Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013 [2542348]

(Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2542348
Data:
04/07/13
Argomenti:
Spam , Comunicazioni indesiderate , Marketing
Tipologia:
Linee guida

[vedi anche comunicato stampa]

[vedi anche provvedimento generale del 15 maggio 2013]

[doc. web n. 2542348]

Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013
(Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)

Registro dei provvedimenti
n. 330 del 4 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTE la direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e la direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla direttiva 2009/136/CE;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del 29 maggio 2003 intitolato "Spamming. Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche" (pubblicato sul sito istituzionale www.garanteprivacy.it, doc. web n. 29840);

VISTO il provvedimento generale del 19 gennaio 2011 recante "Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni" (doc. web n. 1784528);

VISTO il provvedimento generale del 15 giugno 2011 riguardante la "Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali" (doc. web n. 1821257);

VISTI i pareri del Gruppo Art. 29 n. 4/1997, n. 5/2004, n. 5/2009, n. 1/2010, n. 4/2010, n. 15/2011; la Raccomandazione n. 2/2001 del medesimo Gruppo su determinati requisiti minimi per la raccolta on-line di dati personali nell'Unione europea, nonché la Risoluzione sull'utilizzo di dati personali per la comunicazione politica adottata dalla 27^ Conferenza internazionale dei garanti della privacy tenutasi a Montreux il 14-16 settembre 2005 (doc. web n. 1170546);

VISTO il "Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011" del 20 settembre 2012 (doc. web n. 2094932);

VISTI gli atti d'ufficio e le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

RELATORE il dott. Antonello Soro;

DELIBERA

a) ai sensi dell'art. 154, comma 1, lett. h), del Codice di adottare l'unito documento, recante le "Linee guida in materia di attività promozionale e contrasto allo spam", che forma parte integrante della presente deliberazione (Allegato 1);

b) ai sensi dell'art. 143, comma 2, del Codice, di trasmettere copia della presente deliberazione, unitamente al menzionato allegato, al Ministero della giustizia-Ufficio leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana.

Roma, 4 luglio 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

ALLEGATO 1

LINEE GUIDA IN MATERIA DI ATTIVITÀ PROMOZIONALE E CONTRASTO ALLO SPAM

Sommario

1. Oggetto e finalità del presente provvedimento generale

2. Il mutato quadro normativo in materia di spam

2.1 Ambito oggettivo dello spam

2.2 Ambito soggettivo dello spam e tutele azionabili

2.3 I principi di correttezza, finalità, proporzionalità e necessità del trattamento dati. La neutralità tecnologica

2.4 L'obbligo di un'informativa chiara e completa ai sensi dell'art. 13 del Codice

2.5 L'obbligo del consenso preventivo (c.d. opt-in)

2.6  Requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali

2.6.1. Finalità del trattamento

2.6.2. Consenso per le modalità di marketing (quelle tradizionali e quelle di cui all'art. 130, commi 1 e 2 del Codice)

2.6.3. Consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing

2.6.4. Consenso documentato per iscritto

2.7. L'eccezione del "soft spam" per l'invio di posta elettronica promozionale

3. Titolarità del trattamento per lo spam effettuato mediante agenti o altri terzi

4. Invio di fax indesiderati mediante piattaforme di società estere

5. Utilizzo di liste per l'invio di più e-mail o sms

6. Nuove forme di spam

6.1 Il social spam

6.2 Marketing "virale"

7. Le sanzioni

 

1. Oggetto e finalità del presente provvedimento generale

In materia di spamming (invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari), il Garante con il provvedimento generale del 29 maggio 2003, ha dettato "Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche", basato sulla normativa al tempo in vigore e, in particolare, sulla legge 31 dicembre 1996, n. 675.

Successivamente è entrato in vigore il Codice che ha abrogato e sostituito la suddetta legge e le altre disposizioni in materia di protezione dei dati personali, ribadendone i principi nel mutato panorama normativo. Più recentemente, in particolare dal 2009 in poi, sono state effettuate varie modifiche del Codice che hanno inciso peraltro sulla sfera dei soggetti tutelati e sui diritti azionabili dai destinatari dello spam, determinando l'esigenza di intervenire nuovamente sul tema.

Va evidenziato che, anche se in misura minore rispetto al passato, continuano a pervenire all'Autorità segnalazioni, reclami e ricorsi relativamente alle tradizionali forme di spam tipizzate dal Codice. Inoltre, sono progressivamente emersi profili problematici e nuove forme di spam, che possono comportare modalità sempre più insidiose e invasive della sfera personale  degli interessati. Fra questi, si segnalano: il "marketing virale", le comunicazioni promozionali inviate tramite piattaforme tecnologiche di proprietà di soggetti terzi spesso situati all'estero e non agevolmente individuabili, il "marketing mirato", grazie all'uso di meccanismi di profilazione dell'utente, e il c.d. "social spam". Senza poter trascurare che sempre più spesso lo spam coinvolge anche i minori ai quali è doveroso assicurare una tutela rafforzata da parte dell'ordinamento giuridico e, quindi, una particolare attenzione anche da parte di questa Autorità.

