Gazzetta n. 174 del 26 luglio 2013 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DELIBERA 4 luglio 2013 Linee guida in materia di attivita' promozionale e contrasto allo spam. (Provvedimento n. 330). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; Viste la direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione dei dati e la direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla direttiva 2009/136/CE; Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»); Visto il provvedimento generale del 29 maggio 2003 intitolato «Spamming. Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche» (pubblicato sul sito istituzionale www.garanteprivacy.it, doc. web n. 29840); Visto il provvedimento generale del 19 gennaio 2011 recante «Prescrizioni per il trattamento di dati personali per finalita' di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni» (doc. web n. 1784528); Visto il provvedimento generale del 15 giugno 2011 riguardante la «Titolarita' del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivita' promozionali» (doc. web n. 1821257); Visti i pareri del Gruppo Art. 29 n. 4/1997, n. 5/2004, n. 5/2009, n. 1/2010, n. 4/2010, n. 15/2011; la Raccomandazione n. 2/2001 del medesimo Gruppo su determinati requisiti minimi per la raccolta on-line di dati personali nell'Unione europea, nonche' la Risoluzione sull'utilizzo di dati personali per la comunicazione politica adottata dalla 27^ Conferenza internazionale dei garanti della privacy tenutasi a Montreux il 14-16 settembre 2005 (doc. web n. 1170546); Visto il «Provvedimento in ordine all'applicabilita' alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011» del 20 settembre 2012 (doc. web n. 2094932); Visti gli atti d'ufficio e le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore il dott. Antonello Soro; Delibera: a) ai sensi dell'art. 154, comma 1, lett. h), del Codice di adottare l'unito documento, recante le «Linee guida in materia di attivita' promozionale e contrasto allo spam», che forma parte integrante della presente deliberazione (Allegato 1); b) ai sensi dell'art. 143, comma 2, del Codice, di trasmettere copia della presente deliberazione, unitamente al menzionato allegato, al Ministero della giustizia - Ufficio leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 4 luglio 2013 Il Presidente e relatore: Soro Il Segretario generale: Busia   Allegato 1 LINEE GUIDA IN MATERIA DI ATTIVITA' PROMOZIONALE E CONTRASTO ALLO SPAM 1. Oggetto e finalita' del presente provvedimento generale In materia di spamming (invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari), il Garante con il provvedimento generale del 29 maggio 2003, ha dettato "Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche", basato sulla normativa al tempo in vigore e, in particolare, sulla legge 31 dicembre 1996, n. 675. Successivamente e' entrato in vigore il Codice che ha abrogato e sostituito la suddetta legge e le altre disposizioni in materia di protezione dei dati personali, ribadendone i principi nel mutato panorama normativo. Piu' recentemente, in particolare dal 2009 in poi, sono state effettuate varie modifiche del Codice che hanno inciso peraltro sulla sfera dei soggetti tutelati e sui diritti azionabili dai destinatari dello spam, determinando l'esigenza di intervenire nuovamente sul tema. Va evidenziato che, anche se in misura minore rispetto al passato, continuano a pervenire all'Autorita' segnalazioni, reclami e ricorsi relativamente alle tradizionali forme di spam tipizzate dal Codice. Inoltre, sono progressivamente emersi profili problematici e nuove forme di spam, che possono comportare modalita' sempre piu' insidiose e invasive della sfera personale degli interessati. Fra questi, si segnalano: il "marketing virale", le comunicazioni promozionali inviate tramite piattaforme tecnologiche di proprieta' di soggetti terzi spesso situati all'estero e non agevolmente individuabili, il "marketing mirato", grazie all'uso di meccanismi di profilazione dell'utente, e il c.d. "social spam". Senza poter trascurare che sempre piu' spesso lo spam coinvolge anche i minori ai quali e' doveroso assicurare una tutela rafforzata da parte dell'ordinamento giuridico e, quindi, una particolare attenzione anche da parte di questa Autorita'. Il Garante ravvisa, quindi, la necessita' di adottare le presenti linee guida con le seguenti finalita': - tenere conto del mutato quadro normativo attualmente vigente in materia, alla luce dell'entrata in vigore del Codice e delle modifiche normative successive, nonche' del diritto comunitario (direttive 2002/58/UE e 2009/136/UE), con l'ulteriore obiettivo di assicurare l'uniforme applicazione della stessa normativa e l'osservanza del fondamentale principio di certezza del diritto; - chiarire alcuni profili problematici relativi alle diverse modalita' di spam, affinche' gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali; - inquadrare alcune nuove forme di spam, con l'intento di limitare i rischi connessi alle novita' tecnologiche, pur nella necessaria consapevolezza del carattere parziale e non risolutivo dello strumento del diritto rispetto a tecnologie in continua evoluzione, peraltro sempre piu' avanzate e di rapida diffusione. 2. Il mutato quadro normativo in materia di spam 2.1 Ambito oggettivo dello spam Anzitutto occorre definire il fenomeno dello spam che, ai fini del Codice, e' costituito dalle comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (v. artt. 7, comma 4, lett. b), 130, comma 1 e 140 del Codice) effettuate, in violazione delle norme del Codice, con sistemi automatizzati di chiamata senza operatore (c.d. telefonate preregistrate) oppure con modalita' assimilate alle prime (quali: e-mail, fax, sms, mms). Ai fini dell'applicazione del Codice, non e' necessario un invio massiccio e/o simultaneo a una pluralita' di indirizzi o numeri di telefono, poiche' siffatta modalita' rileva solo eventualmente per qualificare il trattamento come sistematico per la quantificazione delle sanzioni. 