(Allegato 1)
                                                           Allegato 1 
 
          LINEE GUIDA IN MATERIA DI ATTIVITA' PROMOZIONALE 
                        E CONTRASTO ALLO SPAM 
 
1. Oggetto e finalita' del presente provvedimento generale 
    In materia di spamming (invio di comunicazioni promozionali e  di
materiale  pubblicitario  senza  il  consenso  dei  destinatari),  il
Garante con il provvedimento generale del 29 maggio 2003, ha  dettato
"Regole per un corretto uso dei sistemi automatizzati  e  l'invio  di
comunicazioni elettroniche",  basato  sulla  normativa  al  tempo  in
vigore e, in particolare, sulla legge 31 dicembre 1996, n. 675. 
    Successivamente e' entrato in vigore il Codice che ha abrogato  e
sostituito la suddetta legge e le altre disposizioni  in  materia  di
protezione dei dati personali,  ribadendone  i  principi  nel  mutato
panorama normativo. Piu' recentemente, in  particolare  dal  2009  in
poi, sono state effettuate  varie  modifiche  del  Codice  che  hanno
inciso peraltro sulla sfera  dei  soggetti  tutelati  e  sui  diritti
azionabili dai destinatari dello  spam,  determinando  l'esigenza  di
intervenire nuovamente sul tema. 
    Va evidenziato  che,  anche  se  in  misura  minore  rispetto  al
passato, continuano a pervenire all'Autorita' segnalazioni, reclami e
ricorsi relativamente alle tradizionali forme di spam  tipizzate  dal
Codice. Inoltre, sono progressivamente emersi profili problematici  e
nuove forme di spam, che possono  comportare  modalita'  sempre  piu'
insidiose e invasive della sfera  personale  degli  interessati.  Fra
questi,  si  segnalano:  il  "marketing  virale",  le   comunicazioni
promozionali inviate tramite piattaforme tecnologiche  di  proprieta'
di  soggetti  terzi  spesso  situati  all'estero  e  non  agevolmente
individuabili, il "marketing mirato", grazie all'uso di meccanismi di
profilazione dell'utente,  e  il  c.d.  "social  spam".  Senza  poter
trascurare che sempre piu' spesso lo spam coinvolge anche i minori ai
quali  e'  doveroso  assicurare  una  tutela  rafforzata   da   parte
dell'ordinamento giuridico  e,  quindi,  una  particolare  attenzione
anche da parte di questa Autorita'. 
    Il Garante ravvisa, quindi, la necessita' di adottare le presenti
linee guida con le seguenti finalita': 
      - tenere conto del mutato quadro normativo attualmente  vigente
in materia, alla luce dell'entrata  in  vigore  del  Codice  e  delle
modifiche  normative  successive,  nonche'  del  diritto  comunitario
(direttive 2002/58/UE e 2009/136/UE), con  l'ulteriore  obiettivo  di
assicurare  l'uniforme  applicazione   della   stessa   normativa   e
l'osservanza del fondamentale principio di certezza del diritto; 
      - chiarire alcuni profili problematici  relativi  alle  diverse
modalita' di  spam,  affinche'  gli  operatori  del  settore  possano
conformarsi alla disciplina sul trattamento dei dati personali; 
      - inquadrare alcune nuove  forme  di  spam,  con  l'intento  di
limitare i rischi  connessi  alle  novita'  tecnologiche,  pur  nella
necessaria consapevolezza del carattere  parziale  e  non  risolutivo
dello  strumento  del  diritto  rispetto  a  tecnologie  in  continua
evoluzione, peraltro sempre piu' avanzate e di rapida diffusione. 
 
2. Il mutato quadro normativo in materia di spam 
2.1 Ambito oggettivo dello spam 
    Anzitutto occorre definire il fenomeno dello spam  che,  ai  fini
del  Codice,  e'  costituito  dalle  comunicazioni  per  l'invio   di
materiale pubblicitario o di vendita diretta o per il  compimento  di
ricerche di mercato o di comunicazione commerciale (v. artt. 7, comma
4, lett. b), 130, comma 1 e 140 del Codice) effettuate, in violazione
delle norme del Codice, con sistemi automatizzati di  chiamata  senza
operatore  (c.d.  telefonate  preregistrate)  oppure  con   modalita'
assimilate alle prime (quali: e-mail, fax, sms, mms). 
    Ai fini dell'applicazione del Codice, non e' necessario un  invio
massiccio e/o simultaneo a una pluralita' di indirizzi  o  numeri  di
telefono, poiche' siffatta modalita' rileva  solo  eventualmente  per
qualificare il trattamento come sistematico  per  la  quantificazione
delle sanzioni. 
2.2 Ambito soggettivo dello spam e le tutele azionabili 
    Considerate le rilevanti novita' normative di  cui  si  dira'  di
seguito, va chiarito anche l'ambito soggettivo delle disposizioni del
Codice in materia  di  spam  e  quello  dei  diritti  azionabili  dai
destinatari delle comunicazioni promozionali automatizzate. Mentre le
persone fisiche possono esercitare i diritti di cui agli  artt.  7  e
ss. del Codice al fine di tutelare  la  propria  sfera  personale  da
ingerenze  illecite,  le  persone  giuridiche   sono,   allo   stato,
sprovviste della possibilita' di  avvalersi  dei  medesimi  mezzi  di
tutela. 
    Al riguardo, va infatti considerato l'art. 40, secondo comma, del
d.l. del 6 dicembre 2011,  n.  201  (c.d.  decreto  "salva  Italia"),
convertito con legge del 22 dicembre 2011, n. 214, che ha  modificato
alcune disposizioni contenute nella parte prima del Codice recante le
"Disposizioni generali", quali ad  esempio  l'art.  4  relativo,  tra
l'altro, alle nozioni di "interessato"  e  di  "dato  personale",  in
particolare eliminando ogni riferimento  alle  persone  giuridiche  o
assimilate, ossia enti e associazioni ed ha mantenuto il  riferimento
alle sole persone fisiche. 
    Successivamente, e' entrato in vigore anche il d. lgs. 28  maggio
2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE, il
quale ha parzialmente  modificato  alcune  disposizioni  del  capo  1
("Servizi di comunicazione elettronica") del titolo X ("Comunicazioni
elettroniche") del Codice, di diretta derivazione comunitaria poiche'
emanate in attuazione  della  direttiva  2002/58/CE,  nel  cui  campo
applicativo rientrano le  comunicazioni  promozionali  automatizzate,
introducendo  la  qualifica  di  "contraente"-  la   quale   riguarda
certamente anche le persone  giuridiche  -  in  luogo  di  quella  di
"abbonato". 
    A seguito delle suddette modifiche normative e delle  conseguenti
incertezze  interpretative,  l'Autorita'  e'   intervenuta   con   il
provvedimento generale del 20 settembre 2012 (doc. web  n.  2094932),
sull'applicabilita'  del  Codice  alle  persone  giuridiche,  enti  e
associazioni. 