Il Garante ravvisa, quindi, la necessità di adottare le presenti linee guida con le seguenti finalità:

- tenere conto del mutato quadro normativo attualmente vigente in materia, alla luce dell'entrata in vigore del Codice e delle modifiche normative successive, nonché del diritto comunitario (direttive 2002/58/UE e 2009/136/UE), con l'ulteriore obiettivo di assicurare l'uniforme applicazione della stessa normativa e l'osservanza del fondamentale principio di certezza del diritto;

- chiarire alcuni profili problematici relativi alle diverse modalità di spam,  affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali;

- inquadrare alcune nuove forme di spam, con l'intento di limitare i rischi connessi alle novità tecnologiche, pur nella necessaria consapevolezza del carattere parziale e non risolutivo dello strumento del diritto rispetto a tecnologie in continua evoluzione, peraltro sempre più avanzate e di rapida diffusione.

2. Il mutato quadro normativo in materia di spam

2.1 Ambito oggettivo dello spam

Anzitutto occorre definire il fenomeno dello spam che, ai fini del Codice, è costituito dalle comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (v. artt. 7, comma 4, lett. b), 130, comma 1 e 140 del Codice) effettuate, in violazione delle norme del Codice, con sistemi automatizzati di chiamata senza operatore (c.d. telefonate preregistrate) oppure con modalità assimilate alle prime (quali: e-mail, fax, sms, mms).

Ai fini dell'applicazione del Codice, non è necessario un invio massiccio e/o simultaneo a una pluralità di indirizzi o numeri di telefono, poiché siffatta modalità rileva solo eventualmente per qualificare il trattamento come sistematico per la quantificazione delle sanzioni.

2.2 Ambito soggettivo dello spam e le tutele azionabili

Considerate le rilevanti novità normative di cui si dirà di seguito, va chiarito anche l'ambito soggettivo delle disposizioni del Codice in materia di spam e quello dei diritti azionabili dai destinatari delle comunicazioni promozionali automatizzate. Mentre le persone fisiche possono esercitare i diritti di cui agli artt. 7 e ss. del Codice al fine di tutelare la propria sfera personale da ingerenze illecite, le persone giuridiche sono, allo stato, sprovviste della possibilità di avvalersi dei medesimi mezzi di tutela.

Al riguardo, va infatti considerato l'art. 40, secondo comma, del d.l. del 6 dicembre 2011, n. 201 (c.d. decreto "salva Italia"), convertito con legge del 22 dicembre 2011, n. 214, che ha modificato alcune disposizioni contenute nella parte prima del Codice recante le "Disposizioni generali", quali ad esempio l'art. 4 relativo, tra l'altro, alle nozioni di "interessato" e di "dato personale", in particolare eliminando ogni riferimento alle persone giuridiche o assimilate, ossia enti e associazioni ed ha mantenuto il riferimento alle sole persone fisiche.

Successivamente, è entrato in vigore anche il d. lgs. 28 maggio 2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE, il quale ha parzialmente  modificato alcune disposizioni del capo 1 ("Servizi di comunicazione elettronica") del titolo X ("Comunicazioni elettroniche") del Codice, di diretta derivazione comunitaria poiché emanate in attuazione della direttiva 2002/58/CE, nel cui campo applicativo rientrano le comunicazioni promozionali automatizzate, introducendo la qualifica di "contraente"- la quale riguarda certamente anche le persone giuridiche- in luogo di quella di "abbonato".

A seguito delle suddette modifiche normative e delle conseguenti incertezze interpretative, l'Autorità è intervenuta con il provvedimento generale del 20 settembre 2012 (doc. web n. 2094932), sull'applicabilità del Codice alle persone giuridiche, enti e associazioni.

Sulla base di quanto affermato in tale provvedimento interpretativo, si evidenzia che le persone giuridiche ed enti assimilati, destinatarie dello spamming - differentemente dalla persone fisiche- dal 6 dicembre 2011 non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non possono essere più "interessati".

Tuttavia i detti soggetti, in quanto "contraenti", si possono avvalere degli ordinari strumenti di tutela forniti dall'ordinamento, quindi, possono esperire presso l'autorità giudiziaria ordinaria rimedi civilistici quali, ad esempio, l'azione inibitoria e/o l'azione di risarcimento del danno oppure, eventualmente qualora ricorrano gli elementi costitutivi dell'art. 167 c.p., anche sporgere denuncia e quindi attivare un procedimento penale con le relative sanzioni. Inoltre, essi possono beneficiare dell'eventuale esercizio dei poteri di iniziativa ex officio -quanto a provvedimenti inibitori, prescrittivi e/o sanzionatori- da parte di questa Autorità, qualora emergano i presupposti di un possibile trattamento illecito di dati.

Con particolare riferimento alla posta elettronica, alcune volte può risultare difficile distinguere se un destinatario sia una persona fisica o giuridica.

Può essere questo il caso dei dipendenti che lavorano in una determinata società che ha fornito loro indirizzi di posta elettronica aziendale contenenti le loro generalità (ad esempio, nome.cognome@società.com).

