Key4biz

Spamming e protezione dei dati. Uno studio della commissione UE

Mondo



La Commissione europea (Direzione Generale XV del Mercato Interno) ha affidato alla societ&#224 di consulenza Arete la conduzione di uno studio relativo al fenomeno dei messaggi di posta elettronica contenenti comunicazioni commerciali indesiderate – noti comunemente come “spam“.

Lo studio comprende due parti distinte: una disamina dello stato dell¿arte per quanto concerne le tecnologie alla base dello spamming (con particolare riferimento alla situazione esistente negli Usa, che rappresentano in un certo senso la “patria” dello spamming), e un¿analisi delle strategie normative adottate in Europa; seguono alcune considerazioni conclusive e di indirizzo al fine di promuovere lo sviluppo del commercio elettronico in Europa tutelando i diritti riconosciuti agli internauti europei.


Un dato di partenza &#232 il volume della spesa pubblicitaria relativa all¿uso di tecniche di marketing diretto: negli Usa, essa rappresenta ormai il 50% del totale. La popolarit&#224 di Internet quale veicolo pubblicitario &#232 legata a tre fattori principali: ridotti costi della campagna pubblicitaria rispetto alle tecniche tradizionali (posta), tassi di rendimento dell¿attivit&#224 di marketing compresi fra il 5 e il 15% (contro lo 0,5-2% delle comunicazioni postali tradizionali), percentuale di risposte molto pi&#249 elevata rispetto ai banner pubblicitari (18%, contro lo 0,65%).

Rispetto a questo quadro generale, va detto che negli Usa il fenomeno spamming &#232 in declino; sono sempre pi&#249 numerosi, infatti, gli operatori che preferiscono ricorrere ad attivit&#224 di marketing pi&#249 corrette anche in termini di protezione dei dati. Fra i fattori responsabili (provvedimenti anti-abusi adottati dai fornitori di servizi Internet, legislazione pi&#249 restrittiva anche negli Usa, interventi da parte delle associazioni di categoria quali la AIM – Association of Industrial Marketing), sta assumendo particolare rilevanza quella che gli autori dello studio definiscono la “controcultura dell¿e-marketing”, basata sul concetto del “marketing su autorizzazione”. Si tratta in pratica di istituire canali di comunicazione con i consumatori su base volontaria, passando per gradi da un rapporto fondato sull¿interesse ad un rapporto basato sulla fiducia. Con il crescere della fiducia, il consumatore viene convinto ad autorizzare una gamma sempre pi&#249 ampia di attivit&#224 di marketing: raccolta di dati sulle abitudini di vita, su hobby e interessi, invio di messaggi pubblicitari relativi a nuovi prodotti e servizi, ecc.. Questo tipo di marketing basato su un approccio di “opt-in” (ossia, sulla possibilit&#224 per il cliente di scegliere se aderire o meno) &#232 ormai la parola d¿ordine fra gli operatori del settore negli Usa.

Naturalmente ci&#242 non significa che lo spamming sia scomparso, come dimostra il numero considerevole di prodotti e servizi finalizzati a facilitare queste attivit&#224. Si va dai programmi informatici (spamware) che raccolgono sistematicamente indirizzi sul Web o provvedono all¿invio di grossi quantitativi di messaggi a specifiche mailing lists, fino a societ&#224 che organizzano vere e proprie campagne di spamming oppure svolgono attivit&#224 di intermediazione per la vendita di indirizzari. Si pensi, a titolo di esempio, che le varie opzioni di offerta di pacchetti di indirizzi prevedono la possibilit&#224 di acquistare fino a 1.000 indirizzi eMail al costo di 5 dollari, ovvero di 20 dollari se il cliente desidera utilizzare l¿indirizzo postale completo, oppure 1.000.000 di indirizzi alla settimana al costo di 39.95 dollari al mese. Si pu&#242 legittimamente dubitare sia della qualit&#224 di questi indirizzari sia della loro validit&#224 in termini di rispetto delle prescrizioni a tutela degli interessati.

