Lo spam: cos’è e come difendersi, anche alla luce del GDPR

15 Febbraio 2021

Con il termine spam ci si riferisce a tutta la pubblicità spazzatura diffusa tramite e-mail, chat e post social.

Tutti i giorni abbiamo a che fare con lo spam, cioè con decine o centinaia di messaggi pubblicitari il cui contenuto non ci interessa minimamente ma che intasano la nostra casella di posta elettronica o le nostre chat e, in molti casi, diffondono anche adware, spyware e malware di ogni tipo. In molti casi, i messaggi di spam vengono utilizzati dai criminal hacker anche per condurre campagne di attacco phishing.

Nel tempo lo spam è diventato, sicuramente, il fenomeno di comunicazione pubblicitaria massiva maggiormente conosciuto in tutto il mondo

Un fenomeno che si inserisce a pieno diritto in uno scenario in cui “l’evoluzione digitale ha cambiato tutto”. Almeno questo è quello che afferma il 90% dei corsi formativi in ambito di tutela dei dati personali. Un’affermazione che, per quanto banale, è la ragione stessa che ha determinato l’emanazione del Regolamento generale sulla protezione dei dati (GDPR) e che ha posto l’accento sulla tutela delle informazioni personali.

Indice degli argomenti

Le origini del termine spam

Basti pensare a come l’introduzione delle e-mail (electronic mail), degli SMS (Short Message Service) e di sistemi di messaggistica istantanea (WhatsApp, Messenger, Telegram ecc.) hanno completamente modificato il modo di pubblicizzare i prodotti e i servizi, introducendo un sistema più immediato, meno dispendioso, maggiormente targettizzato e, in alcuni casi, a discapito della libertà dei clienti/utenti.

Sulle origini storiche dello spam non c’è unanimità di pensiero. Per molti, infatti, la prima e-mail ad essere etichettata come spam fu quella inviata nel 1978 da Carl Gartley a 3.932 utenti della rete ARPAnet per pubblicizzare un nuovo modello di computer; per altri fu, invece, l’invio pubblicitario di due avvocati di Phoenix avvenuto nel 1994 su USENET.

Cosa significa spam

Il termine spam, invece, nasce quale conseguenza di uno sketch comico del Monty Python’s Flying Circus, famosa serie TV britannica degli Anni 70, nel quale una cameriera illustrava il menu composto da sole pietanze a base di spam, una famosa carne in scatola diffusa in Inghilterra durante la Seconda guerra mondiale (e immediatamente identificata come junk food, cioè cibo spazzatura).

Questa gag ebbe così tanto successo che il termine spam fu associato a qualcosa d’inevitabile e onnipresente e appunto, alcuni anni dopo, al fenomeno dell’invio, senza consenso, di comunicazioni ai fini di marketing (pubblicità, indagini di mercato, comunicazioni commerciali), effettuato attraverso l’utilizzo di sistemi automatizzati.

Lo scopo principale di questo tipo di comunicazione è quello d’inviare messaggi pubblicitari massivi assumendo, negli anni, un risvolto molto pericoloso, ossia quello di fungere da vettore per l’e-mail di phishing e veicolare vere e proprie truffe informatiche.

Le tipologie di spam

Esistono diverse tipologie di spam e tra le più datate si annoverano l’invio di fax, solitamente provenienti dall’estero, l’invio di e-mail e le chiamate alle utenze telefoniche.

Il social spam

Più recente, invece, è la diffusione del fenomeno del “social spam”, pratica che consiste nell’inviare, senza il consenso, messaggi di marketing attraverso le reti social.

L’enorme diffusione di questa azione è stata favorita dell’estrema semplicità nel rintracciare dati personali attraverso i social media, nonché dalla minore attenzione che gli utenti hanno durante l’utilizzo di queste piattaforme e dalla difficoltà nel porre, tra le impostazioni, un filtro automatico di protezione.

Un’altra nuovissima tipologia di spam, che si sta velocemente diffondendo, sfrutta il concetto di comunicazione virale che, comunemente si fonda sulla capacità comunicativa di pochi soggetti di trasmettere un messaggio ad un elevato numero di utenti, ma in questo caso, sfruttando sistemi automatizzati e una struttura di ricompense/premi, incentiva l’inoltro massivo del messaggio ricevuto.

La normativa privacy alla luce del GDPR

Al fine di verificare la legittimità dello spam, occorre preliminarmente ricordare che i dati di contatto (e-mail, numeri di telefono ecc.) sono dati personali essendo gli stessi delle informazioni riguardanti una persona fisica identificata o identificabile (art. 4, punto 1 del GDPR) e in quanto tali devono essere trattati nel pieno rispetto dei principi di correttezza, finalità, proporzionalità e necessità.

Tuttavia, non è sempre semplice distinguere se un indirizzo e-mail appartiene ad una persona fisica o ad una persona giuridica, soggetti non rientranti all’interno della tutela del GDPR, specialmente con riferimento agli indirizzi di posta elettronica aziendale assegnati ai dipendenti (ad esempio: nome.cognome@società.com).

