2.1 Ambito oggettivo dello spam

2.2 Ambito soggettivo dello spam e tutele azionabili

2.3 I principi di correttezza, finalità, proporzionalità enecessità del trattamento dati. La neutralità tecnologica

2.4 L'obbligo di un'informativa chiara e completa ai sensidell'art. 13 del Codice

2.5 L'obbligo del consenso preventivo (c.d. opt-in)

2.6 Requisiti di validità del consenso per la finalità diinvio di comunicazioni promozionali

2.6.1 Finalità del trattamento

2.6.2 Consenso per le modalità di marketing (quelletradizionali e quelle di cui all'art. 130, commi 1 e 2 del Codice)

2.6.3 Consenso specifico per la comunicazione e/o cessione asoggetti terzi a fini di marketing

2.6.4 Consenso documentato per iscritto

2.7 L'eccezione del "soft spam" per l'invio di postaelettronica promozionale

3. Titolarità deltrattamento per lo spam effettuato mediante agenti o altri terzi

4. Invio di fax indesideratimediante piattaforme di società estere

5. Utilizzo di liste perl'invio di più e-mail o sms

6. Nuove forme di spam

6.1 Il social spam

6.2 Marketing "virale"

7. Le sanzioni

1. Oggetto e finalità del presente provvedimentogenerale

Inmateria di spamming (invio di comunicazioni promozionali e di materiale pubblicitariosenza il consenso dei destinatari), il Garante con il provvedimento generaledel 29 maggio 2003, ha dettato "Regole per un corretto uso dei sistemiautomatizzati e l'invio di comunicazioni elettroniche", basato sullanormativa al tempo in vigore e, in particolare, sulla legge 31 dicembre 1996,n. 675.

Successivamenteè entrato in vigore il Codice che ha abrogato e sostituito la suddetta legge ele altre disposizioni in materia di protezione dei dati personali, ribadendonei principi nel mutato panorama normativo. Più recentemente, in particolare dal2009 in poi, sono state effettuate varie modifiche del Codice che hanno incisoperaltro sulla sfera dei soggetti tutelati e sui diritti azionabili daidestinatari dello spam, determinando l'esigenza di intervenire nuovamente sultema.

Vaevidenziato che, anche se in misura minore rispetto al passato, continuano apervenire all'Autorità segnalazioni, reclami e ricorsi relativamente alletradizionali forme di spam tipizzate dal Codice. Inoltre, sono progressivamenteemersi profili problematici e nuove forme di spam, che possono comportaremodalità sempre più insidiose e invasive della sfera personale  degliinteressati. Fra questi, si segnalano: il "marketing virale", lecomunicazioni promozionali inviate tramite piattaforme tecnologiche di proprietàdi soggetti terzi spesso situati all'estero e non agevolmente individuabili, il"marketing mirato", grazie all'uso di meccanismi di profilazionedell'utente, e il c.d. "social spam". Senza poter trascurare chesempre più spesso lo spam coinvolge anche i minori ai quali è doverosoassicurare una tutela rafforzata da parte dell'ordinamento giuridico e, quindi,una particolare attenzione anche da parte di questa Autorità.

IlGarante ravvisa, quindi, la necessità di adottare le presenti linee guida conle seguenti finalità:

-    tenereconto del mutato quadro normativo attualmente vigente in materia, alla lucedell'entrata in vigore del Codice e delle modifiche normative successive, nonchédel diritto comunitario (direttive 2002/58/UE e 2009/136/UE), con l'ulterioreobiettivo di assicurare l'uniforme applicazione della stessa normativa el'osservanza del fondamentale principio di certezza del diritto;

-    chiarirealcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sultrattamento dei dati personali;

-    inquadrarealcune nuove forme di spam, con l'intento di limitare i rischi connessi allenovità tecnologiche, pur nella necessaria consapevolezza del carattere parzialee non risolutivo dello strumento del diritto rispetto a tecnologie in continuaevoluzione, peraltro sempre più avanzate e di rapida diffusione.

2. Il mutato quadro normativo in materia di spam

2.1Ambito oggettivo dello spam

Anzituttooccorre definire il fenomeno dello spam che, ai fini del Codice, è costituitodalle comunicazioni per l'invio di materiale pubblicitario o di vendita direttao per il compimento di ricerche di mercato o di comunicazione commerciale (v.artt. 7, comma 4, lett. b), 130, comma 1 e 140 del Codice) effettuate, inviolazione delle norme del Codice, con sistemi automatizzati di chiamata senzaoperatore (c.d. telefonate preregistrate) oppure con modalità assimilate alleprime (quali: e-mail, fax, sms, mms).

Aifini dell'applicazione del Codice, non è necessario un invio massiccio e/osimultaneo a una pluralità di indirizzi o numeri di telefono, poiché siffattamodalità rileva solo eventualmente per qualificare il trattamento comesistematico per la quantificazione delle sanzioni.

2.2Ambito soggettivo dello spam e le tutele azionabili

Consideratele rilevanti novità normative di cui si dirà di seguito, va chiarito anchel'ambito soggettivo delle disposizioni del Codice in materia di spam e quellodei diritti azionabili dai destinatari delle comunicazioni promozionaliautomatizzate. Mentre le persone fisiche possono esercitare i diritti di cuiagli artt. 7 e ss. del Codice al fine di tutelare la propria sfera personale daingerenze illecite, le persone giuridiche sono, allo stato, sprovviste dellapossibilità di avvalersi dei medesimi mezzi di tutela.

Alriguardo, va infatti considerato l'art. 40, secondo comma, del d.l. del 6dicembre 2011, n. 201 (c.d. decreto "salva Italia"), convertito conlegge del 22 dicembre 2011, n. 214, che ha modificato alcune disposizionicontenute nella parte prima del Codice recante le "Disposizionigenerali", quali ad esempio l'art. 4 relativo, tra l'altro, alle nozionidi "interessato" e di "dato personale", in particolare eliminandoogni riferimento alle persone giuridiche o assimilate, ossia enti eassociazioni ed ha mantenuto il riferimento alle sole persone fisiche.