Ebbene -in linea con quanto precisato dal Gruppo Art. 29 (con i pareri n. 4/1997 e n. 5/2004) e sulla base dei criteri di "contenuto", "finalità" o "risultato" ivi enunciati per poter definire alcune informazioni sulle persone giuridiche come "concernenti" persone fisiche- tali indirizzi vanno considerati  indirizzi "personali" di posta elettronica e i loro rispettivi assegnatari come "interessati", con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele. Ciò, fermo restando quanto già stabilito sull'utilizzo della posta elettronica aziendale dai precedenti provvedimenti del Garante in materia di trattamento dei dati dei lavoratori (in particolare, cfr. "Linee guida del Garante per posta elettronica e Internet" del 1 marzo 2007, doc. web n. 1387522).

2.3 I principi di correttezza, finalità, proporzionalità e necessità del trattamento dati. La neutralità tecnologica

Alle comunicazioni automatizzate sono applicabili, fra le altre norme del Codice, gli artt. 3 e 11, in base ai quali i dati personali considerati, in particolare i numeri di telefonia fissa e mobile e gli indirizzi di posta elettronica, vanno utilizzati e conservati secondo i principi di correttezza, finalità, proporzionalità e necessità e, in caso di  violazione del Codice, non possono essere più utilizzati.

Con particolare riferimento alle comunicazioni promozionali effettuate mediante posta elettronica, questa Autorità evidenzia la necessità che i provider di posta elettronica assicurino, nel rispetto del principio di neutralità tecnologica, la mutua autenticazione dei rispettivi server al fine di garantire agli utenti il livello più elevato possibile di protezione antispam. Ciò, tanto più se si considera la dannosità di fenomeni quali il c.d. phishing, ossia l'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di enti privati (in particolare banche e poste) ed istituzioni, che invitano il destinatario a fornire dati personali, motivando tale richiesta con ragioni di natura tecnica od economica, al fine di perseguire scopi illegali, quali, ad esempio, l'accesso alla password del conto corrente o della carta di credito e poter effettuare operazioni dispositive all'insaputa dell'interessato e pregiudizievoli della sua sfera giuridico-economica.

In particolare, occorre che i provider provvedano all'installazione di appositi filtri che consentano, con ragionevole grado di certezza, di  riconoscere lo spam, evitando, tuttavia, che tali dispositivi comportino una lesione della riservatezza degli interessati.

2.4 L'obbligo di un'informativa chiara e completa ai sensi dell'art. 13 del Codice

Un imprescindibile obbligo in capo al titolare del trattamento è quello del previo rilascio ai destinatari delle comunicazioni promozionali dell'informativa disciplinata dall'art. 13 del Codice, al fine di assicurare un'informazione chiara e completa, dunque adeguata, relativamente al trattamento dei loro dati, nonché un eventuale consenso al medesimo che sia effettivamente consapevole.

Pertanto, l'interessato o la persona presso la quale sono raccolti i dati personali deve essere previamente informato oralmente o per iscritto riguardo a una serie di elementi obbligatori e indefettibili. Fra questi, vanno specificate le modalità che saranno eventualmente utilizzate per il trattamento dati, e in particolare quelle di cui all'art. 130, commi 1 e 2, ossia telefonate automatizzate e modalità assimilate (quali fax, e-mail, sms, mms), oltre che quelle tradizionali come posta cartacea e telefonate con operatore, nonché le finalità del trattamento stesso (ad esempio, ricerca statistica, marketing o profilazione).

Peraltro, sulla base dell'applicabilità di tale norma ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati, si ricorda che, se i dati personali dei destinatari di tali comunicazioni non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, deve essere data al medesimo all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione (v. art. 13, comma 4, del Codice).  

2.5 L'obbligo del consenso preventivo (c.d. opt-in)

Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in).

Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali.

Pertanto, senza il consenso preventivo -come costantemente ribadito dal Garante a partire dal provvedimento generale sullo spamming del 29 maggio 2003 (doc. web n. 29840)- non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque

Analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell' "indice nazionale degli indirizzi pec delle imprese e dei professionisti" -di cui al d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 221, che ha introdotto l'apposito art. 6-bis del d.lgs. 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale)- istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica.
È possibile, invece, contattare telefonicamente mediante operatore (per chiedere al contraente di esprimere un consenso a ricevere comunicazioni promozionali secondo le modalità di cui all'art. 130, commi 1 e 2) i numeri presenti in elenchi telefonici e non iscritti nel Registro pubblico delle opposizioni (istituito con il decreto-legge 25 settembre 2009, n.135, convertito, con modificazioni, dalla legge 20 novembre 2009, n.166), nonché quelli presenti in elenchi pubblici "con i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati", fra i quali "vi è il vincolo di finalità in base al quale i dati sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altri trattamenti in termini compatibili con tali scopi (art. 11, comma 1, lett. b) del Codice)": cfr. provvedimento 19 gennaio 2011 (doc. web n. 1784528).

Inoltre, va evidenziato, in un'ottica di coerenza sistematica, che il principio del consenso per il trattamento dei dati vige anche nella disciplina sulla protezione dei consumatori nei contratti a distanza secondo la quale l'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore (v. art. 58 d.lgs. n. 206/2005, c.d. Codice del consumo).

