Il Garante per la protezione dei dati personali in data 4 Luglio 2013 ha adottato Le Linee Guida in materia di attività promozionale e contrasto allo spam (G.U. n. 174 del 26 luglio 2013) in considerazione del fatto che sono progressivamente emersi profili problematici e nuove forme di spam in grado di comportare modalità sempre più invasive della sfera personale degli interessati.
Lo spam, ai fini del Codice, è rappresentato dalle comunicazioni per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (v. artt. 7, comma 4, lett. b, 130, comma 1 e 140 del Codice) effettuate con sistemi automatizzati di chiamata senza operatore (c.d. telefonate preregistrate) oppure con modalità assimilate alle prime (quali: e-mail, fax, sms, mms), senza che il destinatario abbia ricevuto un’ informativa sul trattamento dei dati personali o abbia prestato il consenso a ricevere messaggi.
Lo spammer (colui che invia lo spam), al fine di inviare messaggi promozionali, utilizza riferimenti (e-mail, numeri telefonici, ecc.) spesso raccolti in modo illecito o in modo automatico via internet (ad es. su newsgroup, forum, ecc.) mediante speciali programmi (spambot, ecc.) o, semplicemente, con invii a caso ad indirizzi mail basati sull’uso di nomi comuni.
Mentre le persone fisiche possono esercitare i diritti di cui agli artt. 7 e ss. del Codice Privacy al fine di tutelare la propria sfera personale da illecite ingerenze, le persone giuridiche sono, allo stato, sprovviste dei medesimi mezzi di tutela come conseguenza della riforma rappresentata dalla soppressione dal novero degli “interessati al trattamento dei dati personali” delle persone giuridiche, enti ed associazioni (in virtù dell’intervento abrogativo operato sull’art. 4, comma 1, lett. B del Codice Privacy dal D.L n. 201/2011 c.d decreto “salva Italia”).
Dal 6 dicembre 2011, quindi, le persone giuridiche ed enti assimilati, destinatarie dello spamming non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli artt. 7 ss. del Codice, perché non possono essere più “interessati”; detti soggetti, tuttavia, in quanto “contraenti” possono avvalersi degli ordinari strumenti di tutela previsti dall’ordinamento, potendo, quindi rivolgersi al giudice ordinario esperendo rimedi civilistici quali ad es. l’azione inibitoria e/o l’azione di risarcimento del danno, oppure eventualmente quando ricorrano gli elementi costitutivi dell’art. 167 c.p, anche sporgere denuncia attivando un procedimento penale.
Il vademecum adottato dal Garante, alla cui consultazione si rinvia, puntualizza alcune semplici regole d’oro al fine di prevenire e contrastare il fenomeno dello spamming, a mero titolo esemplificativo:
– Mantenere in efficienza il pc scaricando periodicamente gli aggiornamenti (contenenti anche difese antispam) per il sistema operativo e gli applicativi più utilizzati;
– Installare un programma antivirus che offra anche una protezione antispam;
– Nel caso di invio di una email a molti destinatari, usare la funzione “ destinatario in copia conoscenza nascosta (ccn)” al fine di non rendere visibili gli indirizzi dei contatti;
– Impiegare filtri antispam offerti da alcuni programmi di posta elettronica che permettono di cancellare tutta la posta proveniente da un particolare indirizzo;
– Non rispondere allo spam in quanto lo spammer può in tal modo stabilire che l’indirizzo è valido e attivo.
Occorre, comunque, distinguere tra spam e invii leciti : se, infatti, il contatto telefonico o email è stato raccolto col consenso del destinatari o secondo le modalità previste dalla legge (es. nell’ambito di un contratto per la fornitura di qualche servizio), non si può parlare di spam; in ogni caso, se le comunicazioni pubblicitarie ad un certo punto diventano indesiderate è possibile opporsi al trattamento dei dati per tale scopo inviando una emailal mittente per chiedere la sospensione dell’invio e chiedere la cancellazione dell’indirizzo email dal database di chi invia la comunicazione.
Scarica le Linee Guida del Garante
Da un punto di vista informatico
la sicurezza dei dati residenti sul computer si può raggiungere al 99,9% applicando determinate regole e conoscendo alcune dinamiche :
– Sistema Operativo sempre aggiornato;
– Antivirus sempre aggiornato (non solo la licenza e il database dei virus ma anche il motore software);
– Installare solo i software che servono per lavorare ed approvati dal Titolare dei dati;
– Utilizzare un firewall fisico che possa gestire la sicurezza perimetrale per quanto riguarda virus espam (utilizzare software antivirus con diverse funzioni impegna la memoria ed il processore del computer rendendolo “lento”, questo è un motivo per cui è preferibile un firewall fisico. Il firewall fisico permette di avere anche molte altre funzioni utili nell’organizzazione del lavoro);
– Non aprire email che arrivano da Banche, Poste e Lotterie (sistemi più classici di phishing/spam);
– Se di una email non conosco il mittente, probabilmente neanche lui mi conosce, è preferibile cancellare il messaggio;
– Aprendo una email non si installano virus;
– Aprendo l’allegato di una email può installarsi un virus;
– Aprendo una email il mittente può accorgersi che è stata aperta e quindi può sapere che quella email viene utilizzata;
– Fare il backup quotidiano dei dati (se possibile anche del sistema), per esempio con Windows 7 Professional è possibile pianificare il backup dell’immagine del disco (oltre ai dati viene salvata l’installazione del sistema operativo e software gestionali);
– Fare il backup mantenendo versioni precedenti delle copie, non solo l’ultima;
– Fare il backup remoto – esistono sistemi di backup che possiamo pianificare per inviare i dati crittografati su server esterni. Il sistema che utilizziamo noi permette un backup schedulato ed automatico che tiene conto dell’orario di lavoro (e quindi si ferma) in modo da ottimizzare le risorse salvaguardando i dati;
Queste misure non dovrebbero essere viste come una cosa eccezionale ma ordinaria, la salvaguardia dei dati non solo è un dovere nei confronti dell’interessato ma è un dovere anche nei confronti del Titolare.
Se il backup non fosse una misura minima prevista dal D.Lgs 196/2003, perdere i dati che sono stati inseriti con migliaia di ore di lavoro rappresenterebbe comunque un danno enorme.
Roberto Bertoli – Consulenza Privacy