Successivamente,è entrato in vigore anche il d. lgs. 28 maggio 2012, n. 69 a seguito delrecepimento della direttiva 2009/136/CE, il quale ha parzialmente modificato alcune disposizioni del capo 1 ("Servizi di comunicazioneelettronica") del titolo X ("Comunicazioni elettroniche") delCodice, di diretta derivazione comunitaria poiché emanate in attuazione delladirettiva 2002/58/CE, nel cui campo applicativo rientrano le comunicazionipromozionali automatizzate, introducendo la qualifica di"contraente"- la quale riguarda certamente anche le personegiuridiche- in luogo di quella di "abbonato".

Aseguito delle suddette modifiche normative e delle conseguenti incertezzeinterpretative, l'Autorità è intervenuta con il provvedimento generale del 20settembre 2012, sull'applicabilità del Codice alle personegiuridiche, enti e associazioni.

Sullabase di quanto affermato in tale provvedimento interpretativo, si evidenzia chele persone giuridiche ed enti assimilati, destinatarie dello spamming -differentemente dalla persone fisiche- dal 6 dicembre 2011 non possono piùpresentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare idiritti di cui agli art. 7 ss. del Codice, perché non possono essere più"interessati".

Tuttaviai detti soggetti, in quanto "contraenti", si possono avvalere degliordinari strumenti di tutela forniti dall'ordinamento, quindi, possono esperirepresso l'autorità giudiziaria ordinaria rimedi civilistici quali, ad esempio,l'azione inibitoria e/o l'azione di risarcimento del danno oppure,eventualmente qualora ricorrano gli elementi costitutivi dell'art. 167 c.p.,anche sporgere denuncia e quindi attivare un procedimento penale con lerelative sanzioni. Inoltre, essi possono beneficiare dell'eventuale eserciziodei poteri di iniziativa ex officio -quanto a provvedimenti inibitori,prescrittivi e/o sanzionatori- da parte di questa Autorità, qualora emergano ipresupposti di un possibile trattamento illecito di dati.

Conparticolare riferimento alla posta elettronica, alcune volte può risultaredifficile distinguere se un destinatario sia una persona fisica o giuridica.

Puòessere questo il caso dei dipendenti che lavorano in una determinata societàche ha fornito loro indirizzi di posta elettronica aziendale contenenti le lorogeneralità (ad esempio, nome.cognome@società.com).

Ebbene-in linea con quanto precisato dal Gruppo Art. 29 (con i pareri n. 4/1997 e n.5/2004) e sulla base dei criteri di "contenuto", "finalità"o "risultato" ivi enunciati per poter definire alcune informazionisulle persone giuridiche come "concernenti" persone fisiche- taliindirizzi vanno considerati  indirizzi "personali" di postaelettronica e i loro rispettivi assegnatari come "interessati", conla conseguente applicabilità del Codice e del relativo impianto di diritti etutele. Ciò, fermo restando quanto già stabilito sull'utilizzo della postaelettronica aziendale dai precedenti provvedimenti del Garante in materia di trattamentodei dati dei lavoratori (in particolare, cfr. "Linee guida del Garante perposta elettronica e Internet" del 1 marzo 2007.

2.3 Iprincipi di correttezza, finalità, proporzionalità e necessità del trattamentodati. La neutralità tecnologica

Allecomunicazioni automatizzate sono applicabili, fra le altre norme del Codice,gli artt. 3 e 11, in base ai quali i dati personali considerati, in particolarei numeri di telefonia fissa e mobile e gli indirizzi di posta elettronica,vanno utilizzati e conservati secondo i principi di correttezza, finalità,proporzionalità e necessità e, in caso di  violazione del Codice, nonpossono essere più utilizzati.

Conparticolare riferimento alle comunicazioni promozionali effettuate medianteposta elettronica, questa Autorità evidenzia la necessità che i provider diposta elettronica assicurino, nel rispetto del principio di neutralitàtecnologica, la mutua autenticazione dei rispettivi server al fine di garantireagli utenti il livello più elevato possibile di protezione antispam. Ciò, tantopiù se si considera la dannosità di fenomeni quali il c.d. phishing, ossial'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di entiprivati (in particolare banche e poste) ed istituzioni, che invitano ildestinatario a fornire dati personali, motivando tale richiesta con ragioni dinatura tecnica od economica, al fine di perseguire scopi illegali, quali, ad esempio,l'accesso alla password del conto corrente o della carta di credito e potereffettuare operazioni dispositive all'insaputa dell'interessato epregiudizievoli della sua sfera giuridico-economica.

Inparticolare, occorre che i provider provvedano all'installazione di appositifiltri che consentano, con ragionevole grado di certezza, di  riconoscerelo spam, evitando, tuttavia, che tali dispositivi comportino una lesione dellariservatezza degli interessati.

2.4 L'obbligodi un'informativa chiara e completa ai sensi dell'art. 13 del Codice

Unimprescindibile obbligo in capo al titolare del trattamento è quello del previorilascio ai destinatari delle comunicazioni promozionali dell'informativadisciplinata dall'art. 13 del Codice, al fine di assicurare un'informazionechiara e completa, dunque adeguata, relativamente al trattamento dei loro dati,nonché un eventuale consenso al medesimo che sia effettivamente consapevole.

Pertanto,l'interessato o la persona presso la quale sono raccolti i dati personali deveessere previamente informato oralmente o per iscritto riguardo a una serie dielementi obbligatori e indefettibili. Fra questi, vanno specificate le modalitàche saranno eventualmente utilizzate per il trattamento dati, e in particolarequelle di cui all'art. 130, commi 1 e 2, ossia telefonate automatizzate emodalità assimilate (quali fax, e-mail, sms, mms), oltre che quelletradizionali come posta cartacea e telefonate con operatore, nonché le finalitàdel trattamento stesso (ad esempio, ricerca statistica, marketing oprofilazione).