2.6 I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali

Il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché documentato per iscritto (art. 23, comma 3 del Codice) ed è pertanto necessaria la presenza contestuale di tutti i menzionati requisiti, per ritenere tale trattamento conforme al Codice.

Sulla base anche di quanto già indicato nel paragrafo 2.4, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati personali (cfr. provvedimento  24 febbraio 2005, punto 7, doc. web n. 1103045) e a tal fine devono ricevere un'adeguata informativa, chiara e completa come sopra specificato.

Il consenso del contraente per l'attività promozionale deve intendersi libero quando non è preimpostato e non risulta -anche solo implicitamente in via di fatto- obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento.

Esemplificando, non è libero il consenso prestato quando la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. In quest'ottica, il Garante ha già espressamente affermato  che non può definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta (cfr.: provv. 22 febbraio 2007, doc. web n. 1388590; provv.  12 ottobre 2005, doc. web n. 1179604; provv.  3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n. 1298709; provv. 15 luglio 2010, doc. web n. 1741998; più recentemente, provv. 11 ottobre 2012, doc. web n. 2089777).

Analogamente, non è corretta la predisposizione di moduli in cui la casella (c.d. "check-box") di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag) (v. provv. "Consenso al trattamento in Internet e utilizzo dei dati per finalità promozionali", 10 maggio 2006, doc. web n. 1298709).

Il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l'invio di loro comunicazioni promozionali, secondo le indicazioni e i chiarimenti forniti di seguito nel presente provvedimento.

2.6.1 Finalità del trattamento

Quanto alle finalità del trattamento di dati personali, si ribadisce che il titolare del trattamento deve acquisire un consenso specifico per ciascuna distinta finalità quali ad esempio: marketing, profilazione, comunicazione a terzi dei dati (cfr. provv.  24 febbraio 2005, punto 7, doc. web n. 1103045).

Va tuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale (nel settore del marketing on line, v. parere n. 4/2010 del Gruppo Art. 29 sul codice di condotta europeo della Fedma per l'utilizzazione dei dati personali nel marketing diretto). Occorre allora chiarire se sia necessario o meno un consenso specifico per ciascuna di esse. Al riguardo, l'Autorità ritiene che le suddette attività sono funzionali, nella maggior parte dei casi, a perseguire un'unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare –sempre di norma– l'acquisizione di un unico consenso (cfr., fra gli altri, anche: provv. 9 marzo 2006, doc. web n. 1252220; provv. 24 maggio 2006, doc. web n. 1298784; provv. 15 novembre 2007, doc. web n. 1466985).

Tale orientamento, peraltro, già espresso da questa Autorità in alcuni provvedimenti (cfr., ad esempio, provv. 31 gennaio 2008, doc. web n. 1490553); cfr. anche parere n. 15/2011 del Gruppo Art. 29 sulla definizione di "consenso", secondo cui la necessità della sua acquisizione deve essere valutata in funzione degli scopi perseguiti o dei destinatari dei dati) mira ad evitare un'eventuale moltiplicazione dei consensi e risulta compatibile con l'art. 2, comma 2, del Codice, che impone l'osservanza anche del principio di semplificazione in relazione alle modalità previste per l'adempimento degli obblighi da parte dei titolari dei trattamenti.

Tale impostazione, peraltro, appare coerente con il principio di finalità (secondo cui i dati possono essere utilizzati in "altre" operazioni di trattamento in termini "compatibili" con gli scopi originari della raccolta: art. 11, comma 1, lett. b) del Codice).

2.6.2 Consenso per le modalità di marketing (quelle tradizionali e quelle di cui all'art. 130, commi 1 e 2 del Codice)

Al fine di attuare l'esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali, questa Autorità ritiene che sia parimenti legittimo interpretare la regola della specificità del consenso rispetto alle modalità utilizzate per le finalità di marketing, prevedendo due appositi e distinti consensi rispettivamente per le modalità tradizionali e per quelle di cui all'art. 130, commi 1 e 2 del Codice, oppure, in alternativa, un unico consenso che comprenda i due tipi di modalità.

In tale ultimo caso, come già detto nel paragrafo 2.4 relativo all'obbligo informativo, dovranno essere chiarite le singole modalità utilizzate per il marketing (modalità tradizionali e modalità di cui all'art. 130, commi 1 e 2, del Codice) e, al contempo, dovranno essere osservate alcune misure atte a garantire il diritto alla protezione dei dati personali degli interessati. In particolare:

• dall'informativa e dalla richiesta di consenso deve risultare che il consenso prestato per l'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130, commi 1 e 2, del Codice, si estende anche alle modalità tradizionali di contatto eventualmente indicate nell'informativa, come la posta cartacea e/o le chiamate tramite operatore;

• dall'informativa deve risultare, inoltre, che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per le suddette finalità, effettuato attraverso modalità automatizzate di contatto, si estende a quelle tradizionali e che comunque resta salva la possibilità per l'interessato di esercitare tale diritto in parte, ai sensi dell'art. 7, comma 4, lett. b), del Codice, ossia, in tal caso, opponendosi, ad esempio, al solo invio di comunicazioni promozionali effettuato tramite strumenti automatizzati.