2.2 Ambito soggettivo dello spam e le tutele azionabili Considerate le rilevanti novita' normative di cui si dira' di seguito, va chiarito anche l'ambito soggettivo delle disposizioni del Codice in materia di spam e quello dei diritti azionabili dai destinatari delle comunicazioni promozionali automatizzate. Mentre le persone fisiche possono esercitare i diritti di cui agli artt. 7 e ss. del Codice al fine di tutelare la propria sfera personale da ingerenze illecite, le persone giuridiche sono, allo stato, sprovviste della possibilita' di avvalersi dei medesimi mezzi di tutela. Al riguardo, va infatti considerato l'art. 40, secondo comma, del d.l. del 6 dicembre 2011, n. 201 (c.d. decreto "salva Italia"), convertito con legge del 22 dicembre 2011, n. 214, che ha modificato alcune disposizioni contenute nella parte prima del Codice recante le "Disposizioni generali", quali ad esempio l'art. 4 relativo, tra l'altro, alle nozioni di "interessato" e di "dato personale", in particolare eliminando ogni riferimento alle persone giuridiche o assimilate, ossia enti e associazioni ed ha mantenuto il riferimento alle sole persone fisiche. Successivamente, e' entrato in vigore anche il d. lgs. 28 maggio 2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE, il quale ha parzialmente modificato alcune disposizioni del capo 1 ("Servizi di comunicazione elettronica") del titolo X ("Comunicazioni elettroniche") del Codice, di diretta derivazione comunitaria poiche' emanate in attuazione della direttiva 2002/58/CE, nel cui campo applicativo rientrano le comunicazioni promozionali automatizzate, introducendo la qualifica di "contraente"- la quale riguarda certamente anche le persone giuridiche - in luogo di quella di "abbonato". A seguito delle suddette modifiche normative e delle conseguenti incertezze interpretative, l'Autorita' e' intervenuta con il provvedimento generale del 20 settembre 2012 (doc. web n. 2094932), sull'applicabilita' del Codice alle persone giuridiche, enti e associazioni. Sulla base di quanto affermato in tale provvedimento interpretativo, si evidenzia che le persone giuridiche ed enti assimilati, destinatarie dello spamming - differentemente dalla persone fisiche - dal 6 dicembre 2011 non possono piu' presentare segnalazioni, reclami o ricorsi al Garante, ne' possono esercitare i diritti di cui agli art. 7 ss. del Codice, perche' non possono essere piu' "interessati". Tuttavia i detti soggetti, in quanto "contraenti", si possono avvalere degli ordinari strumenti di tutela forniti dall'ordinamento, quindi, possono esperire presso l'autorita' giudiziaria ordinaria rimedi civilistici quali, ad esempio, l'azione inibitoria e/o l'azione di risarcimento del danno oppure, eventualmente qualora ricorrano gli elementi costitutivi dell'art. 167 c.p., anche sporgere denuncia e quindi attivare un procedimento penale con le relative sanzioni. Inoltre, essi possono beneficiare dell'eventuale esercizio dei poteri di iniziativa ex officio - quanto a provvedimenti inibitori, prescrittivi e/o sanzionatori - da parte di questa Autorita', qualora emergano i presupposti di un possibile trattamento illecito di dati. Con particolare riferimento alla posta elettronica, alcune volte puo' risultare difficile distinguere se un destinatario sia una persona fisica o giuridica. Puo' essere questo il caso dei dipendenti che lavorano in una determinata societa' che ha fornito loro indirizzi di posta elettronica aziendale contenenti le loro generalita' (ad esempio, nome.cognome@societa'.com). Ebbene - in linea con quanto precisato dal Gruppo Art. 29 (con i pareri n. 4/1997 e n. 5/2004) e sulla base dei criteri di "contenuto", "finalita'" o "risultato" ivi enunciati per poter definire alcune informazioni sulle persone giuridiche come "concernenti" persone fisiche - tali indirizzi vanno considerati indirizzi "personali" di posta elettronica e i loro rispettivi assegnatari come "interessati", con la conseguente applicabilita' del Codice e del relativo impianto di diritti e tutele. Cio', fermo restando quanto gia' stabilito sull'utilizzo della posta elettronica aziendale dai precedenti provvedimenti del Garante in materia di trattamento dei dati dei lavoratori (in particolare, cfr. "Linee guida del Garante per posta elettronica e Internet" del 1º marzo 2007, doc. web n. 1387522). 2.3 I principi di correttezza, finalita', proporzionalita' e necessita' del trattamento dati. La neutralita' tecnologica. Alle comunicazioni automatizzate sono applicabili, fra le altre norme del Codice, gli artt. 3 e 11, in base ai quali i dati personali considerati, in particolare i numeri di telefonia fissa e mobile e gli indirizzi di posta elettronica, vanno utilizzati e conservati secondo i principi di correttezza, finalita', proporzionalita' e necessita' e, in caso di violazione del Codice, non possono essere piu' utilizzati. Con particolare riferimento alle comunicazioni promozionali effettuate mediante posta elettronica, questa Autorita' evidenzia la necessita' che i provider di posta elettronica assicurino, nel rispetto del principio di neutralita' tecnologica, la mutua autenticazione dei rispettivi server al fine di garantire agli utenti il livello piu' elevato possibile di protezione antispam. Cio', tanto piu' se si considera la dannosita' di fenomeni quali il c.d. phishing, ossia l'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di enti privati (in particolare banche e poste) ed istituzioni, che invitano il destinatario a fornire dati personali, motivando tale richiesta con ragioni di natura tecnica od economica, al fine di perseguire scopi illegali, quali, ad esempio, l'accesso alla password del conto corrente o della carta di credito e poter effettuare operazioni dispositive all'insaputa dell'interessato e pregiudizievoli della sua sfera giuridico-economica. In particolare, occorre che i provider provvedano all'installazione di appositi filtri che consentano, con ragionevole grado di certezza, di riconoscere lo spam, evitando, tuttavia, che tali dispositivi comportino una lesione della riservatezza degli interessati. 