Peraltro,sulla base dell'applicabilità di tale norma ai trattamenti effettuati ai finipromozionali tramite strumenti automatizzati o a questi equiparati, si ricordache, se i dati personali dei destinatari di tali comunicazioni non sonoraccolti presso l'interessato, l'informativa, comprensiva delle categorie didati trattati, deve essere data al medesimo all'atto della registrazione deidati o, quando è prevista la loro comunicazione, non oltre la primacomunicazione (v. art. 13, comma 4, del Codice).  

2.5L'obbligo del consenso preventivo (c.d. opt-in)

Aitrattamenti effettuati ai fini promozionali tramite strumenti automatizzati o aquesti equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base alquale l'utilizzo di tali strumenti per le finalità di marketing è consentitosolo con il consenso preventivo del contraente o utente (c.d. opt-in).

Quindi,ai fini della legittimità della comunicazione promozionale effettuata, non èlecito, con la medesima, avvisare della possibilità di opporsi a ulterioriinvii, né è lecito chiedere, con tale primo messaggio promozionale, il consensoal trattamento dati per finalità promozionali.

Pertanto,senza il consenso preventivo -come costantemente ribadito dal Garante a partiredal provvedimento generale sullo spamming del 29 maggio 2003- non è possibile inviare comunicazioni promozionali coni predetti strumenti neanche nel caso in cui i dati personali siano tratti daregistri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibilida chiunque

Analogamente,senza il consenso preventivo degli interessati, non è lecito utilizzare perinviare e-mail promozionali gli indirizzi pec contenuti nell' "indicenazionale degli indirizzi pec delle imprese e dei professionisti" -di cuial d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17dicembre 2012, n. 221, che ha introdotto l'apposito art. 6-bis del d.lgs. 7marzo 2005, n. 82 (Codice dell'amministrazione digitale)- istituito perfavorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambiodi informazioni e documenti tra la pubblica amministrazione e le imprese e iprofessionisti in modalità telematica.
» possibile, invece, contattaretelefonicamente mediante operatore (per chiedere al contraente di esprimere unconsenso a ricevere comunicazioni promozionali secondo le modalità di cuiall'art. 130, commi 1 e 2) i numeri presenti in elenchi telefonici e noniscritti nel Registro pubblico delle opposizioni (istituito con ildecreto-legge 25 settembre 2009, n.135, convertito, con modificazioni, dallalegge 20 novembre 2009, n.166), nonché quelli presenti in elenchi pubblici"con i limiti e le modalità che le leggi, i regolamenti o la normativacomunitaria stabiliscono per la conoscibilità e pubblicità dei dati", frai quali "vi è il vincolo di finalità in base al quale i dati sono raccoltie registrati per scopi determinati, espliciti e legittimi, ed utilizzati inaltri trattamenti in termini compatibili con tali scopi (art. 11, comma 1,lett. b) del Codice)": cfr. provvedimento 19 gennaio 2011.

Inoltre,va evidenziato, in un'ottica di coerenza sistematica, che il principio delconsenso per il trattamento dei dati vige anche nella disciplina sullaprotezione dei consumatori nei contratti a distanza secondo la quale l'impiegoda parte di un professionista del telefono, della posta elettronica, di sistemiautomatizzati di chiamata senza l'intervento di un operatore o di fax richiedeil consenso preventivo del consumatore (v. art. 58 d.lgs. n. 206/2005, c.d.Codice del consumo).

2.6 Irequisiti di validità del consenso per la finalità di invio di comunicazionipromozionali

Ilconsenso acquisito per la finalità di invio di comunicazioni promozionali deveessere libero, informato, specifico, con riferimento a trattamenti chiaramenteindividuati nonché documentato per iscritto (art. 23, comma 3 del Codice) ed èpertanto necessaria la presenza contestuale di tutti i menzionati requisiti,per ritenere tale trattamento conforme al Codice.

Sullabase anche di quanto già indicato nel paragrafo 2.4, gli interessati devonoessere messi in grado di esprimere consapevolmente e liberamente le propriescelte in ordine al trattamento dei loro dati personali (cfr. provvedimento  24 febbraio 2005, punto 7) e a tal fine devono ricevere un'adeguata informativa,chiara e completa come sopra specificato.

Ilconsenso del contraente per l'attività promozionale deve intendersi liberoquando non è preimpostato e non risulta -anche solo implicitamente in via difatto- obbligatorio per poter fruire del prodotto o servizio fornito daltitolare del trattamento.

Esemplificando,non è libero il consenso prestato quando la società condiziona la registrazioneal suo sito web da parte degli utenti e, conseguentemente, anche la fruizionedei suoi servizi, al rilascio del consenso al trattamento per la finalitàpromozionale. In quest'ottica, il Garante ha già espressamente affermato che non può definirsi "libero", e risulta indebitamente necessitato,il consenso a ulteriori trattamenti di dati personali che l'interessato"debba" prestare quale condizione per conseguire una prestazionerichiesta (cfr.: provv. 22 febbraio 2007; provv.  12 ottobre 2005; provv.  3 novembre 2005; provv. 10 maggio 2006; provv. 15 luglio 2010; più recentemente, provv. 11 ottobre 2012).

Analogamente,non è corretta la predisposizione di moduli in cui la casella (c.d."check-box") di acquisizione del consenso risulta pre-compilata conuno specifico simbolo (c.d. flag) (v. provv. "Consenso al trattamento inInternet e utilizzo dei dati per finalità promozionali", 10 maggio 2006).

Ilconsenso del contraente deve essere specifico per ciascuna eventuale finalitàperseguita e per ciascun eventuale trattamento effettuato, quale in particolarela comunicazione a terzi per l'invio di loro comunicazioni promozionali,secondo le indicazioni e i chiarimenti forniti di seguito nel presenteprovvedimento.

2.6.1 Finalità del trattamento

Quantoalle finalità del trattamento di dati personali, si ribadisce che il titolaredel trattamento deve acquisire un consenso specifico per ciascuna distintafinalità quali ad esempio: marketing, profilazione, comunicazione a terzi deidati (cfr. provv.  24 febbraio 2005, punto 7).

Vatuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, ilCodice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, piùpossibili finalità di marketing ossia quelle di invio di materialepubblicitario, di vendita diretta, di compimento di ricerche di mercato e dicomunicazione commerciale (nel settore del marketing on line, v. parere n.4/2010 del Gruppo Art. 29 sul codice di condotta europeo della Fedma perl'utilizzazione dei dati personali nel marketing diretto). Occorre allorachiarire se sia necessario o meno un consenso specifico per ciascuna di esse.Al riguardo, l'Autorità ritiene che le suddette attività sono funzionali, nellamaggior parte dei casi, a perseguire un'unica finalità (lato sensu) dimarketing, con la conseguenza che il connesso trattamento appare giustificare –sempredi norma– l'acquisizione di un unico consenso (cfr., fra gli altri,anche: provv. 9 marzo 2006; provv. 24 maggio 2006; provv. 15 novembre 2007).

Taleorientamento, peraltro, già espresso da questa Autorità in alcuni provvedimenti(cfr., ad esempio, provv. 31 gennaio 2008); cfr. anche parere n. 15/2011 del Gruppo Art. 29sulla definizione di "consenso", secondo cui la necessità della suaacquisizione deve essere valutata in funzione degli scopi perseguiti o deidestinatari dei dati) mira ad evitare un'eventuale moltiplicazione dei consensie risulta compatibile con l'art. 2, comma 2, del Codice, che imponel'osservanza anche del principio di semplificazione in relazione alle modalitàpreviste per l'adempimento degli obblighi da parte dei titolari deitrattamenti.

Taleimpostazione, peraltro, appare coerente con il principio di finalità (secondocui i dati possono essere utilizzati in "altre" operazioni ditrattamento in termini "compatibili" con gli scopi originari dellaraccolta: art. 11, comma 1, lett. b) del Codice).

2.6.2Consenso per le modalità di marketing (quelle tradizionali e quelle di cuiall'art. 130, commi 1 e 2 del Codice)

Alfine di attuare l'esigenza di semplificazione degli adempimenti connessi altrattamento dei dati personali, questa Autorità ritiene che sia parimentilegittimo interpretare la regola della specificità del consenso rispetto allemodalità utilizzate per le finalità di marketing, prevedendo due appositi edistinti consensi rispettivamente per le modalità tradizionali e per quelle dicui all'art. 130, commi 1 e 2 del Codice, oppure, in alternativa, un unicoconsenso che comprenda i due tipi di modalità.

Intale ultimo caso, come già detto nel paragrafo 2.4 relativo all'obbligo informativo,dovranno essere chiarite le singole modalità utilizzate per il marketing(modalità tradizionali e modalità di cui all'art. 130, commi 1 e 2, del Codice)e, al contempo, dovranno essere osservate alcune misure atte a garantire ildiritto alla protezione dei dati personali degli interessati. In particolare:

Ä    dall'informativae dalla richiesta di consenso deve risultare che il consenso prestato perl'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130,commi 1 e 2, del Codice, si estende anche alle modalità tradizionali dicontatto eventualmente indicate nell'informativa, come la posta cartacea e/o lechiamate tramite operatore;

Ä    dall'informativadeve risultare, inoltre, che il diritto di opposizione dell'interessato altrattamento dei propri dati personali per le suddette finalità, effettuatoattraverso modalità automatizzate di contatto, si estende a quelle tradizionalie che comunque resta salva la possibilità per l'interessato di esercitare talediritto in parte, ai sensi dell'art. 7, comma 4, lett. b), del Codice, ossia,in tal caso, opponendosi, ad esempio, al solo invio di comunicazionipromozionali effettuato tramite strumenti automatizzati.

2.6.3.Consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini dimarketing

Nellaprassi del Garante, è stato talora rilevato che i titolari del trattamento,mediante moduli contrattuali cartacei o appositi form on-line, raccolgono ungenerico consenso al trattamento per le finalità promozionali proprie e disoggetti terzi ai quali comunicano (e/o talvolta cedono) i dati personaliraccolti, senza individuare tali soggetti né nell'informativa né nella formuladi acquisizione del consenso e senza indicarne la categoria economica omerceologica di riferimento.

Diseguito, pertanto, questa Autorità fornisce chiarimenti al riguardo, conriferimento sia alla comunicazione a terzi per finalità di marketing,considerata in via generale, sia alla particolare ipotesi in cui il soggettoterzo -a cui viene fatta la comunicazione dei dati raccolti per finalità dimarketing- sia una società controllata, controllante, o comunque a vario titolocollegata con il soggetto che ha raccolto i dati personali degli interessati.

Relativamentealla comunicazione a terzi per finalità di marketing in generale, va subitorilevato che la comunicazione o cessione a terzi di dati personali  perfinalità di marketing non può fondarsi sull'acquisizione di un unico e genericoconsenso da parte degli interessati per siffatta finalità (cfr., ex multis,provv. 11 ottobre 2012; provv. 19 maggio 2011; provv. 12 maggio 2011; provv. 7 ottobre 2010; provv. 15 luglio 2010; v. anche Trib. Roma 5 ottobre 2011).

Pertanto,chi, quale titolare del trattamento, intenda raccogliere i dati personali degliinteressati anche per comunicarli (o cederli) a terzi per le loro finalitàpromozionali deve previamente rilasciare ai medesimi un'idonea informativa, aisensi dell'art. 13, comma 1, del Codice, che individui, oltre agli altrielementi indicati nella norma, anche ciascuno dei terzi o, in alternativa,indichi le categorie (economiche o merceologiche) di appartenenza degli stessi(ad esempio: "finanza", editoria", "abbigliamento":cfr. lettera d della detta norma).

Inoltre,occorre che il titolare acquisisca un consenso specifico per la comunicazione(e/o cessione) a terzi dei dati personali per fini promozionali, nonchédistinto da quello richiesto dal medesimo titolare per svolgere esso stessoattività promozionale.

Qualoral'interessato rilasci il suddetto consenso per la comunicazione a soggettiterzi, questi potranno effettuare nei suoi confronti attività promozionale conle modalità automatizzate di cui all'art. 130, comma 1 e 2, senza doveracquisire un nuovo consenso per la finalità promozionale.