    Sulla  base   di   quanto   affermato   in   tale   provvedimento
interpretativo, si  evidenzia  che  le  persone  giuridiche  ed  enti
assimilati,  destinatarie  dello  spamming  -  differentemente  dalla
persone fisiche - dal 6 dicembre 2011  non  possono  piu'  presentare
segnalazioni, reclami o ricorsi al Garante, ne' possono esercitare  i
diritti di cui agli art. 7 ss. del Codice, perche' non possono essere
piu' "interessati". 
    Tuttavia i detti soggetti, in  quanto  "contraenti",  si  possono
avvalere degli ordinari strumenti di tutela forniti dall'ordinamento,
quindi, possono esperire  presso  l'autorita'  giudiziaria  ordinaria
rimedi  civilistici  quali,  ad  esempio,  l'azione  inibitoria   e/o
l'azione di risarcimento  del  danno  oppure,  eventualmente  qualora
ricorrano gli elementi costitutivi dell'art. 167 c.p., anche sporgere
denuncia e quindi attivare un procedimento  penale  con  le  relative
sanzioni. Inoltre, essi possono beneficiare dell'eventuale  esercizio
dei  poteri  di  iniziativa  ex  officio  -  quanto  a  provvedimenti
inibitori,  prescrittivi  e/o  sanzionatori  -  da  parte  di  questa
Autorita', qualora emergano i presupposti di un possibile trattamento
illecito di dati. 
    Con particolare riferimento alla posta elettronica, alcune  volte
puo' risultare difficile  distinguere  se  un  destinatario  sia  una
persona fisica o giuridica. 
    Puo' essere questo il caso dei dipendenti  che  lavorano  in  una
determinata  societa'  che  ha  fornito  loro  indirizzi   di   posta
elettronica aziendale contenenti le  loro  generalita'  (ad  esempio,
nome.cognome@societa'.com). 
    Ebbene - in linea con quanto precisato dal Gruppo Art. 29 (con  i
pareri  n.  4/1997  e  n.  5/2004)  e  sulla  base  dei  criteri   di
"contenuto",  "finalita'"  o  "risultato"  ivi  enunciati  per  poter
definire  alcune   informazioni   sulle   persone   giuridiche   come
"concernenti" persone fisiche  -  tali  indirizzi  vanno  considerati
indirizzi "personali"  di  posta  elettronica  e  i  loro  rispettivi
assegnatari come "interessati", con la conseguente applicabilita' del
Codice e del relativo impianto  di  diritti  e  tutele.  Cio',  fermo
restando quanto gia' stabilito sull'utilizzo della posta  elettronica
aziendale dai precedenti provvedimenti  del  Garante  in  materia  di
trattamento dei dati dei  lavoratori  (in  particolare,  cfr.  "Linee
guida del Garante per posta elettronica  e  Internet"  del  1ยบ  marzo
2007, doc. web n. 1387522). 
2.3  I  principi  di  correttezza,  finalita',   proporzionalita'   e
  necessita' del trattamento dati. La neutralita' tecnologica. 
    Alle comunicazioni automatizzate sono applicabili, fra  le  altre
norme del Codice, gli artt. 3 e 11, in base ai quali i dati personali
considerati, in particolare i numeri di telefonia fissa  e  mobile  e
gli indirizzi di posta elettronica,  vanno  utilizzati  e  conservati
secondo i principi  di  correttezza,  finalita',  proporzionalita'  e
necessita' e, in caso di violazione del Codice,  non  possono  essere
piu' utilizzati. 
    Con  particolare  riferimento  alle  comunicazioni   promozionali
effettuate mediante posta elettronica, questa Autorita' evidenzia  la
necessita' che  i  provider  di  posta  elettronica  assicurino,  nel
rispetto  del  principio  di  neutralita'   tecnologica,   la   mutua
autenticazione dei rispettivi server al fine di garantire agli utenti
il livello piu' elevato possibile di protezione antispam. Cio', tanto
piu' se  si  considera  la  dannosita'  di  fenomeni  quali  il  c.d.
phishing, ossia l'invio di e-mail contraffatte, con la grafica  ed  i
loghi ufficiali di enti privati (in particolare banche  e  poste)  ed
istituzioni, che invitano il destinatario a fornire  dati  personali,
motivando tale richiesta con ragioni di natura tecnica od  economica,
al fine di perseguire scopi illegali, quali,  ad  esempio,  l'accesso
alla password del conto corrente o della carta  di  credito  e  poter
effettuare operazioni  dispositive  all'insaputa  dell'interessato  e
pregiudizievoli della sua sfera giuridico-economica. 
    In   particolare,   occorre    che    i    provider    provvedano
all'installazione di appositi filtri che consentano, con  ragionevole
grado di certezza, di riconoscere lo spam,  evitando,  tuttavia,  che
tali dispositivi comportino  una  lesione  della  riservatezza  degli
interessati. 
2.4 L'obbligo di un'informativa chiara e completa ai sensi  dell'art.
  13 del Codice. 
    Un imprescindibile obbligo in capo al titolare del trattamento e'
quello  del  previo  rilascio  ai  destinatari  delle   comunicazioni
promozionali dell'informativa disciplinata dall'art. 13  del  Codice,
al fine di  assicurare  un'informazione  chiara  e  completa,  dunque
adeguata, relativamente al trattamento  dei  loro  dati,  nonche'  un
eventuale consenso al medesimo che sia effettivamente consapevole. 
    Pertanto,  l'interessato  o  la  persona  presso  la  quale  sono
raccolti i dati personali deve essere previamente informato oralmente
o per iscritto  riguardo  a  una  serie  di  elementi  obbligatori  e
indefettibili. Fra questi, vanno specificate le modalita' che saranno
eventualmente utilizzate per il trattamento dati,  e  in  particolare
quelle  di  cui  all'art.  130,  commi  1  e  2,   ossia   telefonate
automatizzate e modalita' assimilate (quali fax, e-mail,  sms,  mms),
oltre che quelle tradizionali come posta cartacea  e  telefonate  con
operatore, nonche' le finalita' del trattamento stesso  (ad  esempio,
ricerca statistica, marketing o profilazione). 
    Peraltro,  sulla  base  dell'applicabilita'  di  tale  norma   ai
trattamenti  effettuati  ai  fini  promozionali   tramite   strumenti
automatizzati o a questi  equiparati,  si  ricorda  che,  se  i  dati
personali dei destinatari di tali  comunicazioni  non  sono  raccolti
presso l'interessato, l'informativa, comprensiva delle  categorie  di
dati  trattati,  deve  essere  data  al   medesimo   all'atto   della
registrazione dei dati o, quando e' prevista la  loro  comunicazione,
non oltre la prima comunicazione (v. art. 13, comma 4, del Codice). 
2.5 L'obbligo del consenso preventivo (c.d. opt-in) 
    Ai trattamenti effettuati ai fini promozionali tramite  strumenti
automatizzati o a questi equiparati si applica l'art. 130, commi 1  e
2, del Codice, in base al quale l'utilizzo di tali strumenti  per  le
finalita' di marketing e' consentito solo con il consenso  preventivo
del contraente o utente (c.d. opt-in). 
    Quindi,  ai   fini   della   legittimita'   della   comunicazione
promozionale effettuata, non e' lecito,  con  la  medesima,  avvisare
della possibilita' di  opporsi  a  ulteriori  invii,  ne'  e'  lecito
chiedere, con tale  primo  messaggio  promozionale,  il  consenso  al
trattamento dati per finalita' promozionali. 
