Condanna del Garante Privacy per mail non sollecitate 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTI i tre provvedimenti (adottati in data 25 giugno 2002, 4 luglio 2002 e 18 luglio 2002), con i quali questa Autorità ha disposto nei confronti di Trisoft s.r.l. società che gestiva il sito www.nuafra.it  il blocco del trattamento dei dati personali effettuato mediante l’acquisizione, con “procedure random ” (ovvero utilizzando uno speciale software appositamente sviluppato), di numerosi indirizzi di posta elettronica e la loro utilizzazione per inviare messaggi indesiderati a contenuto promozionale; rilevato che il blocco è stato disposto al fine di prevenire con immediatezza altre violazioni, nelle more della definizione di un autonomo procedimento;

VISTI i successivi ricorsi, notificati alle parti il 27 luglio 2005 e il 29 settembre 2005, aventi per oggetto l’invio non sollecitato di altri messaggi pubblicitari per posta elettronica tramite il sito www.nafura.it che risulta essere stato trasferito, unitamente alla banca dati degli utenti registrati al medesimo sito, nella disponibilità di Age One Agency s.r.l., con sede presso la cedente Trisoft s.r.l.;

VISTE le risultanze degli accertamenti ispettivi svolti presso Trisoft s.r.l., (al fine di “verificare il rispetto delle prescrizioni impartite dal Garante con i provvedimenti di blocco”), nonchÈ presso Age One Agency s.r.l. (per “verificare l’origine dei dati personali trattati ed il rispetto della legge in materia di informativa e consenso “);

VISTE, in particolare, le dichiarazioni rese, nel corso delle predette attività ispettive, da Michele Stefano Dell’Acqua, in qualità di amministratore unico di Trisoft s.r.l., dalle quali si evince che tale società ha disatteso i predetti provvedimenti di blocco del trattamento in quanto l’intero archivio di indirizzi e-mail acquisiti con procedure casuali e, comunque, senza il preventivo consenso degli interessati è stato distrutto dalla medesima società;

VISTE, inoltre, le dichiarazioni rese, nel corso delle attività ispettive svolte presso Age One Agency s.r.l., da Andrea Schietti, in qualità di amministratore di tale società, il quale ha, tra l’altro, dichiarato che “dall’ottobre del 2003 è stata costituita una nuova società denominata Vulcan s.r.l., nata con lo scopo di gestire gli spazi pubblicitari di Nafura.it.” ed ha aggiunto che “In tale contesto, il 13 ottobre 2003, è stato stipulato un contratto con la Buongiorno Vitaminic S.p.A. di Torino, nell’ambito del quale si prevede che la Vulcan s.r.l. consegni alla Buongiorno Vitaminic la banca dati degli utenti registrati ai servizi del sito www.nafura.it per l’attività di invio a mezzo e-mail di campagne promozionali relative ad aziende terze “;

VISTO che Buongiorno Vitaminic S.p.A. ha ricevuto da Vulcan s.r.l. un numero considerevole di record relativi agli utenti registrati al sitowww.nafura.it;

VISTI gli accertamenti (menzionati nella relazione di sintesi del 21 marzo 2006 del Dipartimento comunicazioni e reti telematiche) successivamente svolti da questa Autorità, nei mesi di febbraio e marzo 2006, attraverso l’accesso diretto al sito Internet www.nafura.it, di cui è attualmente titolare la medesima società Age One Agency s.r.l.;

VISTI i servizi offerti sul predetto sito Internet ed, in particolare, il servizio  denominato “Nafura Hubs “;

CONSIDERATO che, per aderire al predetto servizio, l’utente deve inserire i propri dati personali in un apposito form, senza aver ricevuto un’adeguata e preventiva informativa ai sensi dell’art. 13 del Codice, sulla base della quale manifestare liberamente, se necessario, il proprio consenso;

VISTI gli ulteriori servizi offerti da Age One Agency s.r.l. ed, in particolare, i servizi “Nafura mobile”, “Nafura internet”, “Nafura account” e “Newsletters & offerte speciali “;

CONSIDERATO che, per accedere a questi ultimi servizi, l’utente deve accettare “senza alcuna riserva ” che sia effettuato l’intero trattamento descritto  in un’informativa reperibile sul medesimo sito tramite un collegamento ipertestuale;