2.4 L'obbligo di un'informativa chiara e completa ai sensi dell'art. 13 del Codice. Un imprescindibile obbligo in capo al titolare del trattamento e' quello del previo rilascio ai destinatari delle comunicazioni promozionali dell'informativa disciplinata dall'art. 13 del Codice, al fine di assicurare un'informazione chiara e completa, dunque adeguata, relativamente al trattamento dei loro dati, nonche' un eventuale consenso al medesimo che sia effettivamente consapevole. Pertanto, l'interessato o la persona presso la quale sono raccolti i dati personali deve essere previamente informato oralmente o per iscritto riguardo a una serie di elementi obbligatori e indefettibili. Fra questi, vanno specificate le modalita' che saranno eventualmente utilizzate per il trattamento dati, e in particolare quelle di cui all'art. 130, commi 1 e 2, ossia telefonate automatizzate e modalita' assimilate (quali fax, e-mail, sms, mms), oltre che quelle tradizionali come posta cartacea e telefonate con operatore, nonche' le finalita' del trattamento stesso (ad esempio, ricerca statistica, marketing o profilazione). Peraltro, sulla base dell'applicabilita' di tale norma ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati, si ricorda che, se i dati personali dei destinatari di tali comunicazioni non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, deve essere data al medesimo all'atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione (v. art. 13, comma 4, del Codice). 2.5 L'obbligo del consenso preventivo (c.d. opt-in) Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalita' di marketing e' consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in). Quindi, ai fini della legittimita' della comunicazione promozionale effettuata, non e' lecito, con la medesima, avvisare della possibilita' di opporsi a ulteriori invii, ne' e' lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalita' promozionali. Pertanto, senza il consenso preventivo - come costantemente ribadito dal Garante a partire dal provvedimento generale sullo spamming del 29 maggio 2003 (doc. web n. 29840) - non e' possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque Analogamente, senza il consenso preventivo degli interessati, non e' lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell' "indice nazionale degli indirizzi pec delle imprese e dei professionisti" - di cui al d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 221, che ha introdotto l'apposito art. 6-bis del d.lgs. 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale) - istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonche' lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalita' telematica. E' possibile, invece, contattare telefonicamente mediante operatore (per chiedere al contraente di esprimere un consenso a ricevere comunicazioni promozionali secondo le modalita' di cui all'art. 130, commi 1 e 2) i numeri presenti in elenchi telefonici e non iscritti nel Registro pubblico delle opposizioni (istituito con il decreto-legge 25 settembre 2009, n. 135, convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166), nonche' quelli presenti in elenchi pubblici "con i limiti e le modalita' che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilita' e pubblicita' dei dati", fra i quali "vi e' il vincolo di finalita' in base al quale i dati sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altri trattamenti in termini compatibili con tali scopi (art. 11, comma 1, lett. b) del Codice)": cfr. provvedimento 19 gennaio 2011 (doc. web n. 1784528). Inoltre, va evidenziato, in un'ottica di coerenza sistematica, che il principio del consenso per il trattamento dei dati vige anche nella disciplina sulla protezione dei consumatori nei contratti a distanza secondo la quale l'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore (v. art. 58 d.lgs. n. 206/2005, c.d. Codice del consumo). 2.6 I requisiti di validita' del consenso per la finalita' di invio di comunicazioni promozionali. Il consenso acquisito per la finalita' di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonche' documentato per iscritto (art. 23, comma 3 del Codice) ed e' pertanto necessaria la presenza contestuale di tutti i menzionati requisiti, per ritenere tale trattamento conforme al Codice. Sulla base anche di quanto gia' indicato nel paragrafo 2.4, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati personali (cfr. provvedimento 24 febbraio 2005, punto 7, doc. web n. 1103045) e a tal fine devono ricevere un'adeguata informativa, chiara e completa come sopra specificato. Il consenso del contraente per l'attivita' promozionale deve intendersi libero quando non e' preimpostato e non risulta - anche solo implicitamente in via di fatto - obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento. Esemplificando, non e' libero il consenso prestato quando la societa' condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalita' promozionale. In quest'ottica, il Garante ha gia' espressamente affermato che non puo' definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta (cfr.: provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n.1298709; provv. 