2.6.3. Consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing

Nella prassi del Garante, è stato talora rilevato che i titolari del trattamento, mediante moduli contrattuali cartacei o appositi form on-line, raccolgono un generico consenso al trattamento per le finalità promozionali proprie e di soggetti terzi ai quali comunicano (e/o talvolta cedono) i dati personali raccolti, senza individuare tali soggetti né nell'informativa né nella formula di acquisizione del consenso e senza indicarne la categoria economica o merceologica di riferimento.

Di seguito, pertanto, questa Autorità fornisce chiarimenti al riguardo, con riferimento sia alla comunicazione a terzi per finalità di marketing, considerata in via generale, sia alla particolare ipotesi in cui il soggetto terzo -a cui viene fatta la comunicazione dei dati raccolti per finalità di marketing- sia una società controllata, controllante, o comunque a vario titolo collegata con il soggetto che ha raccolto i dati personali degli interessati.

Relativamente alla comunicazione a terzi per finalità di marketing in generale, va subito rilevato che la comunicazione o cessione a terzi di dati personali  per finalità di marketing non può fondarsi sull'acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità (cfr., ex multis, provv. 11 ottobre 2012, doc. web n. 2089777; provv. 19 maggio 2011, doc. web n. 1823148; provv. 12 maggio 2011, doc. web n. 1813953; provv. 7 ottobre 2010, doc. web n. 1763037; provv. 15 luglio 2010, doc. web n. 1741998; v. anche Trib. Roma 5 ottobre 2011 n. 19281).

Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un'idonea informativa, ai sensi dell'art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: "finanza", editoria", "abbigliamento": cfr. lettera d della detta norma).

Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale.

Qualora l'interessato rilasci il suddetto consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all'art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale.

Si chiarisce che, ai fini del Codice, il terzo o i terzi in questione possono appartenere a categorie economiche o merceologiche anche diverse da quella del titolare del trattamento che provvede alla raccolta dei dati dell'interessato.

Peraltro, nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti all'interessato anche gli altri elementi previsti all'art. 13 del Codice relativi al trattamento che verrà da questi svolto, non sarà necessario che i predetti soggetti rilascino agli interessati un'ulteriore informativa in quanto, come specificato all'art. 13, comma 2 del Codice, l'informativa "può non comprendere gli elementi già noti alla persona che fornisce i dati".

Laddove invece la richiesta di consenso non sia accompagnata da un'informativa con tali requisiti, i terzi -ai sensi dell'art. 13, comma 4, del Codice- potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa, che contenga, oltre agli elementi previsti dall'art. 13, comma 1, anche l'origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento ai sensi dell'art. 7, comma 4, lett. b) del Codice.

In entrambi i casi, inoltre, i terzi dovranno fornire all'interessato un idoneo recapito -di cui all'art. 130, comma 5- presso il quale poter esercitare utilmente i diritti di cui all'art. 7 (cfr. provvedimento 7 aprile 2011, doc. web n. 1810207), ed essere assicurata al medesimo la possibilità di avvalersi, a tal fine, dello stesso canale comunicativo utilizzato per l'invio delle comunicazioni promozionali e comunque di uno strumento quanto più possibile agevole, rapido, economico ed efficace (v. al riguardo parere n. 5/2004 del Gruppo Art. 29).

Ad esempio, se i terzi intendono inviare e-mail pubblicitarie, devono consentire agli interessati di potersi opporre al trattamento inviando una e-mail a un indirizzo di posta indicato nell'informativa resa ed eventualmente riservato alla gestione delle problematiche sul trattamento dati sottoposte loro da utenti e clienti.

Le suddette regole devono applicarsi anche quando i soggetti terzi -ai quali si intenda comunicare (o cedere) i dati raccolti per finalità di marketing- siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati.

Quanto al profilo del consenso, va ribadito quanto già affermato dall'Autorità, sia pure in altri contesti (cfr. provv. 23 novembre 2006, recante le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, doc. web n. 1364099; provv. 12 maggio 2011, recante le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie, doc. web n. 1813953; v. anche provv. 15 giugno 2011 "Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali", doc. web n. 1821257; cfr. anche provv. 22 febbraio 2007, cit.). In particolare, i soggetti appartenenti al medesimo gruppo societario, al fine di adempiere all'obbligo del consenso, devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti.

2.6.4 Consenso documentato per iscritto

È necessario inoltre che il consenso per la finalità promozionale sia documentato per iscritto.

Va evidenziato che la direttiva 2002/58/CE non stabilisce in modo specifico il metodo per ottenere tale consenso (cfr. considerando 17 della stessa direttiva: "… Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all'utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un'apposita casella nel caso di un sito internet.").