Sichiarisce che, ai fini del Codice, il terzo o i terzi in questione possonoappartenere a categorie economiche o merceologiche anche diverse da quella deltitolare del trattamento che provvede alla raccolta dei dati dell'interessato.

Peraltro,nel caso in cui i terzi siano stati individuati singolarmente e siano statiforniti all'interessato anche gli altri elementi previsti all'art. 13 delCodice relativi al trattamento che verrà da questi svolto, non sarà necessarioche i predetti soggetti rilascino agli interessati un'ulteriore informativa inquanto, come specificato all'art. 13, comma 2 del Codice, l'informativa"può non comprendere gli elementi già noti alla persona che fornisce idati".

Laddoveinvece la richiesta di consenso non sia accompagnata da un'informativa con talirequisiti, i terzi -ai sensi dell'art. 13, comma 4, del Codice- potrannoinviare ai medesimi interessati le comunicazioni promozionali in questione solodopo il rilascio di una propria informativa, che contenga, oltre agli elementiprevisti dall'art. 13, comma 1, anche l'origine dei dati personali a lorocomunicati, in modo tale che ciascun interessato possa rivolgersi anche alsoggetto che li ha raccolti e comunicati per opporsi al trattamento ai sensidell'art. 7, comma 4, lett. b) del Codice.

Inentrambi i casi, inoltre, i terzi dovranno fornire all'interessato un idoneorecapito -di cui all'art. 130, comma 5- presso il quale poter esercitareutilmente i diritti di cui all'art. 7 (cfr. provvedimento 7 aprile 2011), ed essere assicurata al medesimo la possibilità diavvalersi, a tal fine, dello stesso canale comunicativo utilizzato per l'inviodelle comunicazioni promozionali e comunque di uno strumento quanto piùpossibile agevole, rapido, economico ed efficace (v. al riguardo a href="grupripareri200405.html">parere n.5/2004 del Gruppo Art. 29).

Adesempio, se i terzi intendono inviare e-mail pubblicitarie, devono consentireagli interessati di potersi opporre al trattamento inviando una e-mail a unindirizzo di posta indicato nell'informativa resa ed eventualmente riservatoalla gestione delle problematiche sul trattamento dati sottoposte loro dautenti e clienti.

Lesuddette regole devono applicarsi anche quando i soggetti terzi -ai quali siintenda comunicare (o cedere) i dati raccolti per finalità di marketing- sianosocietà controllate, controllanti, o comunque a vario titolo collegate con ilsoggetto che ha raccolto i dati personali degli interessati.

Quantoal profilo del consenso, va ribadito quanto già affermato dall'Autorità, siapure in altri contesti (cfr. provv. 23 novembre 2006, recante le Linee guida inmateria di trattamento di dati personali di lavoratori per finalità di gestionedel rapporto di lavoro alle dipendenze di datori di lavoro privati; provv. 12 maggio 2011, recante le Prescrizioni inmateria di circolazione delle informazioni in ambito bancario e di tracciamentodelle operazioni bancarie; v. anche provv. 15 giugno 2011 "Titolarità deltrattamento di dati personali in capo ai soggetti che si avvalgono di agentiper attività promozionali"; cfr. anche provv. 22 febbraio 2007, cit.). Inparticolare, i soggetti appartenenti al medesimo gruppo societario, al fine diadempiere all'obbligo del consenso, devono essere comunque ritenuti, di regola,quali autonomi e distinti titolari dei rispettivi trattamenti.

2.6.4Consenso documentato per iscritto

»necessario inoltre che il consenso per la finalità promozionale sia documentatoper iscritto.

Vaevidenziato che la direttiva 2002/58/CE non stabilisce in modo specifico ilmetodo per ottenere tale consenso (cfr. considerando 17 della stessa direttiva:"ä Il consenso può essere fornito secondo qualsiasi modalitàappropriata che consenta all'utente di esprimere liberamente e in conoscenza dicausa i suoi desideri specifici, compresa la selezione di un'apposita casellanel caso di un sito internet.").

Neconsegue che gli operatori del settore possono ritenersi liberi di scegliere ilmetodo che ritengono opportuno nell'ambito della propria libertà organizzativa.Inoltre, non è necessario che il consenso acquisito abbia forma scritta, a penadi invalidità del medesimo, ma è comunque necessario che il titolare deltrattamento adotti misure idonee a darne prova fornendo alcuni elementi tali dapoter ritenere acquisito il consenso e circostanziare tale acquisizione. Inparticolare, è necessario che risultino documentati, nella modalità che siritenga di adottare, la data in cui è stato reso e gli estremi identificatividi chi lo ha ricevuto, adottando altresì, contestualmente, analoghe procedureidonee a garantire che la volontà dell'interessato di revocare il suo consensovenga effettivamente rispettata (cfr. provvedimento 30 maggio 2007.

Appareutile adottare sistemi di verifica della identità del contraente che si èregistrato ad un sito web perché interessato a ricevere offerte promozionali.In tal senso, ad esempio, l'invio di una apposita e-mail al suo indirizzo diposta elettronica con la quale si chiede di confermare la propria identitàcliccando su un apposito link.

2.7L'eccezione del "soft spam" per l'invio di posta elettronicapromozionale

L'Autoritàricorda che per le comunicazioni di cui all'art. 130, commi 1 e 2, non valgonole cause di esonero del consenso di cui all'art. 24 del Codice.

Perla sola posta elettronica, tuttavia, può ricorrere l'eccezione del c.d."soft spam", di cui all'art. 130, comma 4, in base al quale, se iltitolare del trattamento utilizza, a fini di vendita diretta di propri prodottio servizi, le coordinate di posta elettronica fornite dall'interessato nelcontesto della vendita di un prodotto o di un servizio, può non richiedere ilconsenso dell'interessato. Ciò, però, sempre che si tratti di servizi analoghia quelli oggetto della vendita e che l'interessato, adeguatamente informato,non rifiuti tale uso.

