Nella Gazzetta Ufficiale n. 174 del 26 luglio 2013 sono state pubblicate 2 delibere del Garante per la protezione dei dati personali. La prima, del 15 maggio 2013, riguarda il consenso al trattamento dei dati personali per finalità di marketing diretto attraverso strumenti tradizionali e automatizzati di contatto. La seconda, datata invece 4 luglio, traccia le linee guida in materia di attività promozionale e contrasto allo spam.
In materia di spamming - invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari - il Garante, con il provvedimento generale del 29 maggio 2003, ha dettato Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche , basato sulla normativa al tempo in vigore e, in particolare, sulla legge n. 675/1996. Successivamente é entrato in vigore il Codice che ha abrogato e sostituito la suddetta legge e le altre disposizioni in materia di protezione dei dati personali, ribadendone i principi nel mutato panorama normativo. Ancor più recentemente, a partire dal 2009, sono state effettuate varie modifiche del Codice che hanno inciso peraltro sulla sfera dei soggetti tutelati e sui diritti azionabili dai destinatari dello spam , determinando l'esigenza di intervenire nuovamente sul tema. Proprio tale esigenza ha portato il Garante a dettare delle linee guida in materia. Combattere lo spamming. In particolare, il Garante si è occupato di marketing virale , cioè le comunicazioni promozionali inviate tramite piattaforme tecnologiche di proprietà di soggetti terzi spesso situati all'estero e non agevolmente individuabili, di marketing mirato , grazie all'uso di meccanismi di profilazione dell'utente, e del c.d. social spam , lo spamming attraverso i social network . Inoltre – si osserva - sempre più spesso lo spam coinvolge anche i minori ai quali é doveroso assicurare una tutela rafforzata da parte dell'ordinamento giuridico e, quindi, una particolare attenzione anche da parte di questa Autorità . Filtri per il riconoscimento dello spam. Tra le varie tutele che il Garante prevede c’è la necessità dei provider installare appositi filtri che consentano, con ragionevole grado di certezza, di riconoscere lo spam , evitando, tuttavia, che tali dispositivi comportino una lesione della riservatezza degli interessati . Spam anche sui social network. Per quanto riguarda, in particolare, il social spam , per poter inviare messaggi promozionali agli utenti di Facebook, Twitter o di servizi di messaggistica e Voip, come Skype, Whatsapp, Viber, Messenger ecc., è necessario il consenso specifico del destinatario. In pratica, il fatto che i dati siano accessibili in rete, non vuol dire che possano essere utilizzati liberamente per attività di marketing virale o mirato . Cos’è il marketing virale ? Per marketing virale ci si riferisce agli utenti di Internet che suggeriscono o raccomandano ad altri l'utilizzo di un determinato prodotto o servizio. Ultimamente, questa tecnica promozionale si sta diffondendo anche per prodotti non strettamente connessi a Internet veicolo del messaggio resta comunque la comunità del web , che può comunicare in maniera chiara, veloce e gratuita. e come funziona? Per agevolare la diffusione del messaggio – spiega il Garante - il soggetto promotore offre un incentivo o un bonus o altro bene economico ai destinatari delle comunicazioni che a loro volta, in cambio, si offrano di inoltrare o comunque far conoscere a terzi talora con e-mail o sms la comunicazione promozionale ricevuta . Quando tale attività viene svolta con modalità automatizzate e per finalità di marketing , può rientrare nello spam se non rispettano principi relativi all’informativa e al consenso. A volte non è spam, ma un consiglio. Tuttavia, non é soggetto al Codice il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a titolo personale , consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati. Infine, con riguardo al trattamento svolto per finalità di marketing diretto , è previsto che l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore sia consentito solo con il consenso del contraente o dell'utente consenso, che é da considerarsi validamente prestato solo se espresso liberamente e specificamente, oltre che documentato per iscritto, come sancisce la regola generale di cui all'art. 23 del Codice . Il marketing diretto La delibera del 15 maggio 2013, invece, si occupa del marketing diretto , ossia per quanto riguarda l'invio di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, attraverso il ricorso a strumenti automatizzati di contatto come la posta elettronica, il telefax, i messaggi del tipo mms multimedia messaging service o sms short message service o strumenti di altro tipo. Anche tali attività – viene chiarito - devono essere precedute dall’acquisizione di un valido consenso. e l’acquisizione del consenso. Nel perseguire finalità di marketing diretto tramite modalità automatizzate di contatto, viene acquisito il consenso degli interessati ai sensi del citato art. 130, potendo, tuttavia, effettuare il medesimo trattamento anche mediante modalità tradizionali, come la posta cartacea o le chiamate telefoniche tramite operatore, senza dover richiedere agli stessi interessati un ulteriore consenso, sempreché l'interessato non abbia esercitato nei confronti di un singolo titolare uno specifico diritto di opposizione al trattamento .
