Filtri antispam: linee-guida dei Garanti europei
Il provider
puo’ effettuare la scansione automatizzata della posta elettronica alla ricerca
di virus o spam senza il consenso dell’utente o dell’abbonato, ma ha l’obbligo
di richiederlo se lo scopo dello screening è quello di individuare contenuti
potenzialmente illegali, (ad esempio file a carattere pornografico o a contenuto
razzista).
Queste, in
sintesi, le indicazioni che le Autorità europee per la protezione dei dati
personali hanno fornito in un documento (Parere 2/2006, disponibile in lingua
inglese all’indirizzo: http://www.europa.eu.int/…pdf)
approvato recentemente a Bruxelles nell’ambito del Gruppo di lavoro che le
riunisce.
Obiettivo del
documento è fornire alcune prime indicazioni agli operatori del settore su
tutta una serie di attività che mirano a ridurre prassi dannose e intromissioni
nella comunicazione elettronica, ma che possono tuttavia configurarsi esse
stesse come un’interferenza nella libertà di comunicazione per le
caratteristiche che vengono ad assumere. Le Autorità per la protezione dei dati
invitano provider e i produttori di software ad incorporare i principi di tutela
della privacy nei programmi utilizzati per la gestione della posta elettronica,
riducendo al minimo il trattamento di dati personali. Vediamo in maggiore
dettaglio le indicazioni dei Garanti Ue.
La scansione
effettuata al fine di individuare virus è lecita perchè si tratta di una
finalità che rientra negli obblighi di sicurezza imposti dalla direttiva
2002/58 e dalle norme nazionali e non richiede il consenso dell’utente.
Tuttavia, cio’ non esime il provider dall’obbligo di informare adeguatamente
l’utente sulla natura dell’attività svolta (ad esempio, nell’ambito delle
condizioni contrattuali previste per il servizio), di non rivelare a chiunque il
contenuto della comunicazione e, qualora la scansione anti-virus sia effettuata
sotto forma di scansione del contenuto dei messaggi, di limitare l’analisi
esclusivamente alla ricerca di possibili virus.
Anche lo
screening effettuato per individuare spam è, a giudizio dei Garanti Ue,
attività assimilabile all’attivazione di misure di sicurezza, poichè lo spam
compromette la funzionalità dei servizi di posta elettronica. Tuttavia, in
considerazione del rischio di generare "falsi positivi" – ossia di filtrare come
spam messaggi che in effetti non lo sono – e dunque di limitare in qualche
misura la libertà di comunicazione, i provider dovrebbero consentire agli
utenti di disapplicare i filtri anti-spam e di stabilire quali tipi di spam
debbano essere filtrati. In particolare, il Gruppo di lavoro invita i provider e
i produttori di software e programmi di posta elettronica a mettere a punto
strumenti che diano all’utente la possibilità di configurare autonomamente i
meccanismi di filtraggio anti-spam.
La scansione
a scopo di ricerca di specifici contenuti potenzialmente illeciti deve essere,
invece, configurata come una vera e propria intercettazione delle comunicazioni.
Essa puo’ essere effettuata solo dalla autorità giudiziaria e dalle forze di
polizia; se effettuata dai provider, è invece necessario che via sia stata una
espressa manifestazione di volontà dell’utente interessato al controllo. Questo
tipo di screening, dunque, non puo’ rientrare negli obblighi standard dei
provider e deve essere offerto, eventualmente, quale servizio a valore aggiunto.