3. Titolarità del trattamento per lo spam effettuatomediante agenti o altri terzi

Inalcune circostanze, l'Autorità ha rilevato che le comunicazioni promozionaliindesiderate vengono inviate non direttamente dall'impresa/società promotrice,ma da agenti o altri soggetti terzi. Pertanto, è necessario chiarire quale frail soggetto promotore e il terzo debba considerarsi titolare del trattamento aisensi dell'art. 28 del Codice, con i relativi obblighi.

Alriguardo, viene in rilievo il provvedimento generale del 15 giugno 2011 sulla"Titolarità del trattamento di dati personali in capo ai soggetti che siavvalgono di agenti per attività promozionali" del quale è opportuno riproporre alcuni argomenti econsiderazioni poiché applicabili anche alle comunicazioni promozionalieffettuate con le modalità di cui all'art. 130, commi 1 e 2.

Siricorda inoltre il parere del Gruppo Art. 29 n. 1/2010, che ha ulteriormentechiarito, in linea con la direttiva 95/46/CE, che, ai fini dell'individuazionedella titolarità concretamente esercitata, occorre esaminare anche "elementiextracontrattuali, quali il controllo reale esercitato da una parte, l'immaginedata agli interessati e il legittimo affidamento di questi ultimi sulla base diquesta visibilità". Il parere ha evidenziato la necessità diriconoscere la titolarità del trattamento dei dati dei destinatari diiniziative di telemarketing in capo alla società che si avvalga di soggettiesterni incaricati di effettuare campagne promozionali per suo conto, quando aimenzionati soggetti esterni siano state impartite specifiche istruzioni, ed inconsiderazione, altresì, del controllo esercitato dalla società circa ilrispetto di tali istruzioni e delle condizioni contrattuali pattiziamentepreviste. Ne consegue che i soggetti esterni dovranno essere designatiresponsabili del trattamento ai sensi dell'art. 29 del Codice, mentre i singolioperatori quali incaricati ai sensi dell'art. 30.

Talenecessità può ben ravvisarsi anche nel caso delle comunicazioni promozionalicon le modalità di cui sopra, essendo irrilevante, ai fini dell'individuazionedella titolarità, il tipo di modalità utilizzata per la comunicazionepromozionale.

Peraltro,questa Autorità, con il provvedimento del 16 febbraio 2006, in materia di servizi telefonici non richiesti, hagià espressamente sottolineato la necessità che l'eventuale designazione, inqualità di responsabili del trattamento, di rivenditori o agenti incaricatidella commercializzazione di prodotti e servizi per conto di altra societàrisponda alla realtà effettiva dei rapporti rilevanti in materia di trattamentodei dati. Inoltre, con il provvedimento del 29 aprile 2009, l'Autorità, analizzando il concreto rapportointercorrente tra un titolare del trattamento e distinti operatori ai qualivenivano affidati taluni servizi, ha ritenuto determinante il caratteresubordinato di tali soggetti alle istruzioni ed al potere di controlloesercitato dalla società appaltante, riconoscendo quest'ultima come unicotitolare del trattamento e, appunto in virtù di tale qualifica, prescrivendoledi designare le società appaltatrici responsabili del trattamento ai sensidell'art. 29 del Codice (analogamente, cfr. provvedimento 12 maggio 2011, in materia di circolazione dei dati dei clienti inambito bancario).

Allaluce di tali considerazioni e dei criteri indicati, questa Autorità, riguardoallo spam effettuato mediante agenti o altri terzi, ritiene che il soggettopromotore, qualora in concreto abbia un ruolo preminente nel trattamento deidati dei destinatari, assumendo decisioni relative alle finalità e modalità deltrattamento, fornendo istruzioni e direttive vincolanti e svolgendo verifiche econtrolli sull'attività dell'agente, va considerato titolare ai sensi dell'art.28 del Codice, a prescindere dalla qualificazione contrattuale. Inoltre, ilsoggetto promotore è tenuto a nominare responsabile il soggetto agente o altroterzo di cui si avvale per l'attività promozionale, salvo che non si tratti diun mero incaricato (persona fisica) che svolga solo operazioni di trattamentosotto la diretta autorità del promotore e in base alle sue istruzioni.

Inoltre,questa Autorità ravvisa la necessità che i soggetti promotori pongano in esseremisure e procedure idonee a conoscere se l'agente, al quale è stato affidato iltrattamento dati mediante modalità automatizzate a fini di marketing,eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento,a subagenti o altri terzi, nonché a verificare e garantire l'osservanza delCodice da parte di questi ultimi. Ciò sia nel caso in cui i promotori siano inconcreto qualificabili come titolari del trattamento -in quanto dovrannoprovvedere a designare i subagenti o altri soggetti terzi coinvolti nella"filiera" del trattamento dei dati come responsabili o incaricati(artt. 29 e 30 del Codice) e saranno chiamati a rispondere delle eventualiviolazioni del Codice effettuate da tali soggetti- sia nell'ipotesi in cui isubagenti o i terzi utilizzino proprie banche dati per effettuare le attivitàpromozionali, rivestendo in tal modo il ruolo di autonomi titolari. In taleultima ipotesi, infatti, la misura in questione trova giustificazionenell'esigenza di consentire al promotore, qualora sia destinatario di unaistanza ai sensi dell'art. 7 del Codice, di chiarire all'interessato il ruoloeffettivamente ricoperto nell'ambito del rapporto intercorrente con i subagentied, eventualmente, indirizzarlo al soggetto che nel caso di specie agisce inqualità di titolare.

4. Invio di fax indesiderati mediante piattaforme disocietà estere

IlGarante continua, seppur in misura inferiore al passato, a ricevere numerosesegnalazioni con le quali si lamenta la ricezione – talvolta a qualsiasiora del giorno - di fax o, in assenza del telefax, di tentativi di inoltro difax. I testi promozionali ricevuti, peraltro, non sempre indicano il titolaredel trattamento e i suoi dati di contatto per potersi opporre ad ulteriori inviiné tantomeno un'informativa adeguata sul trattamento dati.

