008, la Commissione europea aveva convocato una task force composta da 17 membri, rappresentanti dei social network e delle organizzazioni a tutela dei minori, allo scopo di predisporre un documento per fissare le linee guida relative all’uso dei social network da parte dei minori. Nel corso dei lavori, il 17 ottobre 2008, i Garanti della privacy mondiali (in occasione della trentesima conferenza internazionale tenutasi a Strasburgo) adottavano 7 risoluzioni, tra cui quella denominata “Resolution on Privacy Protection in Social Network Services” con cui sono state fornite le raccomandazioni sia agli utenti sia ai social network provider in ordine alla tutela dei dati personali.
Non mancano le iniziative a livello europeo: si ricordi, ad esempio, l’EuroPriSe (Europe Privacy Seal, Bollino europeo privacy): un progetto europeo che introduce un bollino privacy trans-europeo emesso da soggetti terzi indipendenti che certificano la conformità dei prodotti e servizi IT alle disposizioni europee su privacy e sicurezza dei dati. Altra iniziata analoga è quella del bollino “Friend of privacy” dell’Istituto Italiano Privacy (IIP), che ha attivato una campagna ad hoc per il rilascio, previo controllo delle procedure, del bollino da esibire sulle pagine web del siti che aderiscono all’iniziativa, in maniera tale da garantire la corrispondenza formale del sito web alla normativa italiana in materia di protezione dei dati personali.
Un ulteriore interessante tema da affrontare in relazione alla privacy riguarda il fenomeno della “Geolocalizzazione” che pone nuove questione problematiche di difficile soluzione con l’avvento della Società dell’Informazione. In particolare, si parla di “geosocial networking” per indicare una particolare modalità di localizzazione degli utenti che consente loro di interagire in base al tempo e al luogo dal quale si connettono; servizi web mapping per incrementare la socializzazione con gli utenti del social network che si trovano nel luogo mappato o sono localizzati come vicini all’evento di interesse comune.
Anche in questo caso, i rischi per la privacy sono evidenti dal momento che vi è la possibilità di tracciare in tempo reale ogni spostamento, come confermato dal Garante per la privacy secondo cui «il social networking tende ad essere sempre più pervasivo e si integra e arricchisce con nuove informazioni personali (ad esempio la posizione geografica dell’utente); in generale, a causa dell’integrazione dei servizi informatici e dello scambio di dati tra applicazioni, telefono e servizi, è sempre più difficile (e spesso impossibile) controllare il flusso dei propri dati personali» (documento “Smartphone e tablet: scenari attuali e prospettive operative”).
Lo sviluppo tecnologico dei servizi di geolocalizzazione ha favorito lo sviluppo del cd.”geomarketing” che nasce dalla commistione tra due storiche discipline: il marketing e la geografia. Il fenomeno consiste nell’analizzare i comportamenti dei soggetti economici (consumatori e imprese), tenendo conto del contesto territoriale di riferimento che diventa un elemento fondamentale a supporto delle scelte strategiche e della gestione operativa delle campagne pubblicitarie su nuovi servizi tenuto conto dei bisogni degli utenti differenziati in base alla localizzazione, indicati con la sigla LBS (Location Based Services).
Il rischio è quello di una continua profilazione di gusti e abitudini derivanti dalla possibilità di individuare le informazioni nello spazio e nel tempo. Le analisi geolocalizzate offrono dati statistici aggiornati che permettono di valutare le preferenze e i bisogni maggiormente diffusi nel contesto di riferimento, analizzando il potenziale di una zona rispetto a un particolare bene o servizio che si vuole offrire, in modo tale da pianificare campagne pubblicitarie ad hoc basate sullo sfruttamento di determinate informazioni reso possibile dalla conoscenza geolocalizzata dei clienti.
Secondo le regole dettate dal Garante per la Privacy per combattere il marketing selvaggio e favorire pratiche commerciali corrette l’invio di offerte commerciali deve avvenire solo con il consenso preventivo, è necessario lo specifico consenso del destinatario per inviare messaggi promozionali agli utenti di Facebook, Twitter e altri social network, non è necessario il consenso per inviare e-mail o sms con offerte promozionali ad amici a titolo personale (il cosiddetto “passaparola”).
Inoltre, un’impresa o società può inviare offerte commerciali ai propri “follower” sui social network quando dalla loro iscrizione alla pagina aziendale si evinca chiaramente l’interesse o il consenso a ricevere messaggi pubblicitari concernenti il marchio, il prodotto o il servizio offerto.
Le persone fisiche che ricevono spam possono presentare segnalazioni, reclami o ricorsi al Garante e comunque esercitare tutti i diritti previsti dal Codice privacy, inclusa la richiesta di sanzioni contro chi invia messaggi indesiderati (nei casi più gravi possono arrivare fino a circa 500.000 euro).
Skipe: angelo.alu.85