15 luglio 2010, doc. web n. 1741998; piu' recentemente, provv. 11 ottobre 2012, doc. web n. 2089777). Analogamente, non e' corretta la predisposizione di moduli in cui la casella (c.d. "check-box") di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag) (v. provv. "Consenso al trattamento in Internet e utilizzo dei dati per finalita' promozionali", 10 maggio 2006, doc. web n. 1298709). Il consenso del contraente deve essere specifico per ciascuna eventuale finalita' perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l'invio di loro comunicazioni promozionali, secondo le indicazioni e i chiarimenti forniti di seguito nel presente provvedimento. 2.6.1 Finalita' del trattamento Quanto alle finalita' del trattamento di dati personali, si ribadisce che il titolare del trattamento deve acquisire un consenso specifico per ciascuna distinta finalita' quali ad esempio: marketing, profilazione, comunicazione a terzi dei dati (cfr. provv. 24 febbraio 2005, punto 7, doc. web n.1103045). Va tuttavia chiarito un aspetto peculiare della finalita' promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, piu' possibili finalita' di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale (nel settore del marketing on line, v. parere n. 4/2010 del Gruppo Art. 29 sul codice di condotta europeo della Fedma per l'utilizzazione dei dati personali nel marketing diretto). Occorre allora chiarire se sia necessario o meno un consenso specifico per ciascuna di esse. Al riguardo, l'Autorita' ritiene che le suddette attivita' sono funzionali, nella maggior parte dei casi, a perseguire un'unica finalita' (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare - sempre di norma - l'acquisizione di un unico consenso (cfr., fra gli altri, anche: provv. 9 marzo 2006, doc. web n. 1252220; provv. 24 maggio 2006, doc. web n. 1298784; provv. 15 novembre 2007, doc. web n. 1466985). Tale orientamento, peraltro, gia' espresso da questa Autorita' in alcuni provvedimenti (cfr., ad esempio, provv. 31 gennaio 2008, doc. web n. 1490553); cfr. anche parere n. 15/2011 del Gruppo Art. 29 sulla definizione di "consenso", secondo cui la necessita' della sua acquisizione deve essere valutata in funzione degli scopi perseguiti o dei destinatari dei dati) mira ad evitare un'eventuale moltiplicazione dei consensi e risulta compatibile con l'art. 2, comma 2, del Codice, che impone l'osservanza anche del principio di semplificazione in relazione alle modalita' previste per l'adempimento degli obblighi da parte dei titolari dei trattamenti. Tale impostazione, peraltro, appare coerente con il principio di finalita' (secondo cui i dati possono essere utilizzati in "altre" operazioni di trattamento in termini "compatibili" con gli scopi originari della raccolta: art. 11, comma 1, lett. b) del Codice). 2.6.2 Consenso per le modalita' di marketing (quelle tradizionali e quelle di cui all'art. 130, commi 1 e 2 del Codice). Al fine di attuare l'esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali, questa Autorita' ritiene che sia parimenti legittimo interpretare la regola della specificita' del consenso rispetto alle modalita' utilizzate per le finalita' di marketing, prevedendo due appositi e distinti consensi rispettivamente per le modalita' tradizionali e per quelle di cui all'art. 130, commi 1 e 2 del Codice, oppure, in alternativa, un unico consenso che comprenda i due tipi di modalita'. In tale ultimo caso, come gia' detto nel paragrafo 2.4 relativo all'obbligo informativo, dovranno essere chiarite le singole modalita' utilizzate per il marketing (modalita' tradizionali e modalita' di cui all'art. 130, commi 1 e 2, del Codice) e, al contempo, dovranno essere osservate alcune misure atte a garantire il diritto alla protezione dei dati personali degli interessati. In particolare: dall'informativa e dalla richiesta di consenso deve risultare che il consenso prestato per l'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130, commi 1 e 2, del Codice, si estende anche alle modalita' tradizionali di contatto eventualmente indicate nell'informativa, come la posta cartacea e/o le chiamate tramite operatore; dall'informativa deve risultare, inoltre, che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per le suddette finalita', effettuato attraverso modalita' automatizzate di contatto, si estende a quelle tradizionali e che comunque resta salva la possibilita' per l'interessato di esercitare tale diritto in parte, ai sensi dell'art. 7, comma 4, lett. b), del Codice, ossia, in tal caso, opponendosi, ad esempio, al solo invio di comunicazioni promozionali effettuato tramite strumenti automatizzati. 2.6.3. Consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing. Nella prassi del Garante, e' stato talora rilevato che i titolari del trattamento, mediante moduli contrattuali cartacei o appositi form on-line, raccolgono un generico consenso al trattamento per le finalita' promozionali proprie e di soggetti terzi ai quali comunicano (e/o talvolta cedono) i dati personali raccolti, senza individuare tali soggetti ne' nell'informativa ne' nella formula di acquisizione del consenso e senza indicarne la categoria economica o merceologica di riferimento. Di seguito, pertanto, questa Autorita' fornisce chiarimenti al riguardo, con riferimento sia alla comunicazione a terzi per finalita' di marketing, considerata in via generale, sia alla particolare ipotesi in cui il soggetto terzo - a cui viene fatta la comunicazione dei dati raccolti per finalita' di marketing - sia una societa' controllata, controllante, o comunque a vario titolo collegata con il soggetto che ha raccolto i dati personali degli interessati. Relativamente alla comunicazione a terzi per finalita' di marketing in generale, va subito rilevato che la comunicazione o cessione a terzi di dati personali per finalita' di marketing non puo' fondarsi sull'acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalita' (cfr., ex multis, provv. 