Sullabase di istruttorie anche complesse, l'Autorità ha rilevato che lo spam via faxche proviene dall'estero solitamente è inviato da società straniere che offronoquesto servizio di invio a utenti italiani (imprese, società,..) e cheutilizzano, a tal fine, due distinte reti: la rete Internet, per l'invio deifax nella tratta compresa tra il fax server sito all'estero ed il fax gatewaysito in Italia, e la rete pubblica telefonica italiana per la trasmissione deifax da parte del fax gateway nella tratta compresa tra lo stesso e il terminaledell'utente.

Alriguardo, come già chiarito con il sopra citato provvedimento 7 aprile 2011, sisegnala che a tale tipo di trattamento dati si applica la disciplina delCodice, dato che, ai sensi dell'art. 5, comma 2, lo stesso è applicabile a qualsiasi soggetto che "äimpiega, per il trattamento, strumenti situatinel territorio dello Stato anche diversi da quelli elettronici, salvo che essisiano utilizzati solo ai fini di transito nel territorio dell'Unione Europeaä".

Pertanto,occorre individuare, in relazione alla fattispecie in questione, il soggettotitolare del trattamento con i relativi obblighi.

Ebbene,a seconda del caso concreto, e in particolare del ruolo svolto nella scelta deidestinatari delle comunicazioni, nonché delle modalità e delle finalità deltrattamento, il titolare sarà individuabile nell'impresa, nella società, nelsoggetto che comunque si avvalga di tali piattaforme proprie di soggetti terzioppure nel proprietario delle piattaforme se quest'ultimo le utilizza persvolgere attività promozionale per sé stesso.

Inparticolare, si ritiene necessario che il titolare predisponga comunque, perogni messaggio in uscita, un riquadro (template) nel quale sia riportataun'idonea informativa, ferma restando la previa acquisizione del consensospecifico e informato dei destinatari delle suddette comunicazioni promozionaliai sensi degli artt. 23 e 130 e, inoltre, garantisca l'esercizio dei diritti dicui agli artt. 7 ss. in modo rapido, agevole ed efficace.

5. Utilizzo di liste per l'invio di più e-mail o sms

Lafinalità promozionale talora viene perseguita utilizzando liste di e-mail onumerazioni telefoniche per l'invio simultaneo del medesimo messaggiopromozionale a molteplici interessati.

Isoggetti che si avvalgono di tale modalità per finalità di marketing devonorispettare principi e norme già sopra indicati nell'ambito del quadro normativoattualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e130 del Codice per ciascuno degli indirizzi di posta trattato.

Peraltro,nel caso dell'invio di e-mail, chi si avvale di liste di indirizzi talvoltalascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, chequindi possono venire a conoscenza degli altri destinatari ed eventualmenteutilizzare i loro indirizzi per i fini più vari, eventualmente anchealimentando ulteriore spam.

L'attivitàpromozionale effettuata con mailing list in chiaro costituisce di fatto unacomunicazione di dati personali (quelli relativi agli altri indirizzi di posta)a terzi, ossia ai molteplici destinatari della promozione.

Risultanecessario pertanto mantenere riservati, magari utilizzando la funzione"ccn" (ossia l'inoltro per conoscenza in "copia conoscenzanascosta"), gli indirizzi di posta utilizzati per l'invio dellapromozione.

6. Nuove forme di spam

IlGarante, sempre alla luce del descritto quadro normativo, di seguito intendefornire necessarie indicazioni di carattere generale anche in relazione adalcune nuove forme e modalità di spam prive attualmente di un'espressadisciplina normativa, anche al fine di evitare che le grandi potenzialità diInternet, nonché più in generale della tecnologia, possano in via di fattoconsentire un uso indiscriminato e illegittimo dei dati personali.

6.1 Ilsocial spam

IIc.d. "social spam" consiste in un insieme di attività mediante lequali lo  spammer veicola messaggi e link attraverso le reti socialionline. Ciò si inquadra nel problema dell'indiscriminato e spesso inconsapevoleimpiego dei propri dati personali da parte degli utenti nell'ambito dei socialnetwork, tanto più rispetto a profili di tipo "aperto". Questoimpiego si presta alla commercializzazione o ad altri trattamenti dei datipersonali a fini di profilazione e marketing da parte di società terze chesiano partner commerciali delle società che gestiscono tali siti oppure cheapprofittino della disponibilità di fatto di tali dati in Internet. Inoltre,essendo i social network reti sociali tra persone reali, lo spam in questo casopuò mirare a catturare l'elenco dei contatti dell'utente mirato per aumentarela portata virale del messaggio.

Alriguardo, l'Autorità anzitutto ricorda che l'agevole rintracciabilità di datipersonali in Internet (quali numeri di telefono o indirizzi di postaelettronica) non autorizza a poter utilizzare tali dati per inviarecomunicazioni promozionali automatizzate senza il consenso dei destinatari.

Riguardoa tale tipo di spam, si fa presente che i messaggi promozionali inviati agliutenti dei social network (come Facebook), in privato come pubblicamente sullaloro bacheca virtuale,  sono sottoposti alla disciplina del Codice, e, inparticolare, agli artt. 3, 11, 13, 23 e 130.

Lamedesima disciplina è applicabile ai messaggi promozionali inviati utilizzandostrumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messanger,etc.. Per questi, si ricorda il rischio di proliferazione dello spam dato che,come peraltro indicato nelle relative condizioni di servizio, tali strumentitalora comportano la condivisione indifferenziata di tutti i dati personalipresenti negli smart-phone e nei tablet (quali rubrica, contatti, sms, datidella navigazione internet) o l'accesso della società che li fornisce allalista dei contatti o alla rubrica presente sul telefono mobile dell'utente perreperire e/o conservare tali dati personali.

Ilrischio di ricevere spam, e in particolare il c.d. "spam mirato",basato sulla profilazione degli utenti, si potrebbe aggravare in considerazionedella tendenza dei gestori delle piattaforme tecnologiche a policy privacysempre più semplificate che, unificando i profili sui diversi servizi residalle medesime piattaforme, consentono di pervenire ad una conoscenza sempre piùapprofondita degli utenti, a cui indirizzare messaggi diversificati sulla basedei gusti rilevabili su molteplici applicazioni.