VISTO in particolare che, nella procedura di iscrizione al servizio “Newsletters & offerte speciali”, la casella (c.d. “check-box”) a margine della dicitura “accetto l’informativa sulla privacy” risulta pre-compilata con uno specifico simbolo (c.d. flag);

VISTO il contenuto dell’informativa ed, in particolare, la precisazione secondo la quale il sito Nafura utilizza alcuni cookie al fine di “memorizzare e talvolta tenere traccia” dei dati personali degli utenti, anche occasionali (si legge, infatti, che “ad ogni browser che accede a Nafura viene inviato uno o pi? cookie “); ciò, per diverse finalità fra le quali figura quella della profilazione, volta a rendere pi? efficaci le inserzioni pubblicitarie in quanto basate sull’analisi di interessi ed abitudini degli utenti;

VISTO che, nel medesimo testo dell’informativa, è previsto che “anche le reti pubblicitarie che forniscono annunci a Nafura utilizzano i propri cookie” e che l’utente autorizza Age One Agency s.r.l. a “cedere, vendere o comunicare a terze parti i dati personali da esso stesso forniti “;

CONSIDERATO che l’utente, in base a tale informativa, nel momento in cui fornisce i dati personali che lo riguardano, “autorizza automaticamente la stessa Age One Agency a trattare i dati medesimi a fini commerciali e per altri fini riportati nelle condizioni generali di utilizzo” (reperibili presso un ulteriore documento denominato “disclaimer “);

VISTO il contenuto di tale “disclaimer” ed, in particolare, la previsione secondo la quale il cliente autorizza Age One Agency s.r.l. “all’archiviazione, all’elaborazione e alla comunicazione, anche a consociate o partner commerciali o clienti di Nafura, di dati relativi all’utente, con le seguenti finalità: servizio clienti (ä), factoring, marketing, commerciali, commerciali a carattere politico, pubblicità e promozione online ed offline per posta ordinaria, analisi statistiche, indagini sulla soddisfazione della clientela, ä.”;

CONSIDERATO che, per quanto riguarda l’esercizio dei diritti dell’interessato (art. 7 del Codice), la menzionata informativa prescrive agli utenti di utilizzare una specifica formalità (invio della richiesta di esercizio dei medesimi diritti tramite “raccomandata con ricevuta di ritorno “);

CONSIDERATO che la predetta informativa è inidonea a fornire all’interessato tutte le indicazioni necessarie ai sensi dell’art. 13 del Codice. Ciò,  in rapporto alla delicatezza e complessità delle modalità di trattamento e dei flussi di dati descritti, nonché in relazione al linguaggio utilizzato che si palesa  equivoco e tale da indurre in errore un utente medio ed altresì idoneo a determinare, in ciascun interessato, una sottovalutazione delle conseguenze derivanti dal conferimento dei dati personali, in violazione del principio dell’autodeterminazione informativa; rilevato che l’informativa non contiene, inoltre, indicazioni che definiscano in maniera adeguata lo specifico ambito di comunicazione a terzi e prevede, infine, anomali “automatismi” nel consenso al trattamento (si legge, infatti: “In tutti i casi, nel momento in cui comunichi ad Age One Agency srl uno o pi? dati personali riguardanti la tua stessa persona, autorizzi automaticamente la stessa Age One Agency srl a trattare i tuoi dati personali a fini commerciali e per gli altri fini riportati nelle condizioni generali di utilizzo (leggi la pagina disclaimer))”; rilevato, da ultimo, che la medesima informativa rinvia a tale disclaimer non direttamente consultabile tramite un link, per fornire all’interessato una parte delle informazioni previste dall’art. 13 del Codice e necessarie per definire le finalità del trattamento e i soggetti a cui i dati sono comunicati;

CONSIDERATO che, in riferimento ai casi in cui tramite il predetto sito è sollecitato il consenso degli interessati, le modalità della sua acquisizione non sono conformi a quanto disposto dall’art. 23 del Codice, non essendo riconosciuta agli utenti la possibilità di esprimere un consenso libero e (oltre che riferito ad un trattamento chiaramente individuato) eventualmente  differenziato rispetto alle varie finalità del trattamento, nonchÈ manifestato con una volontà espressa con formula “in positivo”, anzichÈ mediante espressioni “in negativo” che lasciano all’interessato una mera facoltà di eventuale diniego;