    Pertanto, senza  il  consenso  preventivo  -  come  costantemente
ribadito dal Garante  a  partire  dal  provvedimento  generale  sullo
spamming del 29 maggio 2003 (doc. web n. 29840) -  non  e'  possibile
inviare comunicazioni promozionali con i predetti  strumenti  neanche
nel caso in cui i dati personali siano tratti da  registri  pubblici,
elenchi, siti web  atti  o  documenti  conosciuti  o  conoscibili  da
chiunque 
    Analogamente, senza il consenso preventivo degli interessati, non
e' lecito utilizzare per inviare e-mail  promozionali  gli  indirizzi
pec contenuti nell'  "indice  nazionale  degli  indirizzi  pec  delle
imprese e dei professionisti" - di cui al d.l. 18  ottobre  2012,  n.
179, convertito con modificazioni dalla l. 17 dicembre 2012, n.  221,
che ha introdotto l'apposito art. 6-bis del d.lgs. 7 marzo  2005,  n.
82 (Codice dell'amministrazione digitale) - istituito per favorire la
presentazione di istanze, dichiarazioni e dati, nonche' lo scambio di
informazioni e documenti tra la pubblica amministrazione e le imprese
e i professionisti in modalita' telematica. 
    E'  possibile,  invece,   contattare   telefonicamente   mediante
operatore (per chiedere al contraente  di  esprimere  un  consenso  a
ricevere comunicazioni  promozionali  secondo  le  modalita'  di  cui
all'art. 130, commi 1 e 2) i numeri presenti in elenchi telefonici  e
non iscritti nel Registro pubblico delle opposizioni  (istituito  con
il  decreto-legge  25  settembre  2009,  n.  135,   convertito,   con
modificazioni, dalla legge 20 novembre 2009, n. 166), nonche'  quelli
presenti in elenchi pubblici "con i limiti  e  le  modalita'  che  le
leggi, i regolamenti o la normativa comunitaria stabiliscono  per  la
conoscibilita' e pubblicita' dei dati", fra i quali "vi e' il vincolo
di finalita' in base al quale i dati sono raccolti e  registrati  per
scopi determinati, espliciti e  legittimi,  ed  utilizzati  in  altri
trattamenti in termini compatibili con tali scopi (art. 11, comma  1,
lett. b) del Codice)": cfr. provvedimento 19 gennaio 2011  (doc.  web
n. 1784528). 
    Inoltre, va evidenziato, in un'ottica  di  coerenza  sistematica,
che il principio del consenso per il trattamento dei dati vige  anche
nella disciplina sulla protezione dei  consumatori  nei  contratti  a
distanza secondo la quale l'impiego da parte di un professionista del
telefono,  della  posta  elettronica,  di  sistemi  automatizzati  di
chiamata senza l'intervento di un operatore  o  di  fax  richiede  il
consenso preventivo del consumatore (v. art. 58 d.lgs.  n.  206/2005,
c.d. Codice del consumo). 
2.6 I requisiti di validita' del consenso per la finalita'  di  invio
  di comunicazioni promozionali. 
    Il consenso acquisito per la finalita' di invio di  comunicazioni
promozionali  deve   essere   libero,   informato,   specifico,   con
riferimento a trattamenti chiaramente individuati nonche' documentato
per iscritto (art. 23, comma 3 del Codice) ed e' pertanto  necessaria
la presenza contestuale di tutti i menzionati requisiti, per ritenere
tale trattamento conforme al Codice. 
    Sulla base anche di quanto gia' indicato nel paragrafo  2.4,  gli
interessati devono essere messi in grado di esprimere consapevolmente
e liberamente le proprie scelte in ordine  al  trattamento  dei  loro
dati personali (cfr. provvedimento 24 febbraio 2005,  punto  7,  doc.
web n. 1103045) e a tal fine devono ricevere un'adeguata informativa,
chiara e completa come sopra specificato. 
    Il consenso del  contraente  per  l'attivita'  promozionale  deve
intendersi libero quando non e' preimpostato e non  risulta  -  anche
solo implicitamente in via di fatto - obbligatorio per  poter  fruire
del prodotto o servizio fornito dal titolare del trattamento. 
    Esemplificando, non e' libero  il  consenso  prestato  quando  la
societa' condiziona la registrazione al suo sito web da  parte  degli
utenti e, conseguentemente, anche la fruizione dei suoi  servizi,  al
rilascio del consenso al trattamento per la  finalita'  promozionale.
In quest'ottica, il Garante ha gia' espressamente affermato  che  non
puo' definirsi "libero",  e  risulta  indebitamente  necessitato,  il
consenso a ulteriori trattamenti di dati personali che  l'interessato
"debba" prestare quale  condizione  per  conseguire  una  prestazione
richiesta (cfr.: provv. 22 febbraio 2007, doc. web n. 1388590; provv.
12 ottobre 2005, doc. web n. 1179604; provv. 3  novembre  2005,  doc.
web n. 1195215; provv. 10 maggio 2006, doc. web n.1298709; provv.  15
luglio 2010, doc.  web  n.  1741998;  piu'  recentemente,  provv.  11
ottobre 2012, doc. web n. 2089777). 
    Analogamente, non e' corretta la predisposizione di moduli in cui
la casella (c.d. "check-box") di acquisizione  del  consenso  risulta
pre-compilata con  uno  specifico  simbolo  (c.d.  flag)  (v.  provv.
"Consenso  al  trattamento  in  Internet  e  utilizzo  dei  dati  per
finalita' promozionali", 10 maggio 2006, doc. web n. 1298709). 
    Il consenso del contraente deve  essere  specifico  per  ciascuna
eventuale finalita' perseguita e per  ciascun  eventuale  trattamento
effettuato, quale in particolare la comunicazione a terzi per l'invio
di loro  comunicazioni  promozionali,  secondo  le  indicazioni  e  i
chiarimenti forniti di seguito nel presente provvedimento. 
2.6.1 Finalita' del trattamento 
    Quanto alle finalita'  del  trattamento  di  dati  personali,  si
ribadisce che il titolare del trattamento deve acquisire un  consenso
specifico  per  ciascuna  distinta  finalita'   quali   ad   esempio:
marketing, profilazione, comunicazione a terzi dei dati (cfr.  provv.
24 febbraio 2005, punto 7, doc. web n.1103045). 
    Va  tuttavia  chiarito  un  aspetto  peculiare  della   finalita'
promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4,
lett. b), 130, comma 1 e 140, piu' possibili finalita'  di  marketing
ossia quelle di invio di materiale pubblicitario, di vendita diretta,
di compimento di ricerche di mercato e di  comunicazione  commerciale
(nel settore del marketing on line, v. parere n.  4/2010  del  Gruppo
Art.  29  sul  codice   di   condotta   europeo   della   Fedma   per
l'utilizzazione dei dati personali nel  marketing  diretto).  Occorre
allora chiarire se sia necessario o meno un  consenso  specifico  per
ciascuna di esse. Al riguardo, l'Autorita' ritiene  che  le  suddette
attivita' sono funzionali, nella maggior parte dei casi, a perseguire
un'unica finalita' (lato sensu) di marketing, con la conseguenza  che
il connesso trattamento appare  giustificare  -  sempre  di  norma  -
l'acquisizione di un unico consenso  (cfr.,  fra  gli  altri,  anche:
provv. 9 marzo 2006, doc. web n. 1252220; provv. 24 maggio 2006, doc.
web n. 1298784; provv. 15 novembre 2007, doc. web n. 1466985). 