Ne consegue che gli operatori del settore possono ritenersi liberi di scegliere il metodo che ritengono opportuno nell'ambito della propria libertà organizzativa. Inoltre, non è necessario che il consenso acquisito abbia forma scritta, a pena di invalidità del medesimo, ma è comunque necessario che il titolare del trattamento adotti misure idonee a darne prova fornendo alcuni elementi tali da poter ritenere acquisito il consenso e circostanziare tale acquisizione. In particolare, è necessario che risultino documentati, nella modalità che si ritenga di adottare, la data in cui è stato reso e gli estremi identificativi di chi lo ha ricevuto, adottando altresì, contestualmente, analoghe procedure idonee a garantire che la volontà dell'interessato di revocare il suo consenso venga effettivamente rispettata (cfr. provvedimento 30 maggio 2007, doc. web n. 1412598).

Appare utile adottare sistemi di verifica della identità del contraente che si è registrato ad un sito web perché interessato a ricevere offerte promozionali. In tal senso, ad esempio, l'invio di una apposita e-mail al suo indirizzo di posta elettronica con la quale si chiede di confermare la propria identità cliccando su un apposito link.

2.7 L'eccezione del "soft spam" per l'invio di posta elettronica promozionale

L'Autorità ricorda che per le comunicazioni di cui all'art. 130, commi 1 e 2, non valgono le cause di esonero del consenso di cui all'art. 24 del Codice.

Per la sola posta elettronica, tuttavia, può ricorrere l'eccezione del c.d. "soft spam", di cui all'art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l'interessato, adeguatamente informato, non rifiuti tale uso.

3. Titolarità del trattamento per lo spam effettuato mediante agenti o altri terzi

In alcune circostanze, l'Autorità ha rilevato che le comunicazioni promozionali indesiderate vengono inviate non direttamente dall'impresa/società promotrice, ma da agenti o altri soggetti terzi. Pertanto, è necessario chiarire quale fra il soggetto promotore e il terzo debba considerarsi titolare del trattamento ai sensi dell'art. 28 del Codice, con i relativi obblighi.

Al riguardo, viene in rilievo il provvedimento generale del 15 giugno 2011 sulla "Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali" (doc. web n. 1821257) del quale è opportuno riproporre alcuni argomenti e considerazioni poiché applicabili anche alle comunicazioni promozionali effettuate con le modalità di cui all'art. 130, commi 1 e 2.

Si ricorda inoltre il parere del Gruppo Art. 29 n. 1/2010, che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE, che, ai fini dell'individuazione della titolarità concretamente esercitata, occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità". Il parere ha evidenziato la necessità di riconoscere la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla società che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresì, del controllo esercitato dalla società circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste. Ne consegue che i soggetti esterni dovranno essere designati responsabili del trattamento ai sensi dell'art. 29 del Codice, mentre i singoli operatori quali incaricati ai sensi dell'art. 30.

Tale necessità può ben ravvisarsi anche nel caso delle comunicazioni promozionali con le modalità di cui sopra, essendo irrilevante, ai fini dell'individuazione della titolarità, il tipo di modalità utilizzata per la comunicazione promozionale.

Peraltro, questa Autorità, con il provvedimento del 16 febbraio 2006 (doc. web n. 1242592), in materia di servizi telefonici non richiesti, ha già espressamente sottolineato la necessità che l'eventuale designazione, in qualità di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra società risponda alla realtà effettiva dei rapporti rilevanti in materia di trattamento dei dati. Inoltre, con il provvedimento del 29 aprile 2009 (doc. web n. 1617709), l'Autorità, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha ritenuto determinante il carattere subordinato di tali soggetti alle istruzioni ed al potere di controllo esercitato dalla società appaltante, riconoscendo quest'ultima come unico titolare del trattamento e, appunto in virtù di tale qualifica, prescrivendole di designare le società appaltatrici responsabili del trattamento ai sensi dell'art. 29 del Codice (analogamente, cfr. provvedimento 12 maggio 2011, doc. web n. 1813953, in materia di circolazione dei dati dei clienti in ambito bancario).

Alla luce di tali considerazioni e dei criteri indicati, questa Autorità, riguardo allo spam effettuato mediante agenti o altri terzi, ritiene che il soggetto promotore, qualora in concreto abbia un ruolo preminente nel trattamento dei dati dei destinatari, assumendo decisioni relative alle finalità e modalità del trattamento, fornendo istruzioni e direttive vincolanti e svolgendo verifiche e controlli sull'attività dell'agente, va considerato titolare ai sensi dell'art. 28 del Codice, a prescindere dalla qualificazione contrattuale. Inoltre, il soggetto promotore è tenuto a nominare responsabile il soggetto agente o altro terzo di cui si avvale per l'attività promozionale, salvo che non si tratti di un mero incaricato (persona fisica) che svolga solo operazioni di trattamento sotto la diretta autorità del promotore e in base alle sue istruzioni.