CONSIDERATO che l’accertato uso di cookie viola, come risultante dalla stessa informativa, il divieto di utilizzo di una rete di comunicazione elettronica “per accedere ad informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente ” (art. 122 del Codice);

CONSIDERATO che l’art. 8 del Codice stabilisce che i diritti di cui all’art. 7 cit. sono esercitati dall’interessato con una richiesta rivolta al titolare senza formalità, anzichÈ con necessaria richiesta per raccomandata, come nel caso di specie;

RISERVATA, con autonomo provvedimento, la contestazione in separata sede della violazione amministrativa concernente l’informativa (che è assente, per alcuni profili del complessivo trattamento, e del tutto inidonea per altri: artt. 13 e 161 del Codice);

CONSIDERATO, altresì, che l’osservanza dei presupposti prescritti per legge ai fini del trattamento dei dati per scopi di comunicazione commerciale o pubblicitaria è necessaria anche nei confronti di chi acquisisce da terzi banche dati contenenti indirizzi di posta elettronica, nonchÈ da parte di chi invia e-mail per conto di terzi committenti (cfr. Provv. del Garante 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web. n. 29840);

RITENUTO che, sulla base delle predette considerazioni, risultano dagli atti violate diverse disposizioni della disciplina in materia di protezione dei dati personali e, in modo specifico, gli artt.  8, 11, 13, 23 e 122 del Codice;

RILEVATO che, ai sensi dell’art. 11, comma 2, del Codice, i dati personali trattati in violazione della disciplina rilevante in materia dei dati personali, come nel caso di specie, non possono essere utilizzati;

CONSIDERATO che il Garante, ai sensi dell’art. 154, comma 1, lett. d), del Codice, ha il compito di vietare il trattamento dei dati che risulti illecito o non corretto;

RILEVATO che tale divieto va disposto anche nei riguardi di società che, dopo aver acquisito dati trattati illecitamente, effettuano ulteriori trattamenti che non risultano dagli atti effettuati in presenza dei necessari presupposti; rilevato che tali società risultano, allo stato, individuate, oltre che in Buongiorno Vitaminic S.p.A., anche nella Composite Digital Media (che negli atti è indicata quale divisione del gruppo AdLink Italia), come emerge dal documento “disclaimer” (ove si legge che: “il cliente autorizza il trattamento dei dati per finalità inerenti l’esecuzione del Contratto e la presentazione dei servizi ivi contemplati; g) inviare comunicazioni commerciali anche di terze consociate selezionate da Vulcan srl tra cui Composite Digital Media (divisione del gruppo AdLink Italia); Buongiorno Vitaminic Spa; h) l’utente potrà ricevere aggiornamenti, novità, consigli per gli acquisti inviati da Composite Digital Media, Buongiorno Vitaminic S.p.A., per conto proprio o di propri clienti “);

CONSIDERATO che, ai sensi dell’art. 170 del Codice, a prescindere dalle misure e sanzioni applicabili in relazione al trattamento dei dati, chiunque, essendovi tenuto, non rispetta i provvedimenti adottati dal Garante ai sensi dell’art. 143, comma 1, lett. c) del predetto Codice, è punito con la reclusione da tre mesi a due anni;

RILEVATO che per i fatti in esame è stata già preliminarmente informata la competente autorità giudiziaria, anche in riferimento all’ipotesi di reato di trattamento illecito di dati (art. 167 del Codice), autorità nei confronti della quale va ora disposta la trasmissione di copia del presente provvedimento e degli atti di accertamento pi? recenti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