    Tale orientamento, peraltro, gia' espresso da questa Autorita' in
alcuni provvedimenti (cfr., ad esempio, provv. 31 gennaio 2008,  doc.
web n. 1490553); cfr. anche parere n.  15/2011  del  Gruppo  Art.  29
sulla definizione di "consenso", secondo cui la necessita' della  sua
acquisizione deve essere valutata in funzione degli scopi  perseguiti
o  dei  destinatari  dei   dati)   mira   ad   evitare   un'eventuale
moltiplicazione dei consensi e  risulta  compatibile  con  l'art.  2,
comma 2, del Codice, che impone l'osservanza anche del  principio  di
semplificazione   in   relazione   alle   modalita'   previste    per
l'adempimento degli obblighi da parte dei titolari dei trattamenti. 
    Tale impostazione, peraltro, appare coerente con il principio  di
finalita' (secondo cui i dati possono essere  utilizzati  in  "altre"
operazioni di trattamento in  termini  "compatibili"  con  gli  scopi
originari della raccolta: art. 11, comma 1, lett. b) del Codice). 
2.6.2 Consenso per le modalita' di marketing (quelle  tradizionali  e
  quelle di cui all'art. 130, commi 1 e 2 del Codice). 
    Al  fine  di  attuare   l'esigenza   di   semplificazione   degli
adempimenti  connessi  al  trattamento  dei  dati  personali,  questa
Autorita' ritiene che sia parimenti legittimo interpretare la  regola
della specificita' del consenso rispetto  alle  modalita'  utilizzate
per le finalita' di marketing, prevedendo  due  appositi  e  distinti
consensi rispettivamente per le modalita' tradizionali e  per  quelle
di cui all'art. 130, commi 1 e 2 del Codice, oppure, in  alternativa,
un unico consenso che comprenda i due tipi di modalita'. 
    In tale ultimo caso, come gia' detto nel paragrafo  2.4  relativo
all'obbligo  informativo,  dovranno  essere   chiarite   le   singole
modalita' utilizzate  per  il  marketing  (modalita'  tradizionali  e
modalita' di cui all'art. 130,  commi  1  e  2,  del  Codice)  e,  al
contempo, dovranno essere osservate alcune misure atte a garantire il
diritto alla protezione dei  dati  personali  degli  interessati.  In
particolare: 
      dall'informativa e dalla richiesta di consenso  deve  risultare
che il consenso prestato per l'invio di comunicazioni  commerciali  e
promozionali, sulla base dell'art. 130, commi 1 e 2, del  Codice,  si
estende anche alle modalita' tradizionali di  contatto  eventualmente
indicate nell'informativa, come la posta  cartacea  e/o  le  chiamate
tramite operatore; 
      dall'informativa deve risultare, inoltre,  che  il  diritto  di
opposizione dell'interessato al trattamento dei propri dati personali
per  le   suddette   finalita',   effettuato   attraverso   modalita'
automatizzate di contatto, si estende a  quelle  tradizionali  e  che
comunque resta salva la possibilita' per l'interessato di  esercitare
tale diritto in parte, ai sensi dell'art. 7, comma 4, lett.  b),  del
Codice, ossia, in tal caso, opponendosi, ad esempio, al solo invio di
comunicazioni    promozionali    effettuato     tramite     strumenti
automatizzati. 
2.6.3.  Consenso  specifico  per  la  comunicazione  e/o  cessione  a
  soggetti terzi a fini di marketing. 
    Nella prassi del Garante, e' stato talora rilevato che i titolari
del trattamento, mediante moduli  contrattuali  cartacei  o  appositi
form on-line, raccolgono un generico consenso al trattamento  per  le
finalita'  promozionali  proprie  e  di  soggetti  terzi   ai   quali
comunicano (e/o talvolta cedono) i  dati  personali  raccolti,  senza
individuare tali soggetti ne' nell'informativa ne' nella  formula  di
acquisizione del consenso e senza indicarne la categoria economica  o
merceologica di riferimento. 
    Di seguito, pertanto, questa Autorita'  fornisce  chiarimenti  al
riguardo,  con  riferimento  sia  alla  comunicazione  a  terzi   per
finalita'  di  marketing,  considerata  in  via  generale,  sia  alla
particolare ipotesi in cui il soggetto terzo - a cui viene  fatta  la
comunicazione dei dati raccolti per finalita' di marketing - sia  una
societa'  controllata,  controllante,  o  comunque  a  vario   titolo
collegata con il soggetto che ha  raccolto  i  dati  personali  degli
interessati. 
    Relativamente  alla  comunicazione  a  terzi  per  finalita'   di
marketing in generale, va subito  rilevato  che  la  comunicazione  o
cessione a terzi di dati personali per  finalita'  di  marketing  non
puo' fondarsi sull'acquisizione di un unico e  generico  consenso  da
parte degli interessati per  siffatta  finalita'  (cfr.,  ex  multis,
provv. 11 ottobre 2012, doc. web n. 2089777; provv. 19  maggio  2011,
doc. web n. 1823148; provv. 12 maggio  2011,  doc.  web  n.  1813953;
provv. 7 ottobre 2010, doc. web n. 1763037; provv.  15  luglio  2010,
doc. web n. 1741998; v. anche Trib. Roma 5 ottobre 2011 n. 19281). 
    Pertanto,  chi,   quale   titolare   del   trattamento,   intenda
raccogliere i dati personali degli interessati anche per  comunicarli
(o  cederli)  a  terzi  per  le  loro  finalita'  promozionali   deve
previamente rilasciare ai medesimi un'idonea  informativa,  ai  sensi
dell'art. 13, comma 1, del Codice, che individui,  oltre  agli  altri
elementi indicati  nella  norma,  anche  ciascuno  dei  terzi  o,  in
alternativa, indichi le categorie  (economiche  o  merceologiche)  di
appartenenza  degli  stessi  (ad   esempio:   "finanza",   editoria",
"abbigliamento": cfr. lettera d della detta norma). 
    Inoltre, occorre che il titolare acquisisca un consenso specifico
per la comunicazione (e/o cessione) a terzi dei  dati  personali  per
fini promozionali, nonche' distinto da quello richiesto dal  medesimo
titolare per svolgere esso stesso attivita' promozionale. 
    Qualora  l'interessato  rilasci  il  suddetto  consenso  per   la
comunicazione a soggetti terzi, questi potranno effettuare  nei  suoi
confronti attivita' promozionale con le  modalita'  automatizzate  di
cui all'art. 130, comma  1  e  2,  senza  dover  acquisire  un  nuovo
consenso per la finalita' promozionale. 