Sul punto è intervenuto il Gruppo Art. 29 (con i pareri n. 4/1997 e n. 5/2004) affermando che tali indirizzi devono essere considerati come personali dei rispettivi assegnatari, anche in ragione dei principi di contenuto, finalità e risultato.

Alla luce del GDPR e dell’art. 130, comma 1, del Codice Privacy come modificato dal D.lgs. 101/2018 la pratica dello spam è vietata.

Infatti, l’uso di sistemi automatizzati d’invio di materiale pubblicitario, di vendita diretta, di comunicazione commerciale o per il compimento di ricerche di mercato è possibile solo se sussiste il consenso preventivo dell’utente (cosiddetto opt-in).

Pertanto, in assenza di detto consenso è illegittimo l’invio di comunicazioni promozionali con i predetti strumenti.

Quindi, il consenso è un requisito cardine per poter inviare comunicazioni pubblicitarie attraverso sistemi automatizzati e l’art. 4 del GDPR lo definisce come la manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato.

Pertanto, lo stesso non può essere obbligatorio, deve riguardare ciascuna specifica finalità di ciascun trattamento e deve essere preceduto dall’informativa che illustri l’identità del titolare e le finalità cui sono destinati i dati personali, oltre a quanto previsto dagli art. 13 e 14 del GDPR.

Da una lettura del Considerando 32 si evince, inoltre, che il consenso è un atto positivo e inequivocabile rendendo, quindi, illegittimo il “silenzio assenso”, la conferma preimpostata o “pre-flaggata” e tutte quelle formule che possono far insorgere dei dubbi sull’espressione della volontà.

È opportuno ricordare che l’inosservanza delle condizioni del consenso di cui sopra costituisce una violazione dei principi base del trattamento che è punita con una sanzione pecuniaria sino a 20 milioni di euro o il 4% del fatturato mondiale (art. 83 GDPR).

In ambito di consenso, particolare attenzione va posta ai casi di messaggi inviati attraverso le reti social. Infatti, per inviare un messaggio promozionale utilizzando i dati raccolti dai profili social del destinatario è necessario il consenso preventivo.

Tuttavia, se l’utente è diventato “fan” di un brand o si è iscritto ad un gruppo di un’azienda, lo stesso potrà ricevere comunicazioni di marketing inerenti quel brand e quell’azienda se dal contesto o dal funzionamento del social network, nonché alla luce delle informazioni fornite, si può evincere in modo inequivocabile che l’iscrizione o il “like” sono un espressione del consenso alla ricezione di messaggi promozionali.

Il soft spam: cos’è e perché è lecito

Malgrado quanto affermato, esiste una tipologia di spam che può essere attuata legittimamente anche in assenza di consenso, il c.d. “soft spam” (art. 130, comma 4, del Codice Privacy).

Questa forma attenuata si verifica nel caso in cui il titolare del trattamento invii comunicazioni promozionali ad un suo cliente utilizzando i dati di contatto che lo stesso gli ha fornito in sede di acquisto di un prodotto o di un servizio.

Come anticipato, tale tipologia di comunicazione è legittima, anche senza il consenso, se l’informazione inviata riguarda prodotti e servizi analoghi a quelli oggetto della precedente vendita e se l’interessato è stato informato di tale possibile trattamento e non l’abbia espressamente rifiutato.

Inoltre, alla luce del principio di contemperamento degli interessi, l’utente che esprime il consenso al trattamento per l’invio automatizzato di comunicazioni di marketing acconsente anche alla ricezione di comunicazioni a carattere promozionale inviate attraverso modalità tradizionali di contatto come la posta cartacea e le chiamate telefoniche (prov. n. 242 del 15 maggio 2013).

Il divieto d’inviare comunicazioni pubblicitarie con l’utilizzo di sistemi automatizzati e senza il consenso non viene meno nel caso in cui i dati di contatto siano stati reperiti da elenchi pubblici o da internet.

Infatti, ripetutamente, il Garante per la privacy ha ribadito che i dati sono pubblici per delle specifiche finalità come, ad esempio, per facilitare lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese, e non per essere utilizzati per fini diversi (prov. 29 maggio 2003).

Come difendersi dallo spam

Come anticipato, il fenomeno dello spam ha avuto un notevole incremento con la nascita dei sistemi di messaggistica diretta e con lo sviluppo dei social media che hanno determinato un’indiscriminata diffusione dei dati di contatto in chiaro.

Appare evidente che, come per la maggior parte delle forme di “aggressione” informatica, la miglior tutela è la consapevolezza sull’utilizzo delle proprie informazioni.

Un’adeguata conoscenza del contesto attuale porta ad evitare la comunicazione dei propri dati di contatto a chiunque, la loro pubblicazione in rete senza motivo o la divulgazione di e-mail attraverso l’invio di posta elettronica a più soggetti lasciando gli indirizzi visibili agli altri destinatari.

In ogni caso, un filtro adeguato, ben impostato ed istruito è un’ottima prassi volta a limitare la maggior parte delle problematiche che si possono verificare in questo ambito.

Cristiano Pivato

Data&Privacy Specialist

Torna ad Articoli e News