E¿ comunque ormai un dato di fatto che il marketing via eMail costituisca il mercato pi&#249 promettente, in termini sia finanziari sia di tecnologia. E l¿approccio basato sull¿opt-in, come si &#232 detto, incontra favore crescente. Tuttavia, si pongono alcuni interrogativi per quanto riguarda la qualit&#224 del consenso prestato e la possibilit&#224 di fraintendimenti o abusi di tale consenso. In particolare, esiste il rischio che in futuro le societ&#224 pubblicitarie tendano ad interpretare il requisito del consenso in modo eccessivamente ampio. Ad esempio, cliccando sulla casella OK per inserire una determinata pagina Web nella cartella “Preferiti” (quello che in inglese si chiama “bookmarking”) potrebbe avvenire che il cliente automaticamente dia il consenso a ricevere pubblicit&#224 via eMail sulla base di condizioni di contratto inserite in qualche pagina ben nascosta nel sito. E inoltre, &#232 legittimo bombardare con parecchi messaggi pubblicitari alla settimana chi una volta, in via occasionale, ha acquistato un prodotto online? Eppure questa &#232 la politica seguita, ad esempio, da Amazon, Barnes & Noble ed altri soggetti. Per non parlare poi di alcuni siti ove la casella da barrare per segnalare il consenso a ricevere eMail commerciali appare gi&#224 barrata – il che contravviene ai principi di trasparenza e lealt&#224 fissati dalla direttiva 95/46 sulla protezione dei dati personali.

Il requisito del consenso &#232 centrale, ed &#232 stato riaffermato anche nella Proposta di Direttiva della Commissione europea sul trattamento di dati personali e la tutela della privacy nel settore delle comunicazioni elettroniche (12 luglio 2000). Tanto pi&#249 che, se veramente gli operatori avranno presto a disposizione sistemi che consentono di inviare 100 milioni di eMail commerciali al giorno, e supponendo che siano 200 le imprese in grado di dotarsi di questi strumenti, i 300 milioni di utenti Internet potranno ricevere mediamente oltre 60 eMail pubblicitarie al giorno. E¿ stato stimato che ci&#242 comporterebbe un costo medio di connessione per utente di oltre 30 euro/anno – e su scala mondiale, nell¿ipotesi che entro breve la comunit&#224 online raggiunga i 400 milioni di persone, i costi complessivi legati allo scaricamento di messaggi pubblicitari con le attuali tecnologie si possono stimare per difetto nell¿ordine dei 10 miliardi di euro (e stiamo parlando solo dei costi sostenuti da chi naviga su Internet).


Analisi sul piano normativo



Passando ad un¿analisi sul piano normativo, anche in questo ambito i due approcci che si fronteggiano sono rispettivamente basati sull¿opt-out e sull¿opt-in. Nel primo caso, chi non vuole ricevere eMail commerciali indesiderate deve avere la possibilit&#224 di far registrare questa sua preferenza; fra i sostenitori dell¿opt-out vi &#232 chi sostiene che questo diritto dovrebbe essere esercitabile solo nei confronti del soggetto che ha inviato il messaggio indesiderato, mentre altri sono a favore di un sistema basato su elenchi nazionali o internazionali di opt-out (le cosiddette “liste Robinson”) in cui chiunque pu&#242 farsi inserire, indipendentemente dal ricevimento di eMail indesiderate. In tal caso le societ&#224 di marketing diretto dovrebbero consultare periodicamente questi elenchi per rispettare i desiderata dei singoli clienti.

Nel secondo caso, le condizioni per l¿invio di messaggi indesiderati sono legate alla correttezza delle modalit&#224 di raccolta degli indirizzi di eMail. L¿invio di eMail commerciali indesiderate dovrebbe essere possibile solo qualora il destinatario abbia precedentemente acconsentito a ricevere tali messaggi.