    Si chiarisce che, ai fini del Codice,  il  terzo  o  i  terzi  in
questione possono appartenere a categorie economiche o  merceologiche
anche diverse da quella del titolare  del  trattamento  che  provvede
alla raccolta dei dati dell'interessato. 
    Peraltro, nel  caso  in  cui  i  terzi  siano  stati  individuati
singolarmente e siano stati forniti all'interessato anche  gli  altri
elementi previsti all'art. 13 del Codice relativi al trattamento  che
verra' da questi svolto, non sara' necessario che i predetti soggetti
rilascino agli interessati un'ulteriore informativa in  quanto,  come
specificato all'art. 13, comma 2 del Codice, l'informativa "puo'  non
comprendere gli elementi gia' noti alla persona che fornisce i dati". 
    Laddove invece la richiesta di consenso non sia  accompagnata  da
un'informativa con tali requisiti, i terzi - ai sensi  dell'art.  13,
comma 4, del Codice - potranno inviare  ai  medesimi  interessati  le
comunicazioni promozionali in questione solo dopo il rilascio di  una
propria informativa,  che  contenga,  oltre  agli  elementi  previsti
dall'art. 13, comma 1, anche l'origine  dei  dati  personali  a  loro
comunicati, in modo tale che  ciascun  interessato  possa  rivolgersi
anche al soggetto che li ha raccolti  e  comunicati  per  opporsi  al
trattamento ai sensi dell'art. 7, comma 4, lett. b) del Codice. 
    In  entrambi  i  casi,  inoltre,   i   terzi   dovranno   fornire
all'interessato un idoneo recapito - di cui all'art. 130, comma  5  -
presso il quale poter esercitare utilmente i diritti di cui  all'art.
7 (cfr. provvedimento 7 aprile 2011, doc. web n. 1810207), ed  essere
assicurata al medesimo la possibilita'  di  avvalersi,  a  tal  fine,
dello  stesso  canale  comunicativo  utilizzato  per  l'invio   delle
comunicazioni promozionali e comunque di uno  strumento  quanto  piu'
possibile agevole, rapido, economico  ed  efficace  (v.  al  riguardo
parere n. 5/2004 del Gruppo Art. 29). 
    Ad esempio, se i terzi intendono  inviare  e-mail  pubblicitarie,
devono consentire agli interessati di potersi opporre al  trattamento
inviando una e-mail a un indirizzo di posta indicato nell'informativa
resa ed eventualmente riservato alla gestione delle problematiche sul
trattamento dati sottoposte loro da utenti e clienti. 
    Le suddette regole devono  applicarsi  anche  quando  i  soggetti
terzi - ai quali si intenda comunicare (o cedere) i dati raccolti per
finalita' di marketing - siano societa' controllate, controllanti,  o
comunque a vario titolo collegate con il soggetto che ha  raccolto  i
dati personali degli interessati. 
    Quanto al profilo del consenso, va ribadito quanto gia' affermato
dall'Autorita', sia pure in altri contesti (cfr. provv.  23  novembre
2006, recante le Linee  guida  in  materia  di  trattamento  di  dati
personali di lavoratori per finalita' di  gestione  del  rapporto  di
lavoro alle dipendenze di datori  di  lavoro  privati,  doc.  web  n.
1364099; provv. 12 maggio 2011, recante le Prescrizioni in materia di
circolazione delle informazioni in ambito bancario e di  tracciamento
delle operazioni bancarie, doc. web n. 1813953; v.  anche  provv.  15
giugno 2011 "Titolarita' del trattamento di dati personali in capo ai
soggetti che si avvalgono di agenti per attivita' promozionali", doc.
web n. 1821257;  cfr.  anche  provv.  22  febbraio  2007,  cit.).  In
particolare, i soggetti appartenenti al medesimo  gruppo  societario,
al fine di adempiere all'obbligo del consenso, devono essere comunque
ritenuti,  di  regola,  quali  autonomi  e  distinti   titolari   dei
rispettivi trattamenti. 
2.6.4 Consenso documentato per iscritto 
    E'  necessario  inoltre  che  il  consenso   per   la   finalita'
promozionale sia documentato per iscritto. 
    Va evidenziato che la direttiva 2002/58/CE non stabilisce in modo
specifico il metodo per ottenere tale consenso (cfr. considerando  17
della stessa direttiva: "... Il consenso puo' essere fornito  secondo
qualsiasi modalita' appropriata che consenta all'utente di  esprimere
liberamente e in conoscenza  di  causa  i  suoi  desideri  specifici,
compresa la selezione di un'apposita casella  nel  caso  di  un  sito
internet."). 
    Ne consegue che  gli  operatori  del  settore  possono  ritenersi
liberi di scegliere il metodo  che  ritengono  opportuno  nell'ambito
della propria liberta' organizzativa. Inoltre, non e' necessario  che
il consenso acquisito abbia forma scritta, a pena di invalidita'  del
medesimo, ma e' comunque necessario che il titolare  del  trattamento
adotti misure idonee a darne prova fornendo alcuni elementi  tali  da
poter  ritenere  acquisito  il   consenso   e   circostanziare   tale
acquisizione.   In   particolare,   e'   necessario   che   risultino
documentati, nella modalita' che si ritenga di adottare, la  data  in
cui e' stato reso e gli estremi identificativi di chi lo ha ricevuto,
adottando altresi',  contestualmente,  analoghe  procedure  idonee  a
garantire  che  la  volonta'  dell'interessato  di  revocare  il  suo
consenso  venga  effettivamente  rispettata  (cfr.  provvedimento  30
maggio 2007, doc. web n. 1412598). 
    Appare utile adottare sistemi di  verifica  della  identita'  del
contraente che si e' registrato ad un sito web perche' interessato  a
ricevere offerte promozionali. In tal senso, ad esempio,  l'invio  di
una apposita e-mail al suo indirizzo  di  posta  elettronica  con  la
quale si chiede di confermare la propria identita'  cliccando  su  un
apposito link. 
2.7 L'eccezione del "soft spam"  per  l'invio  di  posta  elettronica
  promozionale. 
    L'Autorita' ricorda che per le comunicazioni di cui all'art. 130,
commi 1 e 2, non valgono le cause di  esonero  del  consenso  di  cui
all'art. 24 del Codice. 
    Per  la  sola  posta  elettronica,   tuttavia,   puo'   ricorrere
l'eccezione del c.d. "soft spam", di cui all'art. 130,  comma  4,  in
base al quale, se il titolare del trattamento  utilizza,  a  fini  di
vendita diretta di propri prodotti o servizi, le coordinate di  posta
elettronica fornite dall'interessato nel contesto della vendita di un
prodotto  o  di  un  servizio,  puo'  non  richiedere   il   consenso
dell'interessato. Cio',  pero',  sempre  che  si  tratti  di  servizi
analoghi  a  quelli  oggetto  della  vendita  e  che   l'interessato,
adeguatamente informato, non rifiuti tale uso. 
 
3. Titolarita' del trattamento per lo spam effettuato mediante agenti
  o altri terzi. 