11 ottobre 2012, doc. web n. 2089777; provv. 19 maggio 2011, doc. web n. 1823148; provv. 12 maggio 2011, doc. web n. 1813953; provv. 7 ottobre 2010, doc. web n. 1763037; provv. 15 luglio 2010, doc. web n. 1741998; v. anche Trib. Roma 5 ottobre 2011 n. 19281). Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalita' promozionali deve previamente rilasciare ai medesimi un'idonea informativa, ai sensi dell'art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: "finanza", editoria", "abbigliamento": cfr. lettera d della detta norma). Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonche' distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attivita' promozionale. Qualora l'interessato rilasci il suddetto consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attivita' promozionale con le modalita' automatizzate di cui all'art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalita' promozionale. Si chiarisce che, ai fini del Codice, il terzo o i terzi in questione possono appartenere a categorie economiche o merceologiche anche diverse da quella del titolare del trattamento che provvede alla raccolta dei dati dell'interessato. Peraltro, nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti all'interessato anche gli altri elementi previsti all'art. 13 del Codice relativi al trattamento che verra' da questi svolto, non sara' necessario che i predetti soggetti rilascino agli interessati un'ulteriore informativa in quanto, come specificato all'art. 13, comma 2 del Codice, l'informativa "puo' non comprendere gli elementi gia' noti alla persona che fornisce i dati". Laddove invece la richiesta di consenso non sia accompagnata da un'informativa con tali requisiti, i terzi - ai sensi dell'art. 13, comma 4, del Codice - potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa, che contenga, oltre agli elementi previsti dall'art. 13, comma 1, anche l'origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento ai sensi dell'art. 7, comma 4, lett. b) del Codice. In entrambi i casi, inoltre, i terzi dovranno fornire all'interessato un idoneo recapito - di cui all'art. 130, comma 5 - presso il quale poter esercitare utilmente i diritti di cui all'art. 7 (cfr. provvedimento 7 aprile 2011, doc. web n. 1810207), ed essere assicurata al medesimo la possibilita' di avvalersi, a tal fine, dello stesso canale comunicativo utilizzato per l'invio delle comunicazioni promozionali e comunque di uno strumento quanto piu' possibile agevole, rapido, economico ed efficace (v. al riguardo parere n. 5/2004 del Gruppo Art. 29). Ad esempio, se i terzi intendono inviare e-mail pubblicitarie, devono consentire agli interessati di potersi opporre al trattamento inviando una e-mail a un indirizzo di posta indicato nell'informativa resa ed eventualmente riservato alla gestione delle problematiche sul trattamento dati sottoposte loro da utenti e clienti. Le suddette regole devono applicarsi anche quando i soggetti terzi - ai quali si intenda comunicare (o cedere) i dati raccolti per finalita' di marketing - siano societa' controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati. Quanto al profilo del consenso, va ribadito quanto gia' affermato dall'Autorita', sia pure in altri contesti (cfr. provv. 23 novembre 2006, recante le Linee guida in materia di trattamento di dati personali di lavoratori per finalita' di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, doc. web n. 1364099; provv. 12 maggio 2011, recante le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie, doc. web n. 1813953; v. anche provv. 15 giugno 2011 "Titolarita' del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivita' promozionali", doc. web n. 1821257; cfr. anche provv. 22 febbraio 2007, cit.). In particolare, i soggetti appartenenti al medesimo gruppo societario, al fine di adempiere all'obbligo del consenso, devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti. 2.6.4 Consenso documentato per iscritto E' necessario inoltre che il consenso per la finalita' promozionale sia documentato per iscritto. Va evidenziato che la direttiva 2002/58/CE non stabilisce in modo specifico il metodo per ottenere tale consenso (cfr. considerando 17 della stessa direttiva: "... Il consenso puo' essere fornito secondo qualsiasi modalita' appropriata che consenta all'utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un'apposita casella nel caso di un sito internet."). Ne consegue che gli operatori del settore possono ritenersi liberi di scegliere il metodo che ritengono opportuno nell'ambito della propria liberta' organizzativa. Inoltre, non e' necessario che il consenso acquisito abbia forma scritta, a pena di invalidita' del medesimo, ma e' comunque necessario che il titolare del trattamento adotti misure idonee a darne prova fornendo alcuni elementi tali da poter ritenere acquisito il consenso e circostanziare tale acquisizione. In particolare, e' necessario che risultino documentati, nella modalita' che si ritenga di adottare, la data in cui e' stato reso e gli estremi identificativi di chi lo ha ricevuto, adottando altresi', contestualmente, analoghe procedure idonee a garantire che la volonta' dell'interessato di revocare il suo consenso venga effettivamente rispettata (cfr. provvedimento 30 maggio 2007, doc. web n. 1412598). Appare utile adottare sistemi di verifica della identita' del contraente che si e' registrato ad un sito web perche' interessato a ricevere