Inoltre, questa Autorità ravvisa la necessità che i soggetti promotori pongano in essere misure e procedure idonee a conoscere se l'agente, al quale è stato affidato il trattamento dati mediante modalità automatizzate a fini di marketing, eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento, a subagenti o altri terzi, nonché a verificare e garantire l'osservanza del Codice da parte di questi ultimi. Ciò sia nel caso in cui i promotori siano in concreto qualificabili come titolari del trattamento -in quanto dovranno provvedere a designare i subagenti o altri soggetti terzi coinvolti nella "filiera" del trattamento dei dati come responsabili o incaricati (artt. 29 e 30 del Codice) e saranno chiamati a rispondere delle eventuali violazioni del Codice effettuate da tali soggetti- sia nell'ipotesi in cui i subagenti o i terzi utilizzino proprie banche dati per effettuare le attività promozionali, rivestendo in tal modo il ruolo di autonomi titolari. In tale ultima ipotesi, infatti, la misura in questione trova giustificazione nell'esigenza di consentire al promotore, qualora sia destinatario di una istanza ai sensi dell'art. 7 del Codice, di chiarire all'interessato il ruolo effettivamente ricoperto nell'ambito del rapporto intercorrente con i subagenti ed, eventualmente, indirizzarlo al soggetto che nel caso di specie agisce in qualità di titolare.

4. Invio di fax indesiderati mediante piattaforme di società estere

Il Garante continua, seppur in misura inferiore al passato, a ricevere numerose segnalazioni con le quali si lamenta la ricezione – talvolta a qualsiasi ora del giorno - di fax o, in assenza del telefax, di tentativi di inoltro di fax. I testi promozionali ricevuti, peraltro, non sempre indicano il titolare del trattamento e i suoi dati di contatto per potersi opporre ad ulteriori invii né tantomeno un'informativa adeguata sul trattamento dati.

Sulla base di istruttorie anche complesse, l'Autorità ha rilevato che lo spam via fax che proviene dall'estero solitamente è inviato da società straniere che offrono questo servizio di invio a utenti italiani (imprese, società,..) e che utilizzano, a tal fine, due distinte reti: la rete Internet, per l'invio dei fax nella tratta compresa tra il fax server sito all'estero ed il fax gateway sito in Italia, e la rete pubblica telefonica italiana per la trasmissione dei fax da parte del fax gateway nella tratta compresa tra lo stesso e il terminale dell'utente.

Al riguardo, come già chiarito con il sopra citato provvedimento 7 aprile 2011, si segnala che a tale tipo di trattamento dati si applica la disciplina del Codice, dato che, ai sensi dell'art. 5, comma 2, lo stesso è applicabile a  qualsiasi soggetto che "…impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione Europea…".

Pertanto, occorre individuare, in relazione alla fattispecie in questione, il soggetto titolare del trattamento con i relativi obblighi.

Ebbene, a seconda del caso concreto, e in particolare del ruolo svolto nella scelta dei destinatari delle comunicazioni, nonché delle modalità e delle finalità del trattamento, il titolare sarà individuabile nell'impresa, nella società, nel soggetto che comunque si avvalga di tali piattaforme proprie di soggetti terzi oppure nel proprietario delle piattaforme se quest'ultimo le utilizza per svolgere attività promozionale per sé stesso.

In particolare, si ritiene necessario che il titolare predisponga comunque, per ogni messaggio in uscita, un riquadro (template) nel quale sia riportata un'idonea informativa, ferma restando la previa acquisizione del consenso specifico e informato dei destinatari delle suddette comunicazioni promozionali ai sensi degli artt. 23 e 130 e, inoltre, garantisca l'esercizio dei diritti di cui agli artt. 7 ss. in modo rapido, agevole ed efficace.

5. Utilizzo di liste per l'invio di più e-mail o sms

La finalità promozionale talora viene perseguita utilizzando liste di e-mail o numerazioni telefoniche per l'invio simultaneo del medesimo messaggio promozionale a molteplici interessati.

I soggetti che si avvalgono di tale modalità per finalità di marketing devono rispettare principi e norme già sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice per ciascuno degli indirizzi di posta trattato.

Peraltro, nel caso dell'invio di e-mail, chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini più vari, eventualmente anche alimentando ulteriore spam.

L'attività promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari della promozione.

Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione "ccn" (ossia l'inoltro per conoscenza in "copia conoscenza nascosta"), gli indirizzi di posta utilizzati per l'invio della promozione.

6. Nuove forme di spam

Il Garante, sempre alla luce del descritto quadro normativo, di seguito intende fornire necessarie indicazioni di carattere generale anche in relazione ad alcune nuove forme e modalità di spam prive attualmente di un'espressa disciplina normativa, anche al fine di evitare che le grandi potenzialità di Internet, nonché più in generale della tecnologia, possano in via di fatto consentire un uso indiscriminato e illegittimo dei dati personali.

6.1 Il social spam

II c.d. "social spam" consiste in un insieme di attività mediante le quali lo  spammer veicola messaggi e link attraverso le reti sociali online. Ciò si inquadra nel problema dell'indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell'ambito dei social network, tanto più rispetto a profili di tipo "aperto". Questo impiego si presta alla commercializzazione o ad altri trattamenti dei dati personali a fini di profilazione e marketing da parte di società terze che siano partner commerciali delle società che gestiscono tali siti oppure che approfittino della disponibilità di fatto di tali dati in Internet. Inoltre, essendo i social network reti sociali tra persone reali, lo spam in questo caso può mirare a catturare l'elenco dei contatti dell'utente mirato per aumentare la portata virale del messaggio.

Al riguardo, l'Autorità anzitutto ricorda che l'agevole rintracciabilità di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari.