Seda una parte questa nuova pratica può agevolare il rapporto commerciale traproduttore e consumatore, riducendo per il primo i costi di marketing e per ilsecondo i costi di ricerca del prodotto, tuttavia può causare all'interessatoche viene profilato a dispetto della sua volontà, oltre alla ricezione dellospam, anche la compressione della sua libertà di fruizione dei servizi dellasocietà dell'informazione.

Ciòpremesso, ferma restando la liceità dei messaggi a scopo meramente personale,si possono individuare alcune ipotesi sulle quali occorre fornire qualchechiarificazione anche sotto l'aspetto normativo.

Unaprima ipotesi è quella in cui l'utente riceva, in privato, in bacheca o nel suoindirizzo di posta e-mail collegato al suo profilo social, un determinatomessaggio promozionale relativo a uno specifico prodotto o servizio daun'impresa che abbia tratto i dati personali del destinatario dal profilo delsocial network al quale egli è iscritto.

Unaseconda è quella in cui l'utente sia diventato "fan" della pagina diuna determinata impresa o società oppure si sia iscritto a un"gruppo" di follower di un determinato marchio, personaggio, prodottoo servizio (decidendo così di "seguirne" le relative vicende, novitào commenti) e successivamente riceva messaggi pubblicitari concernenti i suddettielementi.

Nelprimo caso, il trattamento sarà da considerarsi illecito, a meno che ilmittente non dimostri di aver acquisito dall'interessato un consensopreventivo, specifico, libero e documentato ai sensi dell'art. 130, commi 1 e2, del Codice.

Nelsecondo caso, l'invio di comunicazione promozionale riguardante un determinatomarchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento larelativa pagina, può considerarsi lecita se dal contesto o dalle modalità difunzionamento del social network, anche sulla base delle informazioni fornite,può evincersi in modo inequivocabile che l'interessato abbia in tal modo volutomanifestare anche la volontà di fornire il proprio consenso alla ricezione dimessaggi promozionali da parte di quella determinata impresa. Se invecel'interessato si cancella dal gruppo, oppure smette di "seguire" quelmarchio o quel personaggio, o comunque si oppone ad eventuali ulterioricomunicazioni promozionali, il successivo invio di messaggi promozionali saràillecito, con le relative conseguenze sanzionatorie. Ciò, ferma comunquerestando la possibilità, talora  fornita dai social network ai loroutenti, di bloccare l'invio di messaggi da parte di un determinato"contatto" o di segnalare quest'ultimo come spammer.

Nell'ipotesidei "contatti" (i c.d. "amici") dell'utente, dei qualispesso nei social network o nelle comunità degli iscritti ai servizi di cuisopra, sono visualizzabili numeri di telefono o indirizzi di posta elettronica,l'impresa o società che intenda inviare legittimamente messaggi promozionalidovrà aver previamente acquisito, per ciascun "contatto" o"amico", un consenso specifico per l'attività promozionale.

6.2  Marketing "virale"

Ilmarketing "virale" è una modalità di attività promozionale mediantela quale un soggetto promotore sfrutta la capacità comunicativa di pochisoggetti destinatari diretti delle comunicazioni per trasmettere il messaggioad un numero elevato di utenti finali. » un'evoluzione del"passaparola", ma se ne distingue per il fatto che fin dall'inizioemerge la volontà dei promotori di  avviare una campagna promozionale.Come un "virus", la comunicazione contenente l'idea, il prodotto o ilservizio, che può rivelarsi interessante o conveniente per un utente, vieneveicolata da questo ad altri contatti, da questi ad altri e così via.

Ingenere, con la locuzione "marketing virale" si fa riferimento agli utenti di Internet che suggeriscono o raccomandano ad altri l'utilizzo diun determinato prodotto o servizio. Ultimamente, questa tecnica promozionale sista diffondendo anche per prodotti non strettamente connessi a Internet:veicolo del messaggio resta comunque la comunità del web, che può comunicare inmaniera chiara, veloce e gratuita.

Peragevolare la diffusione del messaggio, il soggetto promotore offre un incentivoo un bonus o altro bene economico ai destinatari delle comunicazioni che a lorovolta, in cambio, si offrano di inoltrare o comunque far conoscere a terzi(talora con e-mail o sms) la comunicazione promozionale ricevuta.

Ebbene,tale attività, quando viene svolta con modalità automatizzate e per finalità dimarketing, può rientrare nello spam se non rispetta principi e norme già sopraindicati nell'ambito del quadro normativo attualmente in vigore, conparticolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice.

Nonè comunque soggetto al Codice il trattamento dei dati effettuato da chi,ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale,consigliando il prodotto o il servizio ai propri amici, utilizzando strumentiautomatizzati. Il Codice si applica invece al trattamento effettuato da chiinoltri, o comunque comunichi, il messaggio promozionale ricevuto a unamolteplicità di destinatari i cui dati personali (numeri di telefono o indirizzie-mail) siano stati reperiti su elenchi pubblici o sul web.

7. Le sanzioni

Siricorda che, in relazione alle varie forme di spamming, in caso di accertataviolazione delle norme del Codice, questa Autorità -fatta salva l'eventualeadozione di provvedimenti inibitori o prescrittivi- applica le sanzioniamministrative, quali in particolare quelle previste dagli artt. 161 e 162,comma 2-bis del medesimo Codice, finalizzate ad assicurare l'osservanza deifondamentali obblighi, rispettivamente, dell'informativa e del consenso.

Inoltre, qualora emergano ipresupposti di un possibile trattamento illecito di dati personali avente unaspecifica rilevanza di natura penale, l'Autorità è tenuta a denunciare i fatticonfigurabili come reati perseguibili d'ufficio all'autorità giudiziaria perl'eventuale applicazione della sanzione penale prevista dall'art. 167 del Codice.