offerte promozionali. In tal senso, ad esempio, l'invio di una apposita e-mail al suo indirizzo di posta elettronica con la quale si chiede di confermare la propria identita' cliccando su un apposito link. 2.7 L'eccezione del "soft spam" per l'invio di posta elettronica promozionale. L'Autorita' ricorda che per le comunicazioni di cui all'art. 130, commi 1 e 2, non valgono le cause di esonero del consenso di cui all'art. 24 del Codice. Per la sola posta elettronica, tuttavia, puo' ricorrere l'eccezione del c.d. "soft spam", di cui all'art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, puo' non richiedere il consenso dell'interessato. Cio', pero', sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l'interessato, adeguatamente informato, non rifiuti tale uso. 3. Titolarita' del trattamento per lo spam effettuato mediante agenti o altri terzi. In alcune circostanze, l'Autorita' ha rilevato che le comunicazioni promozionali indesiderate vengono inviate non direttamente dall'impresa/societa' promotrice, ma da agenti o altri soggetti terzi. Pertanto, e' necessario chiarire quale fra il soggetto promotore e il terzo debba considerarsi titolare del trattamento ai sensi dell'art. 28 del Codice, con i relativi obblighi. Al riguardo, viene in rilievo il provvedimento generale del 15 giugno 2011 sulla "Titolarita' del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attivita' promozionali" (doc. web n. 1821257) del quale e' opportuno riproporre alcuni argomenti e considerazioni poiche' applicabili anche alle comunicazioni promozionali effettuate con le modalita' di cui all'art. 130, commi 1 e 2. Si ricorda inoltre il parere del Gruppo Art. 29 n. 1/2010, che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE, che, ai fini dell'individuazione della titolarita' concretamente esercitata, occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilita'". Il parere ha evidenziato la necessita' di riconoscere la titolarita' del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla societa' che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresi', del controllo esercitato dalla societa' circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste. Ne consegue che i soggetti esterni dovranno essere designati responsabili del trattamento ai sensi dell'art. 29 del Codice, mentre i singoli operatori quali incaricati ai sensi dell'art. 30. Tale necessita' puo' ben ravvisarsi anche nel caso delle comunicazioni promozionali con le modalita' di cui sopra, essendo irrilevante, ai fini dell'individuazione della titolarita', il tipo di modalita' utilizzata per la comunicazione promozionale. Peraltro, questa Autorita', con il provvedimento del 16 febbraio 2006 (doc. web n. 1242592), in materia di servizi telefonici non richiesti, ha gia' espressamente sottolineato la necessita' che l'eventuale designazione, in qualita' di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra societa' risponda alla realta' effettiva dei rapporti rilevanti in materia di trattamento dei dati. Inoltre, con il provvedimento del 29 aprile 2009 (doc. web n. 1617709), l'Autorita', analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha ritenuto determinante il carattere subordinato di tali soggetti alle istruzioni ed al potere di controllo esercitato dalla societa' appaltante, riconoscendo quest'ultima come unico titolare del trattamento e, appunto in virtu' di tale qualifica, prescrivendole di designare le societa' appaltatrici responsabili del trattamento ai sensi dell'art. 29 del Codice (analogamente, cfr. provvedimento 12 maggio 2011, doc. web n. 1813953, in materia di circolazione dei dati dei clienti in ambito bancario). Alla luce di tali considerazioni e dei criteri indicati, questa Autorita', riguardo allo spam effettuato mediante agenti o altri terzi, ritiene che il soggetto promotore, qualora in concreto abbia un ruolo preminente nel trattamento dei dati dei destinatari, assumendo decisioni relative alle finalita' e modalita' del trattamento, fornendo istruzioni e direttive vincolanti e svolgendo verifiche e controlli sull'attivita' dell'agente, va considerato titolare ai sensi dell'art. 28 del Codice, a prescindere dalla qualificazione contrattuale. Inoltre, il soggetto promotore e' tenuto a nominare responsabile il soggetto agente o altro terzo di cui si avvale per l'attivita' promozionale, salvo che non si tratti di un mero incaricato (persona fisica) che svolga solo operazioni di trattamento sotto la diretta autorita' del promotore e in base alle sue istruzioni. Inoltre, questa Autorita' ravvisa la necessita' che i soggetti promotori pongano in essere misure e procedure idonee a conoscere se l'agente, al quale e' stato affidato il trattamento dati mediante modalita' automatizzate a fini di marketing, eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento, a subagenti o altri terzi, nonche' a verificare e garantire l'osservanza del Codice da parte di questi ultimi. Cio' sia nel caso in cui i promotori siano in concreto qualificabili come titolari del trattamento - in quanto dovranno provvedere a designare i subagenti o altri soggetti terzi coinvolti nella "filiera" del trattamento dei dati come responsabili o incaricati (artt. 29 e 30 del Codice) e saranno chiamati a rispondere delle eventuali violazioni del Codice effettuate da tali soggetti - sia nell'ipotesi in cui i subagenti o i terzi utilizzino proprie banche dati per effettuare le attivita' promozionali, rivestendo in tal modo il ruolo di autonomi titolari. In tale ultima ipotesi, infatti, la misura in questione trova giustificazione nell'esigenza di consentire al promotore, qualora sia destinatario di una istanza ai sensi dell'art. 7 del Codice, di chiarire all'interessato il ruolo effettivamente ricoperto nell'ambito del rapporto intercorrente con i subagenti ed, eventualmente, indirizzarlo al soggetto che nel caso di specie agisce in qualita' di titolare. 