oggi favorito, ancor di più, da tecnologie, sistemi e processi che né consentono un’immediata condivisione tra più soggetti, nonché una diffusione globale. Il commercio elettronico[1]o e-commerce, per utilizzare la definizione comunitaria, ha indubbiamente invaso e “ristrutturato” il mercato ed in tale contesto rientra anche la Direttiva europea 2000/31/CE[2](c.d. “Direttiva sul commercio elettronico”) che richiameremo innanzi.
Premesso che per dato personale si deve intendere “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (lett. b), comma 1, art. 4, D.Lgs. n. 196/2003, Codice in materia di protezione dei dati personali, c.d. “Codice della Privacy”), modif. dal D.L. n. 201/2011, conv. in L. n. 214/2011), appare per nulla scialba l’analisi del fenomeno del cosiddetto marketing diretto: ossia, le attività di invio di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, attraverso il ricorso a strumenti automatizzati di contatto come la posta elettronica, il telefax, i messaggi del tipo mms (multimedia messaging service) o sms (short message service) o strumenti di altro tipo[3].
A tal proposito il Codice della Privacy esige “il consenso del contraente o dell’utente” per lo svolgimento di dette attività. Nel contempo, è posto a carico del titolare del trattamento dei dati[4]l’onere di fornire l’informativa all’interessato “oralmente o per iscritto” (art. 13, Codice della Privacy) conseguendo in caso di inidoneità di quest’ultima oppure di inottemperanza a tale dovere l’applicazione della sanzione amministrativa ex art. 161, D.Lgs. n. 196/2003.
Altra rilevante questione attiene, poi, alla posizione del prestatore dei servizi di hosting[5]rispetto ad un eventuale dovere di sorveglianza sui dati, così, memorizzati. Occorre, però, un passaggio intermedio chiarificatore. Orbene, in tale contesto, è il D.Lgs. n. 70/2003, il quale recepisce la Direttiva sull’e-commerce, prima citata, e non disciplina, invece, “le questioni relative al diritto alla riservatezza”[6](regolamentate da un corpus a parte, ossia il quadro normativo riservato alla tutela dei dati personali), a stabilire che “il prestatore non è responsabile delle informazioni memorizzate su richiesta di un destinatario del servizio”, purché il primo non abbia conoscenza reale dell’illiceità dell’attività o dell’informazione e, relativamente alle azioni di risarcimento, “non sia al corrente di fatti o circostanze che rendono manifesta l’illiceità dell’attività o dell’informazione”[7]; ancora, purché nell’immediatezza dell’avvenuta conoscenza da parte del prestatore di tali fatti, su comunicazione delle autorità competenti, esso si attivi immediatamente per la rimozione delle informazioni oggetto dell’illecito o la disabilitazione all’accesso delle stesse.
Né consegue, pertanto che fintanto all’ ISP (internet service provider) è sconosciuto il carattere illecito della predetta attività e succitata informazione, egli può essere ritenuto responsabile, in quanto non ha obblighi di sorveglianza, né può essere considerato titolare del trattamento, in quanto non ha alcun potere di controllo[8].
[1]La Commissione europea con Comunicazione n. 157/1997 ha definito“commercio elettronico”, come “lo svolgimento di attività commerciali per via elettronica. Basato sull’elaborazione e la trasmissione di dati (tra cui testo, suoni e immagini video) per via elettronica, esso comprende attività disparate quali: commercializzazione di merci e servizi per via elettronica; distribuzione on-line di contenuti digitali; effettuazione per via elettronica di operazioni quali trasferimenti di fondi, compravendita di azioni, emissione di polizze di carico, vendite all’asta, progettazione e ingegneria in cooperazione; on-line sourcing; appalti pubblici per via elettronica, vendita diretta al consumatore e servizi post-vendita”. La Circolare n. 3487/C del D.Lgs. n. 114/1998 il Ministero dell’Industria, del Commercio e dell’Artigianato, pur richiamando la definizione europea anzidetta, ha stabilito che per “commercio elettronico” deve intendersi solamente la “parte di commercio elettronico inteso come attività di vendita di beni”. - L’impresa e il commercio elettronico: opportunità, normativa, sicurezza- Università degli Studi di Milano, Dipartimento di Scienze Giuridiche “Cesare Beccaria” e Camera Commercio Milano - Prof. Avv. Giovanni Ziccardi, Prof. Avv. Pierluigi Perri, laureanda Silvia Martinelli.
[2]Direttiva del Parlamento europeo e del Consiglio n. 31 dell’8 giugno 2000.
[3]Consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto - 15 maggio 2013 (Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)- Garante per la protezione dei dati personali, Registro dei provvedimenti n. 242 del 15 maggio 2013.
[4]Ai sensi dell’art. 4, comma 1, lett. f), D.Lgs. n. 196/2003, il titolare del trattamento dei datiè “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alla finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”.
[5]Per hosting (dall’inglese to host, ospitare) si intendono, in sintesi, tutte le attività di memorizzazione di informazioni attraverso un server connesso ad una rete web.
[6]Art. 1, comma 2, lett. b).
[7]Art. 16, D.Lgs. n. 70/2003.
[8]L’impresa e il commercio elettronico: opportunità, normativa, sicurezza- Università degli Studi di Milano, Dipartimento di Scienze Giuridiche “Cesare Beccaria” e Camera Commercio Milano - Prof. Avv. Giovanni Ziccardi, Prof. Avv. Pierluigi Perri, laureanda Silvia Martinelli. Sul punto, occorre comunque osservare che, ai sensi dell’art. 17, D.Lgs. n. 70/2013, “il prestatore è comunque tenuto: a) ad informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione; b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.”