Riguardo a tale tipo di spam, si fa presente che i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale,  sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130.

La medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messanger, etc.. Per questi, si ricorda il rischio di proliferazione dello spam dato che, come peraltro indicato nelle relative condizioni di servizio, tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart-phone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l'accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali.

Il rischio di ricevere spam, e in particolare il c.d. "spam mirato", basato sulla profilazione degli utenti, si potrebbe aggravare in considerazione della tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre più semplificate che, unificando i profili sui diversi servizi resi dalle medesime piattaforme, consentono di pervenire ad una conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni.

Se da una parte questa nuova pratica può agevolare il rapporto commerciale tra produttore e consumatore, riducendo per il primo i costi di marketing e per il secondo i costi di ricerca del prodotto, tuttavia può causare all'interessato che viene profilato a dispetto della sua volontà, oltre alla ricezione dello spam, anche la compressione della sua libertà di fruizione dei servizi della società dell'informazione.

Ciò premesso, ferma restando la liceità dei messaggi a scopo meramente personale, si possono individuare alcune ipotesi sulle quali occorre fornire qualche chiarificazione anche sotto l'aspetto normativo.

Una prima ipotesi è quella in cui l'utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un'impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto.

Una seconda è quella in cui l'utente sia diventato "fan" della pagina di una determinata impresa o società oppure si sia iscritto a un "gruppo" di follower di un determinato marchio, personaggio, prodotto o servizio (decidendo così di "seguirne" le relative vicende, novità o commenti) e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi.

Nel primo caso, il trattamento sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall'interessato un consenso preventivo, specifico, libero e documentato ai sensi dell'art. 130, commi 1 e 2, del Codice.

Nel secondo caso, l'invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l'interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l'interessato si cancella dal gruppo, oppure smette di "seguire" quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sarà illecito, con le relative conseguenze sanzionatorie. Ciò, ferma comunque restando la possibilità, talora  fornita dai social network ai loro utenti, di bloccare l'invio di messaggi da parte di un determinato "contatto" o di segnalare quest'ultimo come spammer.

Nell'ipotesi dei "contatti" (i c.d. "amici") dell'utente, dei quali spesso nei social network o nelle comunità degli iscritti ai servizi di cui sopra, sono visualizzabili numeri di telefono o indirizzi di posta elettronica, l'impresa o società che intenda inviare legittimamente messaggi promozionali dovrà aver previamente acquisito, per ciascun "contatto" o "amico", un consenso specifico per l'attività promozionale.

6.2  Marketing "virale"

Il marketing "virale" è una modalità di attività promozionale mediante la quale un soggetto promotore sfrutta la capacità comunicativa di pochi soggetti destinatari diretti delle comunicazioni per trasmettere il messaggio ad un numero elevato di utenti finali. È un'evoluzione del "passaparola", ma se ne distingue per il fatto che fin dall'inizio emerge la volontà dei promotori di  avviare una campagna promozionale. Come un "virus", la comunicazione contenente l'idea, il prodotto o il servizio, che può rivelarsi interessante o conveniente per un utente, viene veicolata da questo ad altri contatti, da questi ad altri e così via.

In genere, con la locuzione "marketing virale" si fa riferimento  agli utenti di Internet che suggeriscono o raccomandano ad altri l'utilizzo di un determinato prodotto o servizio. Ultimamente, questa tecnica promozionale si sta diffondendo anche per prodotti non strettamente connessi a Internet: veicolo del messaggio resta comunque la comunità del web, che può comunicare in maniera chiara, veloce e gratuita.

Per agevolare la diffusione del messaggio, il soggetto promotore offre un incentivo o un bonus o altro bene economico ai destinatari delle comunicazioni che a loro volta, in cambio, si offrano di inoltrare o comunque far conoscere a terzi (talora con e-mail o sms) la comunicazione promozionale ricevuta.

Ebbene, tale attività, quando viene svolta con modalità automatizzate e per finalità di marketing, può rientrare nello spam se non rispetta principi e norme già sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice.

Non è comunque soggetto al Codice il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale, consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati. Il Codice si applica invece al trattamento effettuato da chi inoltri, o comunque comunichi, il messaggio promozionale ricevuto a una molteplicità di destinatari i cui dati personali (numeri di telefono o indirizzi e-mail) siano stati reperiti su elenchi pubblici o sul web.

7. Le sanzioni

Si ricorda che, in relazione alle varie forme di spamming, in caso di accertata violazione delle norme del Codice, questa Autorità -fatta salva l'eventuale adozione di provvedimenti inibitori o prescrittivi- applica le sanzioni amministrative, quali in particolare quelle previste dagli artt. 161 e 162, comma 2-bis del medesimo Codice, finalizzate ad assicurare l'osservanza dei fondamentali obblighi, rispettivamente, dell'informativa e del consenso.

Inoltre, qualora emergano i presupposti di un possibile trattamento illecito di dati personali avente una specifica rilevanza di natura penale, l'Autorità è tenuta a denunciare i fatti configurabili come reati perseguibili d'ufficio all'autorità giudiziaria per l'eventuale applicazione della sanzione penale prevista dall'art. 167 del  Codice.