    In  alcune  circostanze,   l'Autorita'   ha   rilevato   che   le
comunicazioni   promozionali   indesiderate   vengono   inviate   non
direttamente dall'impresa/societa' promotrice, ma da agenti  o  altri
soggetti  terzi.  Pertanto,  e'  necessario  chiarire  quale  fra  il
soggetto  promotore  e  il  terzo  debba  considerarsi  titolare  del
trattamento  ai  sensi  dell'art.  28  del  Codice,  con  i  relativi
obblighi. 
    Al riguardo, viene in rilievo il provvedimento  generale  del  15
giugno 2011 sulla "Titolarita' del trattamento di dati  personali  in
capo  ai  soggetti  che  si  avvalgono  di   agenti   per   attivita'
promozionali" (doc. web n. 1821257) del quale e' opportuno riproporre
alcuni argomenti e  considerazioni  poiche'  applicabili  anche  alle
comunicazioni  promozionali  effettuate  con  le  modalita'  di   cui
all'art. 130, commi 1 e 2. 
    Si ricorda inoltre il parere del Gruppo Art. 29 n. 1/2010, che ha
ulteriormente chiarito, in linea con la direttiva 95/46/CE,  che,  ai
fini dell'individuazione della titolarita' concretamente  esercitata,
occorre  esaminare  anche  "elementi  extracontrattuali,   quali   il
controllo  reale  esercitato  da  una  parte,  l'immagine  data  agli
interessati e il legittimo affidamento di questi ultimi sulla base di
questa visibilita'".  Il  parere  ha  evidenziato  la  necessita'  di
riconoscere la titolarita' del trattamento dei dati  dei  destinatari
di iniziative di telemarketing in capo alla societa' che  si  avvalga
di soggetti esterni incaricati di  effettuare  campagne  promozionali
per suo conto, quando ai  menzionati  soggetti  esterni  siano  state
impartite specifiche istruzioni, ed in considerazione, altresi',  del
controllo  esercitato  dalla  societa'  circa  il  rispetto  di  tali
istruzioni e delle condizioni contrattuali pattiziamente previste. Ne
consegue  che  i   soggetti   esterni   dovranno   essere   designati
responsabili del trattamento ai sensi dell'art. 29 del Codice, mentre
i singoli operatori quali incaricati ai sensi dell'art. 30. 
    Tale  necessita'  puo'  ben  ravvisarsi  anche  nel  caso   delle
comunicazioni promozionali con le modalita'  di  cui  sopra,  essendo
irrilevante, ai fini dell'individuazione della titolarita',  il  tipo
di modalita' utilizzata per la comunicazione promozionale. 
    Peraltro, questa Autorita', con il provvedimento del 16  febbraio
2006 (doc. web n. 1242592), in  materia  di  servizi  telefonici  non
richiesti, ha  gia'  espressamente  sottolineato  la  necessita'  che
l'eventuale   designazione,   in   qualita'   di   responsabili   del
trattamento,   di   rivenditori    o    agenti    incaricati    della
commercializzazione di prodotti e servizi per conto di altra societa'
risponda alla realta' effettiva dei rapporti rilevanti in materia  di
trattamento dei dati. Inoltre, con il  provvedimento  del  29  aprile
2009 (doc. web n.  1617709),  l'Autorita',  analizzando  il  concreto
rapporto intercorrente tra un titolare  del  trattamento  e  distinti
operatori ai quali venivano  affidati  taluni  servizi,  ha  ritenuto
determinante  il  carattere  subordinato  di   tali   soggetti   alle
istruzioni ed  al  potere  di  controllo  esercitato  dalla  societa'
appaltante,  riconoscendo  quest'ultima  come  unico   titolare   del
trattamento e, appunto in virtu' di tale qualifica, prescrivendole di
designare le societa' appaltatrici responsabili  del  trattamento  ai
sensi dell'art. 29 del Codice (analogamente,  cfr.  provvedimento  12
maggio 2011, doc. web n. 1813953, in materia di circolazione dei dati
dei clienti in ambito bancario). 
    Alla luce di tali considerazioni e dei criteri  indicati,  questa
Autorita', riguardo allo spam  effettuato  mediante  agenti  o  altri
terzi, ritiene che il soggetto promotore, qualora in  concreto  abbia
un  ruolo  preminente  nel  trattamento  dei  dati  dei  destinatari,
assumendo  decisioni  relative  alle  finalita'   e   modalita'   del
trattamento, fornendo istruzioni e direttive vincolanti  e  svolgendo
verifiche e  controlli  sull'attivita'  dell'agente,  va  considerato
titolare ai sensi  dell'art.  28  del  Codice,  a  prescindere  dalla
qualificazione contrattuale. Inoltre, il soggetto promotore e' tenuto
a nominare responsabile il soggetto agente o altro terzo  di  cui  si
avvale per l'attivita' promozionale, salvo che non si  tratti  di  un
mero incaricato  (persona  fisica)  che  svolga  solo  operazioni  di
trattamento sotto la diretta autorita' del promotore e in  base  alle
sue istruzioni. 
    Inoltre, questa Autorita' ravvisa la necessita'  che  i  soggetti
promotori pongano in essere misure e procedure idonee a conoscere  se
l'agente, al quale e' stato affidato  il  trattamento  dati  mediante
modalita' automatizzate a fini  di  marketing,  eventualmente  a  sua
volta si rivolga, per lo  svolgimento  del  medesimo  trattamento,  a
subagenti  o  altri  terzi,  nonche'   a   verificare   e   garantire
l'osservanza del Codice da parte di questi ultimi. Cio' sia nel  caso
in cui i promotori siano in concreto qualificabili come titolari  del
trattamento - in quanto dovranno provvedere a designare i subagenti o
altri soggetti terzi coinvolti nella "filiera"  del  trattamento  dei
dati come responsabili o incaricati (artt. 29  e  30  del  Codice)  e
saranno chiamati a rispondere delle eventuali violazioni  del  Codice
effettuate da tali soggetti - sia nell'ipotesi in cui i subagenti o i
terzi utilizzino proprie banche  dati  per  effettuare  le  attivita'
promozionali, rivestendo in tal modo il ruolo di  autonomi  titolari.
In tale  ultima  ipotesi,  infatti,  la  misura  in  questione  trova
giustificazione nell'esigenza di consentire al promotore, qualora sia
destinatario di una istanza ai  sensi  dell'art.  7  del  Codice,  di
chiarire   all'interessato   il   ruolo   effettivamente    ricoperto
nell'ambito  del  rapporto  intercorrente   con   i   subagenti   ed,
eventualmente, indirizzarlo al soggetto che nel caso di specie agisce
in qualita' di titolare. 
 
4. Invio di fax indesiderati mediante piattaforme di societa' estere 
    Il Garante continua, seppur in misura  inferiore  al  passato,  a
ricevere numerose segnalazioni con le quali si lamenta la ricezione -
talvolta a qualsiasi ora del giorno  -  di  fax  o,  in  assenza  del
telefax, di  tentativi  di  inoltro  di  fax.  I  testi  promozionali
ricevuti, peraltro, non sempre indicano il titolare del trattamento e
i suoi dati di contatto per potersi opporre ad  ulteriori  invii  ne'
tantomeno un'informativa adeguata sul trattamento dati. 
