Filtri antispam: linee-guida dei Garanti europei
Dalla Newsletter n. 272 del Garante per la Protezione dei Dati Personali del 7 marzo 2006
Il provider può effettuare la scansione automatizzata della posta elettronica alla ricerca di virus o spam senza il consenso dell’utente o dell’abbonato, ma ha l’obbligo di richiederlo se lo scopo dello screening è quello di individuare contenuti potenzialmente illegali, (ad esempio file a carattere pornografico o a contenuto razzista).
Queste, in sintesi, le indicazioni che le Autorità europee per la protezione dei dati personali hanno fornito in un documento (Parere 2/2006, disponibile in lingua inglese all’indirizzo: http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2006/wp118_en.pdf approvato recentemente a Bruxelles nell’ambito del Gruppo di lavoro che le riunisce.
Obiettivo del documento è fornire alcune prime indicazioni agli operatori del settore su tutta una serie di attività che mirano a ridurre prassi dannose e intromissioni nella comunicazione elettronica, ma che possono tuttavia configurarsi esse stesse come un’interferenza nella libertà di comunicazione per le caratteristiche che vengono ad assumere. Le Autorità per la protezione dei dati invitano provider e i produttori di software ad incorporare i principi di tutela della privacy nei programmi utilizzati per la gestione della posta elettronica, riducendo al minimo il trattamento di dati personali. Vediamo in maggiore dettaglio le indicazioni dei Garanti Ue.
La scansione effettuata al fine di individuare virus è lecita perché si tratta di una finalità che rientra negli obblighi di sicurezza imposti dalla direttiva 2002/58 e dalle norme nazionali e non richiede il consenso dell’utente. Tuttavia, ciò non esime il provider dall’obbligo di informare adeguatamente l’utente sulla natura dell’attività svolta (ad esempio, nell’ambito delle condizioni contrattuali previste per il servizio), di non rivelare a chiunque il contenuto della comunicazione e, qualora la scansione anti-virus sia effettuata sotto forma di scansione del contenuto dei messaggi, di limitare l’analisi esclusivamente alla ricerca di possibili virus.
Anche lo screening effettuato per individuare spam è, a giudizio dei Garanti Ue, attività assimilabile all’attivazione di misure di sicurezza, poiché lo spam compromette la funzionalità dei servizi di posta elettronica. Tuttavia, in considerazione del rischio di generare “falsi positivi” – ossia di filtrare come spam messaggi che in effetti non lo sono – e dunque di limitare in qualche misura la libertà di comunicazione, i provider dovrebbero consentire agli utenti di disapplicare i filtri anti-spam e di stabilire quali tipi di spam debbano essere filtrati. In particolare, il Gruppo di lavoro invita i provider e i produttori di software e programmi di posta elettronica a mettere a punto strumenti che diano all’utente la possibilità di configurare autonomamente i meccanismi di filtraggio anti-spam.
La scansione a scopo di ricerca di specifici contenuti potenzialmente illeciti deve essere, invece, configurata come una vera e propria intercettazione delle comunicazioni. Essa può essere effettuata solo dalla autorità giudiziaria e dalle forze di polizia; se effettuata dai provider, è invece necessario che via sia stata una espressa manifestazione di volontà dell’utente interessato al controllo. Questo tipo di screening, dunque, non può rientrare negli obblighi standard dei provider e deve essere offerto, eventualmente, quale servizio a valore aggiunto.