TUTTO CI“ PREMESSO, IL GARANTE

 

a) ai sensi degli artt. 143, comma 1, lett. c) e art. 154, comma 1, lett. d), del Codice, vieta a Age One Agency s.r.l., avente sede in Milano, Via Voghera 9/A, attuale titolare dei trattamenti relativi al sito Internet www.nafura.it, con effetto immediato a decorrere dalla data di comunicazione del presente provvedimento e nei termini di cui in motivazione, ogni ulteriore trattamento illecito dei dati personali acquisiti nell’ambito della procedura di registrazione ai servizi “Nafura Hubs”, “Nafura mobile”, “Nafura internet”, “Nafura account”, “Newsletters & offerte speciali “;

b) ai sensi degli artt. 143, comma 1, lett. c) e art. 154, comma 1, lett. d) del Codice, vieta a Buongiorno Vitaminic S.p.A., con sede legale in Torino, Via Cervinio 52 e Composite Digital Media (divisione del gruppo AdLink Italia, con sede in Milano, Piazza Luigi Vittorio Bertarelli 1),  con effetto immediato a decorrere dalla data di comunicazione del presente provvedimento e nei termini di cui in motivazione, ogni ulteriore trattamento illecito dei dati relativi agli utenti registrati ai predetti servizi, inizialmente trattati da Age One Agency s.r.l. e ceduti da Vulcan s.r.l.

Comments(0)

Garante per la privacy: lo spam è un’attività illecita

articolo di Monica Sansone

http://studiocataldi.it

Il 20 aprile 2006 il Garante per la Privacy ha emesso un provvedimento che costituisce sicuramente un importante precedente nella giurisprudenza italiana. Il dispositivo della sentenza ribadisce senza mezzi termini che lo spam è un’attività illecita e che, pertanto, rappresenta una pratica da scoraggiare e punire. La questione si è posta allorquando un utente, vedendosi recapitare un’ e-mail promozionale da parte di un sito web impegnato nella commercializzazione di materiale informatico, si è rivolto alla società stessa chiedendo la cancellazione dei propri dati dall’archivio e l’adozione di misure atte ad evitare l’invio di altre e-mail. Non avendo ricevuto adeguato riscontro lo stesso ha presentato ricorso al Garante, il quale ha dato ragione all’accusa ordinando alla società la cancellazione dei dati. L’azienda giustificava l’e-mail come un primo invio volto a richiedere il consenso per i successivi. Il dispositivo della sentenza è particolarmente interessante nel momento in cui si evidenziano i due principi fondamentali che sottostanno alla decisione. Se da un lato, si sottolinea che “un’unica comunicazione effettuata mediante posta elettronica per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale necessita comunque del preventivo consenso dell’interessato”, dall’altro, si proibisce esplicitamente l’uso di indirizzi mail facilmente rintracciabili in rete. “L’eventuale reperibilità di un indirizzo di posta elettronica sulla rete Internet non lo rende per ciò stesso liberamente disponibile anche per l’invio di comunicazioni elettroniche non sollecitate”.
 

Comments(0)

La prima mail di richiesta consenso, legale? Il Garante privacy dice…

dalla newsletter del Garante  www.garanteprivacy.it

Non si possono inviare e-mail per pubblicizzare un prodotto o un servizio senza prima aver ottenuto il consenso del destinatario, anche quando si tratta solo del  primo invio.

Lo ha ribadito il Garante con una decisione su un ricorso presentato da un persona che aveva ricevuto posta elettronica indesiderata da parte di una società di prodotti informatici che opera in Internet.

L’interessato, infastidito dalla e-mail sgradita, si era rivolto alla società per chiedere, tra l’altro, la cancellazione dei propri dati dall’archivio della società  e di adottare misure affinché non si ripetessero in futuro altri invii. Non avendo ricevuto adeguato riscontro, ha presentato ricorso al Garante. E il Garante gli ha dato ragione, imponendo alla società di cancellare dal data base i suoi dati personali.

La società si era giustificata spiegando che quel primo invio era volto solo a richiedere il consenso per il successivo inoltro di comunicazioni commerciali. Nella sua decisione l’Autorità ha spiegato che occorre ottenere sempre il consenso del destinatario prima di effettuare qualunque uso dell’indirizzo di posta elettronica se l’invio è a fini di pubblicità e marketing.

Ribadendo un principio fondamentale per l’uso degli indirizzi e-mail, l’Autorità ha poi sottolineato che un indirizzo di posta elettronica per il solo fatto di essere sia reperibile in rete non autorizza comunque un suo uso indiscriminato.