4. Invio di fax indesiderati mediante piattaforme di societa' estere Il Garante continua, seppur in misura inferiore al passato, a ricevere numerose segnalazioni con le quali si lamenta la ricezione - talvolta a qualsiasi ora del giorno - di fax o, in assenza del telefax, di tentativi di inoltro di fax. I testi promozionali ricevuti, peraltro, non sempre indicano il titolare del trattamento e i suoi dati di contatto per potersi opporre ad ulteriori invii ne' tantomeno un'informativa adeguata sul trattamento dati. Sulla base di istruttorie anche complesse, l'Autorita' ha rilevato che lo spam via fax che proviene dall'estero solitamente e' inviato da societa' straniere che offrono questo servizio di invio a utenti italiani (imprese, societa',..) e che utilizzano, a tal fine, due distinte reti: la rete Internet, per l'invio dei fax nella tratta compresa tra il fax server sito all'estero ed il fax gateway sito in Italia, e la rete pubblica telefonica italiana per la trasmissione dei fax da parte del fax gateway nella tratta compresa tra lo stesso e il terminale dell'utente. Al riguardo, come gia' chiarito con il sopra citato provvedimento 7 aprile 2011, si segnala che a tale tipo di trattamento dati si applica la disciplina del Codice, dato che, ai sensi dell'art. 5, comma 2, lo stesso e' applicabile a qualsiasi soggetto che "...impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione Europea...". Pertanto, occorre individuare, in relazione alla fattispecie in questione, il soggetto titolare del trattamento con i relativi obblighi. Ebbene, a seconda del caso concreto, e in particolare del ruolo svolto nella scelta dei destinatari delle comunicazioni, nonche' delle modalita' e delle finalita' del trattamento, il titolare sara' individuabile nell'impresa, nella societa', nel soggetto che comunque si avvalga di tali piattaforme proprie di soggetti terzi oppure nel proprietario delle piattaforme se quest'ultimo le utilizza per svolgere attivita' promozionale per se' stesso. In particolare, si ritiene necessario che il titolare predisponga comunque, per ogni messaggio in uscita, un riquadro (template) nel quale sia riportata un'idonea informativa, ferma restando la previa acquisizione del consenso specifico e informato dei destinatari delle suddette comunicazioni promozionali ai sensi degli artt. 23 e 130 e, inoltre, garantisca l'esercizio dei diritti di cui agli artt. 7 ss. in modo rapido, agevole ed efficace. 5. Utilizzo di liste per l'invio di piu' e-mail o sms La finalita' promozionale talora viene perseguita utilizzando liste di e-mail o numerazioni telefoniche per l'invio simultaneo del medesimo messaggio promozionale a molteplici interessati. I soggetti che si avvalgono di tale modalita' per finalita' di marketing devono rispettare principi e norme gia' sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice per ciascuno degli indirizzi di posta trattato. Peraltro, nel caso dell'invio di e-mail, chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini piu' vari, eventualmente anche alimentando ulteriore spam. L'attivita' promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari della promozione. Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione "ccn" (ossia l'inoltro per conoscenza in "copia conoscenza nascosta"), gli indirizzi di posta utilizzati per l'invio della promozione. 6. Nuove forme di spam Il Garante, sempre alla luce del descritto quadro normativo, di seguito intende fornire necessarie indicazioni di carattere generale anche in relazione ad alcune nuove forme e modalita' di spam prive attualmente di un'espressa disciplina normativa, anche al fine di evitare che le grandi potenzialita' di Internet, nonche' piu' in generale della tecnologia, possano in via di fatto consentire un uso indiscriminato e illegittimo dei dati personali. 6.1 Il social spam Il c.d. "social spam" consiste in un insieme di attivita' mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Cio' si inquadra nel problema dell'indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell'ambito dei social network, tanto piu' rispetto a profili di tipo "aperto". Questo impiego si presta alla commercializzazione o ad altri trattamenti dei dati personali a fini di profilazione e marketing da parte di societa' terze che siano partner commerciali delle societa' che gestiscono tali siti oppure che approfittino della disponibilita' di fatto di tali dati in Internet. Inoltre, essendo i social network reti sociali tra persone reali, lo spam in questo caso puo' mirare a catturare l'elenco dei contatti dell'utente mirato per aumentare la portata virale del messaggio. Al riguardo, l'Autorita' anzitutto ricorda che l'agevole rintracciabilita' di dati personali in Internet (quali numeri di telefono o indirizzi di posta elettronica) non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari. Riguardo a tale tipo di spam, si fa presente che i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130. La medesima disciplina e' applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi sempre piu' diffusi tipo Skype, WhatsApp, Viber, Messanger, etc.. Per questi, si ricorda il rischio di proliferazione dello spam dato che, come peraltro indicato nelle relative condizioni di servizio, tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart-phone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l'accesso della societa' che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali. Il rischio di ricevere spam, e in particolare il c.d. "spam mirato", basato sulla profilazione degli