    Sulla  base  di  istruttorie  anche  complesse,  l'Autorita'   ha
rilevato che lo spam via fax che proviene dall'estero solitamente  e'
inviato da societa' straniere che offrono questo servizio di invio  a
utenti italiani (imprese, societa',..) e che utilizzano, a tal  fine,
due distinte reti: la rete Internet, per l'invio dei fax nella tratta
compresa tra il fax server sito all'estero ed il fax gateway sito  in
Italia, e la rete pubblica telefonica italiana  per  la  trasmissione
dei fax da parte del fax gateway nella tratta compresa tra lo  stesso
e il terminale dell'utente. 
    Al riguardo, come gia' chiarito con il sopra citato provvedimento
7 aprile 2011, si segnala che a tale  tipo  di  trattamento  dati  si
applica la disciplina del Codice, dato che,  ai  sensi  dell'art.  5,
comma  2,  lo  stesso  e'  applicabile  a  qualsiasi   soggetto   che
"...impiega, per il trattamento,  strumenti  situati  nel  territorio
dello Stato anche diversi da quelli elettronici, salvo che essi siano
utilizzati solo  ai  fini  di  transito  nel  territorio  dell'Unione
Europea...". 
    Pertanto, occorre individuare, in relazione alla  fattispecie  in
questione, il  soggetto  titolare  del  trattamento  con  i  relativi
obblighi. 
    Ebbene, a seconda del caso concreto, e in particolare  del  ruolo
svolto nella scelta  dei  destinatari  delle  comunicazioni,  nonche'
delle modalita' e delle finalita' del trattamento, il titolare  sara'
individuabile nell'impresa, nella societa', nel soggetto che comunque
si avvalga di tali piattaforme proprie di soggetti terzi  oppure  nel
proprietario  delle  piattaforme  se  quest'ultimo  le  utilizza  per
svolgere attivita' promozionale per se' stesso. 
    In particolare, si ritiene necessario che il titolare predisponga
comunque, per ogni messaggio in uscita, un  riquadro  (template)  nel
quale sia riportata un'idonea informativa, ferma restando  la  previa
acquisizione del consenso specifico e informato dei destinatari delle
suddette comunicazioni promozionali ai sensi degli artt. 23 e 130  e,
inoltre, garantisca l'esercizio dei diritti di cui agli artt.  7  ss.
in modo rapido, agevole ed efficace. 
 
5. Utilizzo di liste per l'invio di piu' e-mail o sms 
    La finalita' promozionale  talora  viene  perseguita  utilizzando
liste di e-mail o numerazioni telefoniche per l'invio simultaneo  del
medesimo messaggio promozionale a molteplici interessati. 
    I soggetti che si avvalgono di tale modalita'  per  finalita'  di
marketing devono rispettare principi  e  norme  gia'  sopra  indicati
nell'ambito  del  quadro  normativo  attualmente   in   vigore,   con
particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice per
ciascuno degli indirizzi di posta trattato. 
    Peraltro, nel caso dell'invio di e-mail, chi si avvale  di  liste
di indirizzi talvolta lascia in chiaro gli indirizzi dei  destinatari
del messaggio promozionale, che quindi possono  venire  a  conoscenza
degli altri destinatari ed eventualmente utilizzare i loro  indirizzi
per i fini piu' vari, eventualmente anche alimentando ulteriore spam. 
    L'attivita' promozionale effettuata con mailing  list  in  chiaro
costituisce di fatto una  comunicazione  di  dati  personali  (quelli
relativi agli altri indirizzi di posta) a terzi, ossia ai  molteplici
destinatari della promozione. 
    Risulta   necessario   pertanto   mantenere   riservati,   magari
utilizzando la funzione "ccn"  (ossia  l'inoltro  per  conoscenza  in
"copia conoscenza nascosta"), gli indirizzi di posta  utilizzati  per
l'invio della promozione. 
 
6. Nuove forme di spam 
    Il Garante, sempre alla luce del descritto quadro  normativo,  di
seguito intende fornire necessarie indicazioni di carattere  generale
anche in relazione ad alcune nuove forme e modalita'  di  spam  prive
attualmente di un'espressa disciplina normativa,  anche  al  fine  di
evitare che le grandi potenzialita'  di  Internet,  nonche'  piu'  in
generale della tecnologia, possano in via di fatto consentire un  uso
indiscriminato e illegittimo dei dati personali. 
6.1 Il social spam 
    Il c.d.  "social  spam"  consiste  in  un  insieme  di  attivita'
mediante le quali lo spammer veicola messaggi e  link  attraverso  le
reti   sociali   online.    Cio'    si    inquadra    nel    problema
dell'indiscriminato e spesso inconsapevole impiego  dei  propri  dati
personali da parte degli utenti nell'ambito dei social network, tanto
piu' rispetto a profili di tipo "aperto". Questo  impiego  si  presta
alla commercializzazione o ad altri trattamenti dei dati personali  a
fini di profilazione e marketing da parte di societa' terze che siano
partner commerciali delle societa' che gestiscono  tali  siti  oppure
che approfittino della  disponibilita'  di  fatto  di  tali  dati  in
Internet. Inoltre, essendo i social network reti sociali tra  persone
reali, lo spam in questo caso puo' mirare a  catturare  l'elenco  dei
contatti dell'utente mirato  per  aumentare  la  portata  virale  del
messaggio. 
    Al  riguardo,  l'Autorita'  anzitutto   ricorda   che   l'agevole
rintracciabilita' di dati personali  in  Internet  (quali  numeri  di
telefono o indirizzi di posta  elettronica)  non  autorizza  a  poter
utilizzare  tali  dati   per   inviare   comunicazioni   promozionali
automatizzate senza il consenso dei destinatari. 
    Riguardo a tale tipo di spam,  si  fa  presente  che  i  messaggi
promozionali inviati agli utenti dei social network (come  Facebook),
in privato come  pubblicamente  sulla  loro  bacheca  virtuale,  sono
sottoposti alla disciplina del Codice, e, in particolare, agli  artt.
3, 11, 13, 23 e 130. 
    La medesima disciplina e' applicabile  ai  messaggi  promozionali
inviati utilizzando strumenti o  servizi  sempre  piu'  diffusi  tipo
Skype, WhatsApp, Viber, Messanger, etc.. Per questi,  si  ricorda  il
rischio di proliferazione dello spam dato che, come peraltro indicato
nelle  relative  condizioni  di  servizio,  tali   strumenti   talora
comportano la condivisione indifferenziata di tutti i dati  personali
presenti negli smart-phone e nei  tablet  (quali  rubrica,  contatti,
sms, dati della navigazione internet) o l'accesso della societa'  che
li fornisce alla lista dei  contatti  o  alla  rubrica  presente  sul
telefono mobile dell'utente per reperire  e/o  conservare  tali  dati
personali. 
    Il rischio di ricevere spam,  e  in  particolare  il  c.d.  "spam
mirato",  basato  sulla  profilazione  degli  utenti,   si   potrebbe
aggravare  in  considerazione  della  tendenza  dei   gestori   delle
piattaforme tecnologiche a policy privacy  sempre  piu'  semplificate
che, unificando i profili sui diversi  servizi  resi  dalle  medesime
piattaforme, consentono di pervenire ad una  conoscenza  sempre  piu'
approfondita degli utenti, a cui indirizzare  messaggi  diversificati
sulla base dei gusti rilevabili su molteplici applicazioni. 