“Occorre dire un fermo no – ha commentato Giuseppe Fortunato, relatore del provvedimento – alla prassi di mandare una mail pubblicitaria senza consenso e poi scusarsi affermando che comunque quella era l’unica comunicazione inviata. Così come bisogna smetterla con la prassi di reperire un indirizzo di posta elettronica su Internet e poi utilizzarlo per mail pubblicitarie non richieste. Il Garante non può tollerare tali comportamenti intrusivi”.

 

 

Comments(0)

Privacy e mail: è legale la prima mail di richiesta autorizzazione?

tratto da Unione Consulenti a cura dell’Avv. Giuseppe Briganti

Non pare sanzionabile, a determinate condizioni, una e-mail con la quale l’operatore si limiti a richiedere il consenso per il successivo inoltro di comunicazioni commerciali.

La comunicazione commerciale, di natura promozionale o imprenditoriale, è garantita costituzionalmente dalla libertà d’impresa. Essa è infatti direttamente connessa al principio di cui all’art. 41 della Costituzione italiana .

Il vigente Codice della privacy – così come la direttiva 2002/58/CE sulle comunicazioni elettroniche da esso recepita – non contiene una definizione di comunicazione commerciale, contrariamente al D.L.vo 70/2003 di attuazione della direttiva 2000/31/CE sul commercio elettronico.

L’art. 130 del testo unico sulla privacy, come in precedenza illustrato, dispone che le comunicazioni elettroniche effettuate mediante posta elettronica a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale sono consentite solo con il consenso dell’interessato, salva l’eccezione di cui al comma 4 della medesima disposizione .

Secondo l’art. 4 del Codice della privacy, per comunicazione elettronica deve intendersi “ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico”, come ivi definito .

Il Codice di autodisciplina pubblicitaria afferma che per pubblicità deve intendersi ogni comunicazione diretta a promuovere la vendita di beni o servizi quali che siano i mezzi utilizzati. La raccolta di usi pubblicitari della Camera di Commercio di Milano definisce la pubblicità come qualsiasi forma di comunicazione che sia diffusa nell’esercizio di una attività commerciale, industriale, artigianale o professionale, allo scopo di promuovere la domanda di beni e servizi.

L’art. 2 del D.L.vo 74/1992 , recante l’attuazione della direttiva 84/450/CEE come modificata dalla direttiva 97/55/CE in materia di pubblicità ingannevole e comparativa, definisce, ai fini del provvedimento, la pubblicità come qualsiasi forma di messaggio che sia diffuso, in qualsiasi modo, nell’esercizio di un’attività commerciale, industriale, artigianale o professionale allo scopo di promuovere la vendita di beni mobili o immobili, la costituzione o il trasferimento di diritti ed obblighi su di essi oppure la prestazione di opere o di servizi.

“Nel dare applicazione alla disposizione, l’Autorità garante della concorrenza e del mercato adotta, in genere, il criterio in base al quale la natura pubblicitaria di una comunicazione d’impresa è rinvenibile ogniqualvolta la promozione di beni o servizi si presenti come lo scopo ‘primario e diretto’ della comunicazione stessa.

Tale accertamento, concernente lo scopo diretto o mediato, primario o secondario, della promozione, viene preliminarmente eseguito sul contenuto della comunicazione, tenendo conto sia delle caratteristiche espressive della comunicazione sia del contesto primario in cui la diffusione risulta essere avvenuta.

Nessun rilievo determinante assume, invece, la qualificazione data alla comunicazione da parte dell’operatore pubblicitario.

La giurisprudenza individua la corretta nozione di ‘pubblicità commerciale’ sulla base dei connotati essenziali dell’oggetto (la comunicazione sociale) e dello scopo (un incremento dei profitti attraverso la sollecitazione della domanda e dei consumi) in relazione ad un determinato prodotto o servizio dell’industria o del commercio” (E. Caruso) .

Il trattamento di dati personali consistente nell’invio di una e-mail senza previo consenso del destinatario, bensì al solo fine di ottenere da costui il consenso per la successiva spedizione di comunicazioni commerciali via posta elettronica, risulta sanzionabile alla luce della disciplina di cui al vigente testo unico (art. 167) ?