utenti, si potrebbe aggravare in considerazione della tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre piu' semplificate che, unificando i profili sui diversi servizi resi dalle medesime piattaforme, consentono di pervenire ad una conoscenza sempre piu' approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni. Se da una parte questa nuova pratica puo' agevolare il rapporto commerciale tra produttore e consumatore, riducendo per il primo i costi di marketing e per il secondo i costi di ricerca del prodotto, tuttavia puo' causare all'interessato che viene profilato a dispetto della sua volonta', oltre alla ricezione dello spam, anche la compressione della sua liberta' di fruizione dei servizi della societa' dell'informazione. Cio' premesso, ferma restando la liceita' dei messaggi a scopo meramente personale, si possono individuare alcune ipotesi sulle quali occorre fornire qualche chiarificazione anche sotto l'aspetto normativo. Una prima ipotesi e' quella in cui l'utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un'impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli e' iscritto. Una seconda e' quella in cui l'utente sia diventato "fan" della pagina di una determinata impresa o societa' oppure si sia iscritto a un "gruppo" di follower di un determinato marchio, personaggio, prodotto o servizio (decidendo cosi' di "seguirne" le relative vicende, novita' o commenti) e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi. Nel primo caso, il trattamento sara' da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall'interessato un consenso preventivo, specifico, libero e documentato ai sensi dell'art. 130, commi 1 e 2, del Codice. Nel secondo caso, l'invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, puo' considerarsi lecita se dal contesto o dalle modalita' di funzionamento del social network, anche sulla base delle informazioni fornite, puo' evincersi in modo inequivocabile che l'interessato abbia in tal modo voluto manifestare anche la volonta' di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l'interessato si cancella dal gruppo, oppure smette di "seguire" quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sara' illecito, con le relative conseguenze sanzionatorie. Cio', ferma comunque restando la possibilita', talora fornita dai social network ai loro utenti, di bloccare l'invio di messaggi da parte di un determinato "contatto" o di segnalare quest'ultimo come spammer. Nell'ipotesi dei "contatti" (i c.d. "amici") dell'utente, dei quali spesso nei social network o nelle comunita' degli iscritti ai servizi di cui sopra, sono visualizzabili numeri di telefono o indirizzi di posta elettronica, l'impresa o societa' che intenda inviare legittimamente messaggi promozionali dovra' aver previamente acquisito, per ciascun "contatto" o "amico", un consenso specifico per l'attivita' promozionale. 6.2 Marketing "virale" Il marketing "virale" e' una modalita' di attivita' promozionale mediante la quale un soggetto promotore sfrutta la capacita' comunicativa di pochi soggetti destinatari diretti delle comunicazioni per trasmettere il messaggio ad un numero elevato di utenti finali. E' un'evoluzione del "passaparola", ma se ne distingue per il fatto che fin dall'inizio emerge la volonta' dei promotori di avviare una campagna promozionale. Come un "virus", la comunicazione contenente l'idea, il prodotto o il servizio, che puo' rivelarsi interessante o conveniente per un utente, viene veicolata da questo ad altri contatti, da questi ad altri e cosi' via. In genere, con la locuzione "marketing virale" si fa riferimento agli utenti di Internet che suggeriscono o raccomandano ad altri l'utilizzo di un determinato prodotto o servizio. Ultimamente, questa tecnica promozionale si sta diffondendo anche per prodotti non strettamente connessi a Internet: veicolo del messaggio resta comunque la comunita' del web, che puo' comunicare in maniera chiara, veloce e gratuita. Per agevolare la diffusione del messaggio, il soggetto promotore offre un incentivo o un bonus o altro bene economico ai destinatari delle comunicazioni che a loro volta, in cambio, si offrano di inoltrare o comunque far conoscere a terzi (talora con e-mail o sms) la comunicazione promozionale ricevuta. Ebbene, tale attivita', quando viene svolta con modalita' automatizzate e per finalita' di marketing, puo' rientrare nello spam se non rispetta principi e norme gia' sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice. Non e' comunque soggetto al Codice il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale, consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati. Il Codice si applica invece al trattamento effettuato da chi inoltri, o comunque comunichi, il messaggio promozionale ricevuto a una molteplicita' di destinatari i cui dati personali (numeri di telefono o indirizzi e-mail) siano stati reperiti su elenchi pubblici o sul web. 7. Le sanzioni Si ricorda che, in relazione alle varie forme di spamming, in caso di accertata violazione delle norme del Codice, questa Autorita' - fatta salva l'eventuale adozione di provvedimenti inibitori o prescrittivi - applica le sanzioni amministrative, quali in particolare quelle previste dagli artt. 161 e 162, comma 2-bis del medesimo Codice, finalizzate ad assicurare l'osservanza dei fondamentali obblighi, rispettivamente, dell'informativa e del consenso. Inoltre, qualora emergano i presupposti di un possibile trattamento illecito di dati personali avente una specifica rilevanza di natura penale, l'Autorita' e' tenuta a denunciare i fatti configurabili come reati perseguibili d'ufficio all'autorita' giudiziaria per l'eventuale applicazione della sanzione penale prevista dall'art. 167 del Codice.