A livello comunitario, sono almeno quattro gli strumenti applicabili: la direttiva generale sulla protezione dei dati 95/46/CE, la direttiva sulle telecomunicazioni 97/66/CE, la direttiva sulle vendite a distanza 97/7/CE e la direttiva sul commercio elettronico 2000/31/CE. Il punto &#232 che mentre le prime due (e in parte anche la terza) adottano un approccio sostanzialmente basato sull¿opt-in, la direttiva sul commercio elettronico sembra invece favorire un approccio di tipo opt-out – pur facendo salvi i diritti riconosciuti nella direttiva 97/7 e nella 97/66. In essa si dice infatti,nell”art. 7(2), che “gli Stati membri adottano i provvedimenti necessari per far s&#236 che i prestatori che inviano per posta elettronica comunicazioni commerciali non sollecitate consultino regolarmente e rispettino i registri negativi in cui possono iscriversi le persone fisiche che non desiderano ricevere tali comunicazioni commerciali”. In sostanza, secondo gli estensori dello studio, si &#232 creata un¿ambiguit&#224 di fondo che non facilita l¿individuazione di condotte chiare e univoche da parte delle imprese che operano in questo settore. Bisogna sottolineare, allora, che la direttiva 97/7 sulle vendite a distanza e la direttiva sul commercio elettronico riguardano unicamente la legittimit&#224 dell¿invio di comunicazioni commerciali indesiderate, e non la legittimit&#224 delle modalit&#224 di raccolta degli indirizzi di posta elettronica che servono per inviare tali comunicazioni – essendo questo un punto regolato esclusivamente dalla direttiva 95/46.

Per eliminare queste ambiguit&#224 occorre che il dibattito si sposti dalla correttezza dell¿invio di messaggi pubblicitari alla correttezza della raccolta di dati. Esplicitando le circostanze in cui &#232 possibile raccogliere legittimamente dati personali (come l¿indirizzo di eMail) l¿operatore commerciale ed il destinatario dell¿eMail possono scegliere in modo trasparente la natura e gli sviluppi futuri del rapporto instauratosi. Anche se nessuna delle direttive impone il ricorso ad un sistema di opt-in per i contatti diretti fra imprese e clienti, appare naturale estendere al marketing diretto via eMail le stesse regole valide per il marketing diretto effettuato attraverso dispositivi automatici di chiamata o fax – poich&#233 in entrambi i casi si tratta di attivit&#224 di natura invasiva che non possono essere interrotte dai destinatari.

Le conclusioni dello studio



Nel complesso, l¿approccio basato sull¿opt-in appare quello pi&#249 adatto alle esigenze di Internet: consente la vendita legittima di database, favorisce la personalizzazione dei rapporti fra imprese e clienti online, ed &#232 il sistema preferito dagli stessi internauti (anche in base all¿esperienza maturata negli Usa). Inoltre, esso garantisce che i dati non siano utilizzati senza il consenso dell¿interessato – mentre in un sistema basato sull¿opt-out non si capisce come una societ&#224 di pubblicit&#224 online possa accertarsi che un determinato destinatario non si sia gi&#224 registrato in un elenco di opt-out. Del resto, la scelta di un approccio basato sull¿opt-in &#232 anche quella contenuta nella Proposta di direttiva relativa al trattamento di dati personali e alla tutela della privacy nel settore delle comunicazioni elettroniche (del 12 luglio 2000): con l¿obiettivo di garantire la neutralit&#224 tecnologica dell¿infrastruttura normativa in materia di protezione dati a livello comunitario, essa offre l¿opportunit&#224 di armonizzare la legislazione nazionale (che segue binari in parte divergenti gi&#224 oggi) e di definire un approccio comune basato sul requisito del consenso preventivo.

Occorre maggiore chiarezza sulle procedure di prestazione del consenso online. La definizione di “consenso” nella direttiva-quadro &#232 molto rigida, e comporta la certezza dell¿indicazione della volont&#224 del soggetto sulla base di un¿informativa corretta e completa. Se questo tipo di requisiti saranno rispettati ai fini della raccolta di dati sul Web, si potranno registrare i dati personali unitamente alle condizioni che l¿interessato ha fissato per il loro trattamento. Ci&#242 favorisce automaticamente la correttezza della raccolta di dati e permette di utilizzarli immediatamente a scopi commerciali nella piena certezza del rispetto dei diritti della persona.

La trasparenza inerente al meccanismo del consenso preventivo deve quindi essere estesa a tutti gli strumenti utilizzati per questo tipo di comunicazioni. Tutti i soggetti interessati devono comprendere che le prospettive di crescita del commercio elettronico subiranno un grave danno se i possibili acquirenti online dovessero dubitare dell¿onest&#224 e della lealt&#224 di chi commercia sul Web.

(Fonte: Garante per la protezione dei dati personali)

Exit mobile version