Occorre innanzitutto stabilire se un siffatto messaggio possa essere fatto rientrare nel campo di applicazione del regime di opt-in configurato, quale regola generale per le comunicazioni commerciali, dal sopra citato art. 130 del Codice della privacy, collocato nel titolo X della parte II del testo unico, recante la disciplina delle comunicazioni elettroniche .

A parere di chi scrive, non possono ritenersi – di per sé – comunicazioni commerciali le informazioni che consentono un accesso diretto all’attività dell’impresa, del soggetto o dell’organizzazione, come un nome di dominio o un indirizzo di posta elettronica. In ordine, in particolare, all’indirizzo di posta elettronica l’aspetto identificativo deve infatti considerarsi prevalente su quello distintivo. Ciò in linea con la definizione di “comunicazioni commerciali” accolta – sebbene ai soli fini del provvedimento – dal D.L.vo 70/2003 di attuazione della direttiva europea sul commercio elettronico .

Secondo il provvedimento da ultimo citato, infatti, per “comunicazioni commerciali” devono intendersi “tutte le forme di comunicazione destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa, di un’organizzazione o di un soggetto che esercita un’attività agricola, commerciale, industriale, artigianale o una libera professione.

Non sono di per sé comunicazioni commerciali:

1) le informazioni che consentono un accesso diretto all’attività dell’impresa, del soggetto o dell’organizzazione, come un nome di dominio, o un indirizzo di posta elettronica;

2) le comunicazioni relative a beni, servizi o all’immagine di tale impresa, soggetto o organizzazione, elaborate in modo indipendente, in particolare senza alcun corrispettivo”.

Una e-mail con la quale l’operatore si limiti a richiedere il consenso per il successivo inoltro di comunicazioni commerciali, indicando, a tal fine, esclusivamente i propri dati identificativi – e, ragionevolmente, entro limiti rigorosi, anche il proprio settore di attività – non pare dunque possa essere fatta rientrare nella previsione di cui all’art. 130, commi 1 e 2, del Codice della privacy, il quale, come sopra visto, si riferisce esclusivamente all’uso dell’e-mail:

- per l’invio di materiale pubblicitario o

- di vendita diretta o

- per il compimento di ricerche di mercato o

- di comunicazione commerciale.

Il genere di messaggio in discorso si pone infatti in una fase antecedente a quella della promozione propriamente intesa, che avrà invece eventualmente inizio solo con l’invio della prima comunicazione commerciale autorizzata dal destinatario.

Conseguentemente, per stabilire la liceità dell’invio di dette comunicazioni a prescindere dal previo consenso informato dell’interessato occorrerà rifarsi alle norme generali di cui agli odierni artt. 23 e 24 del testo unico sulla privacy .

Tra le ipotesi di esclusione del consenso contemplate dall’art. 24, vi è, come già rilevato, anche quella, riformulata dal testo unico, dei dati relativi allo svolgimento di attività economiche (art. 24, lett. d)) .

La corrispondente disposizione dell’abrogata L. 675/1996 (art. 12, lett. f)) contemplava espressamente i dati relativi allo svolgimento di attività economiche raccolti anche a fini di informazioni commerciali o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva .

Nonostante tale ultimo inciso sia stato eliminato dal vigente art. 24 del Codice della privacy, deve comunque ritenersi che la nozione di “dati relativi allo svolgimento di attività economiche” ivi contenuta sia in grado di ricomprendere oggi anche l’ipotesi dell’indirizzo di posta elettronica – ad uso non esclusivamente privato – trattato ai soli fini dell’invio di una richiesta di consenso per la spedizione di future comunicazioni commerciali.

Come sopra visto, infatti, tale genere di messaggi neppure può definirsi, in sé, “comunicazione commerciale”, mentre i dati personali trattati ai fini della comunicazione certamente attengono “allo svolgimento di attività economiche”.

Ove ne ricorrano i presupposti, potrà inoltre trovare applicazione anche l’ipotesi di esclusione del consenso di cui all’odierno art. 24 lett. c), concernente i dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque .

Comments(0)

Webroot stila la classifica aggiornata delle dieci minacce spyware piú pericolose emergenti in Italia

http://comunicati-stampa.blogspot.com
Nuovi programmi e rinnovati pericoli per gli utenti finali e per le aziende

Milano, 10 luglio 2006 – I produttori di spyware immettono sul mercato nuovi programmi perfezionati per evitare l’identificazione e la rimozione. Con la loro strategia di attacco diretto questi software privilegiano i personal computer e i sistemi delle piccole e medie imprese che, secondo le analisi di Webroot Software fanno registrare i più alti tassi di infezione da adware, system monitor e trojan horse.

Il Threat Research Team interno di Webroot ha reso noti i risultati della classifica, aggiornata a giugno 2006, delle più pericolose minacce emergenti in Italia in base alla loro individuazione e al loro impatto potenziale:

Adware
- Energy Plugin – è un programma che fa apparire pop-up pubblicitari sullo schermo del PC

- Sgrunt Dialer – ha la capacità di dirottare le ricerche sul Web verso accessi a siti Internet a pagamento.

- WhenU SaveNow– è un programma adware in grado di mostrare banner pubblicitari sulla base delle abitudini di navigazione Internet.

- Hotbar – è un toolbar offerto in due versioni: la versione gratuita che contiene programmi adware in grado di mostrare messaggi pubblicitari e la versione a pagamento libera da adware e pop-up pubblicitari.

- WinMovie Dialer – è un dialer in grado di dirottare il modem su numeri a pagamento per l’accesso a siti non richiesti.

Trojan

- Trojan-Downloader-Zlob – Trojan-Downloader-Mucho-Cool – Trojan-Downloader-Wstart – Trojan-Do9wnloader-LowZones sono programmi di downloading che trasferiscono sul pc altre minacce

- Trojan-Downloader-Ruin – è un programma che oltre a trasferire altro spyware sul computer è in grado di cambiare il DNS server o i dati di localhost.

System Monitor
- PAL KeyLogPro – ha la capacità di monitorare la tastiera e registrare tutti i tasti utilizzati.

- Cybervizion Keylogger, Active Keylogger, UPF 007 Spy – è un’applicazione che registra segretamente tutte le attività dell’utilizzatore del PC. Ad esempio registra i siti web visitati, i tasti utilizzati, i click del mouse, rubando password, numeri di conto e altre informazioni sensibili.

- Win-Spy Monitor – è un’utility invisibile in grado di registrare tutti i movimenti della tastiera e di salvare in una cartella nascosta copie di screenshot.

“Queste ricerche sono parte integrante delle continue attività volte a informare e proteggere le aziende e gli utenti individuali dai pericoli dello spyware”, ha dichiarato Daniel Mothersdale, Director of Marketing EMEA di Webroot. “Purtroppo il pericolo dello spyware è ancora sottovalutato e la conoscenza delle minacce è scarsa. Il nostro team di ricerca si pone l’obiettivo di informare sui rischi e sugli strumenti necessari per combatterlo e per permettere agli utenti e alle aziende di agire in maniera consapevole per affrontare i problema.”

Webroot consiglia agli utenti individuali e alle aziende di premunirsi per combattere queste applicazioni che possono rivelarsi fonte di problemi. Per aumentare la sicurezza, è consigliabile installare le patch di sicurezza Microsoft, evitare l’utilizzo di freeware e disattivare i download via ActiveX in Internet Explorer.

Infine, installare un programma software anti-spyware per la protezione del desktop, come Webroot Spy Sweeper per gli utenti individuali o Spy Sweeper Enterprise per le aziende che dispongono di architetture di rete.
Webroot
Webroot Software, con sede a Boulder in Colorado, è produttore leader di software innovativi per la tutela della privacy, la protezione e la sicurezza delle prestazioni di milioni di utenti distribuiti in tutto il mondo, tra cui grandi aziende, Internet service provider, agenzie governative ed istituzioni educational, fino alle piccole aziende e agli utenti individuali. L’azienda fornisce prodotti software di alta qualità e facile utilizzo che guidano e assicurano i consumatori contro gli attacchi più pericolosi presenti in Internet, proteggendo le informazioni personali e il controllo degli ambienti informatici. I prodotti Webroot ricevono costantemente importanti riconoscimenti e raccomandazioni da critici e media indipendenti. I prodotti Webroot sono disponibili presso i migliori rivenditori in tutto il mondo e possono essere acquistati online sul sito dell’azienda. Per maggiori informazioni è possibile visitare il sito www.webroot.it

.