    Se da una parte questa nuova pratica puo' agevolare  il  rapporto
commerciale tra produttore e consumatore, riducendo per  il  primo  i
costi di marketing e per il secondo i costi di ricerca del  prodotto,
tuttavia puo' causare all'interessato che viene profilato a  dispetto
della sua  volonta',  oltre  alla  ricezione  dello  spam,  anche  la
compressione della  sua  liberta'  di  fruizione  dei  servizi  della
societa' dell'informazione. 
    Cio' premesso, ferma restando la liceita' dei  messaggi  a  scopo
meramente personale, si  possono  individuare  alcune  ipotesi  sulle
quali occorre fornire qualche chiarificazione anche  sotto  l'aspetto
normativo. 
    Una prima ipotesi e' quella in cui l'utente riceva,  in  privato,
in bacheca o nel suo indirizzo  di  posta  e-mail  collegato  al  suo
profilo social, un determinato messaggio promozionale relativo a  uno
specifico prodotto o servizio da un'impresa che abbia tratto  i  dati
personali del destinatario dal profilo del social  network  al  quale
egli e' iscritto. 
    Una seconda e' quella in cui l'utente sia diventato  "fan"  della
pagina di una determinata impresa o societa' oppure si sia iscritto a
un "gruppo" di  follower  di  un  determinato  marchio,  personaggio,
prodotto o  servizio  (decidendo  cosi'  di  "seguirne"  le  relative
vicende,  novita'  o  commenti)  e  successivamente  riceva  messaggi
pubblicitari concernenti i suddetti elementi. 
    Nel primo caso, il trattamento sara' da considerarsi illecito,  a
meno che il mittente non dimostri di aver acquisito  dall'interessato
un consenso preventivo, specifico,  libero  e  documentato  ai  sensi
dell'art. 130, commi 1 e 2, del Codice. 
    Nel  secondo  caso,   l'invio   di   comunicazione   promozionale
riguardante un determinato marchio, prodotto o  servizio,  effettuato
dall'impresa  a  cui  fa  riferimento  la   relativa   pagina,   puo'
considerarsi  lecita  se  dal   contesto   o   dalle   modalita'   di
funzionamento del social network, anche sulla base delle informazioni
fornite, puo' evincersi  in  modo  inequivocabile  che  l'interessato
abbia in tal modo voluto manifestare anche la volonta' di fornire  il
proprio consenso alla ricezione di messaggi promozionali da parte  di
quella determinata impresa. Se invece l'interessato si  cancella  dal
gruppo, oppure smette di "seguire" quel marchio o quel personaggio, o
comunque si oppone ad eventuali ulteriori comunicazioni promozionali,
il successivo invio di messaggi promozionali sara' illecito,  con  le
relative conseguenze sanzionatorie. Cio', ferma comunque restando  la
possibilita', talora fornita dai social network ai  loro  utenti,  di
bloccare l'invio di messaggi da parte di un determinato "contatto"  o
di segnalare quest'ultimo come spammer. 
    Nell'ipotesi dei "contatti" (i  c.d.  "amici")  dell'utente,  dei
quali spesso nei social network o nelle comunita' degli  iscritti  ai
servizi di cui  sopra,  sono  visualizzabili  numeri  di  telefono  o
indirizzi di posta elettronica,  l'impresa  o  societa'  che  intenda
inviare legittimamente messaggi promozionali dovra' aver  previamente
acquisito, per ciascun "contatto" o "amico",  un  consenso  specifico
per l'attivita' promozionale. 
6.2 Marketing "virale" 
    Il marketing "virale" e' una modalita' di attivita'  promozionale
mediante  la  quale  un  soggetto  promotore  sfrutta  la   capacita'
comunicativa   di   pochi   soggetti   destinatari   diretti    delle
comunicazioni per trasmettere il messaggio ad un  numero  elevato  di
utenti finali. E' un'evoluzione del "passaparola", ma se ne distingue
per il fatto che fin dall'inizio emerge la volonta' dei promotori  di
avviare una campagna promozionale. Come un "virus", la  comunicazione
contenente l'idea, il prodotto o  il  servizio,  che  puo'  rivelarsi
interessante o conveniente per un utente, viene veicolata  da  questo
ad altri contatti, da questi ad altri e cosi' via. 
    In genere, con la locuzione "marketing virale" si fa  riferimento
agli utenti di Internet che  suggeriscono  o  raccomandano  ad  altri
l'utilizzo di un determinato prodotto o servizio. Ultimamente, questa
tecnica promozionale  si  sta  diffondendo  anche  per  prodotti  non
strettamente  connessi  a  Internet:  veicolo  del  messaggio   resta
comunque la comunita' del web, che puo' comunicare in maniera chiara,
veloce e gratuita. 
    Per agevolare la diffusione del messaggio, il soggetto  promotore
offre un incentivo o un bonus o altro bene economico  ai  destinatari
delle comunicazioni che a  loro  volta,  in  cambio,  si  offrano  di
inoltrare o comunque far conoscere a terzi (talora con e-mail o  sms)
la comunicazione promozionale ricevuta. 
    Ebbene,  tale  attivita',  quando  viene  svolta  con   modalita'
automatizzate e per finalita' di marketing, puo' rientrare nello spam
se non rispetta principi e norme gia' sopra indicati nell'ambito  del
quadro normativo attualmente in vigore, con  particolare  riferimento
agli artt. 3, 11, 13, 23 e 130 del Codice. 
    Non e' comunque  soggetto  al  Codice  il  trattamento  dei  dati
effettuato da chi, ricevendo una proposta promozionale, la inoltri  a
sua volta a titolo personale, consigliando il prodotto o il  servizio
ai propri amici, utilizzando strumenti automatizzati.  Il  Codice  si
applica invece al trattamento effettuato da chi inoltri,  o  comunque
comunichi, il messaggio promozionale ricevuto a una molteplicita'  di
destinatari i cui dati personali  (numeri  di  telefono  o  indirizzi
e-mail) siano stati reperiti su elenchi pubblici o sul web. 
 
7. Le sanzioni 
    Si ricorda che, in relazione alle varie  forme  di  spamming,  in
caso di accertata violazione delle norme del Codice, questa Autorita'
- fatta salva  l'eventuale  adozione  di  provvedimenti  inibitori  o
prescrittivi  -  applica  le  sanzioni   amministrative,   quali   in
particolare quelle previste dagli artt. 161 e 162,  comma  2-bis  del
medesimo  Codice,  finalizzate   ad   assicurare   l'osservanza   dei
fondamentali  obblighi,  rispettivamente,  dell'informativa   e   del
consenso. 
    Inoltre,  qualora  emergano  i  presupposti   di   un   possibile
trattamento illecito di dati personali avente una specifica rilevanza
di  natura  penale,  l'Autorita'  e'  tenuta  a  denunciare  i  fatti
configurabili  come  reati   perseguibili   d'ufficio   all'autorita'
giudiziaria  per  l'eventuale  applicazione  della  sanzione   penale
prevista dall'art. 167 del Codice.