 

Comments(0)

Privacy informatica: Lo spammer Jeremy James condannato a 9 anni

http://vnunet.it

Molto controverso e ricco di problematiche legali si presenta il giudizio in corso contro il piu’ famoso e prolifico spammer degli Usa

RICHMOND, VA (USA). Jeremy James è il primo spammer a essere condannato a nove anni di carcere, in applicazione della legge anti-spam della Virginia. Nel corso del grado di appello, però, James ha ottenuto la libertà su cauzione, dietro il pagamento di un milione di dollari.

Durante l’appello, dunque, il re dello spamming sarà libero e deve ciò alle pressioni dei suoi legali che hanno sollevato diverse eccezioni alla legge anti-spam vigente. Innanzitutto, sostengono i suoi difensori, questa legge non può essere applicata poichè le e-mail di spamming sono state inviate da James dalla sua casa della North Carolina e non dalla Virginia; qui si trovano solo i mail server di Aol, bersaglio delle attività illegali dell’imputato. Inoltre, la legge della Virginia non rispetta le garanzie di libertà rinvenibili nel Primo Emendamento della Costituzione statunitense.

I giudici, in realtà, hanno posizioni nettamente differenti. In un documento scritto dal giudice James W. Haley si dice che la legge della Virginia pone il divieto di entrare nella privacy informatica altrui. Tale attività non può ottenere, pertanto, protezione dal Primo Emendamento.

 

Comments(0)

Qualche utile risposta tra marketing e privacy
dal blog di eugeniolamesa.com

Posso inviare la newsletter ad un indirizzo email che ho trovato su Internet?

No, per 2 motivi:
- in molti paesi, è contrario alla legge sulla privacy
- l’Email Marketing è permission marketing, è efficace se c’è il consenso del destinatario

E’ necessario avere un link per permettere alle persone di cancellarsi (unsubscribe)?

Si, la legge sulla Privacy e la Netiquette prevedono chiaramente che ogni iscritto possa cancellarsi in ogni momento ed un link è il modo più semplice per farlo.
E’ necessario adottare questa best practice, senza temere di perdere iscritti. L’’Email Marketing efficace si basa sul consenso del destinatario e se non è più interessato non ha senso continuare a inviargli delle email newsletter.

Come posso ottenere il consenso per iscrivere alla newsletter?

Ci sono vari modi per ottenere il consenso degli iscritti alla newsletter:
- Un modulo iscrizione specifico per newsletter sul sito web
- Una domanda nel modulo richiesta informazioni (es: barro la casella desidero ricevere le newsletter del sito)
- Telemarketing, sia in entrata (inbound) che in uscita (outbound)
- Moduli di feedback di eventi, fiere, corsi di formazioni e webcast

Double o single opt-in per l’iscrizione?

Il double opt-in si ha quando oltre all’iscrizione si richiede all’utente di ciccare su un link inviatogli via mail.
Una buona parte degli utenti non completa la seconda parte della procedura e quindi non si iscrive.
Per il rispetto della legge sulla Privacy, la si rispetta anche con l’opt-in normale.
Quei rari casi in cui qualcuno inserisce l’email di un altro si risolvono cancellando dalla newsletter colui che segnala che mai si era iscritto (capita poche volte l’anno).
Il rispetto stingente della legge va confrontato con l’utilità commerciale di una newsletter.

Stesso discorso per le iscrizioni ricevute telefonicamente attraverso il telemarketing, in teoria andrebbe registrata la telefonata (cosa che nessuno fa), in pratica gli operatori iscrivono alla newsletter coloro che danno l’OK e viene cancellato chi dice che mai si era iscritto (e a volte capita che persone che si sono iscritte da un sito o al telefono dicano che non lo avevano fatto.)

Come spesso accade, chi scrive le leggi ha poca conoscenza di come funziona il mondo reale delle aziende e realizza delle norme che sono talvolta inapplicabili.

Comments(0)