Garante per la protezione dei dati personali, delibera 4 luglio 2013 G.U. 26 luglio 2013, numero 174 Linee guida in materia di attività promozionale e contrasto allo spam. Provvedimento numero 330 . IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale Viste la direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e la direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, come modificata dalla direttiva 2009/136/CE Visto il Codice in materia di protezione dei dati personali d.lgs. 30 giugno 2003, numero 196, di seguito Codice Visto il provvedimento generale del 29 maggio 2003 intitolato Spamming. Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche pubblicato sul sito istituzionale www.garanteprivacy.it, doc. web numero 29840 Visto il provvedimento generale del 19 gennaio 2011 recante Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni doc. web numero 1784528 Visto il provvedimento generale del 15 giugno 2011 riguardante la Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali doc. web numero 1821257 Visti i pareri del Gruppo Art. 29 numero 4/1997, numero 5/2004, numero 5/2009, numero 1/2010, numero 4/2010, numero 15/2011 la Raccomandazione numero 2/2001 del medesimo Gruppo su determinati requisiti minimi per la raccolta on-line di dati personali nell'Unione europea, nonché la Risoluzione sull'utilizzo di dati personali per la comunicazione politica adottata dalla 27^ Conferenza internazionale dei garanti della privacy tenutasi a Montreux il 14-16 settembre 2005 doc. web numero 1170546 Visto il Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. numero 201/2011 del 20 settembre 2012 doc. web numero 2094932 Visti gli atti d'ufficio e le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento numero 1/2000 Relatore il dott. Antonello Soro Delibera a ai sensi dell'art. 154, comma 1, lett. h , del Codice di adottare l'unito documento, recante le Linee guida in materia di attività promozionale e contrasto allo spam , che forma parte integrante della presente deliberazione Allegato 1 b ai sensi dell'art. 143, comma 2, del Codice, di trasmettere copia della presente deliberazione, unitamente al menzionato allegato, al Ministero della giustizia - Ufficio leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Allegato 1 LINEE GUIDA IN MATERIA DI ATTIVITÀ PROMOZIONALE E CONTRASTO ALLO SPAM 1. Oggetto e finalità del presente provvedimento generale In materia di spamming invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari , il Garante con il provvedimento generale del 29 maggio 2003, ha dettato Regole per un corretto uso dei sistemi automatizzati e l'invio di comunicazioni elettroniche , basato sulla normativa al tempo in vigore e, in particolare, sulla legge 31 dicembre 1996, numero 675. Successivamente é entrato in vigore il Codice che ha abrogato e sostituito la suddetta legge e le altre disposizioni in materia di protezione dei dati personali, ribadendone i principi nel mutato panorama normativo. Più recentemente, in particolare dal 2009 in poi, sono state effettuate varie modifiche del Codice che hanno inciso peraltro sulla sfera dei soggetti tutelati e sui diritti azionabili dai destinatari dello spam, determinando l'esigenza di intervenire nuovamente sul tema. Va evidenziato che, anche se in misura minore rispetto al passato, continuano a pervenire all'Autorità segnalazioni, reclami e ricorsi relativamente alle tradizionali forme di spam tipizzate dal Codice. Inoltre, sono progressivamente emersi profili problematici e nuove forme di spam, che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati. Fra questi, si segnalano il marketing virale , le comunicazioni promozionali inviate tramite piattaforme tecnologiche di proprietà di soggetti terzi spesso situati all'estero e non agevolmente individuabili, il marketing mirato , grazie all'uso di meccanismi di profilazione dell'utente, e il c.d. social spam . Senza poter trascurare che sempre più spesso lo spam coinvolge anche i minori ai quali é doveroso assicurare una tutela rafforzata da parte dell'ordinamento giuridico e, quindi, una particolare attenzione anche da parte di questa Autorità. Il Garante ravvisa, quindi, la necessità di adottare le presenti linee guida con le seguenti finalità - tenere conto del mutato quadro normativo attualmente vigente in materia, alla luce dell'entrata in vigore del Codice e delle modifiche normative successive, nonché del diritto comunitario direttive 2002/58/UE e 2009/136/UE , con l'ulteriore obiettivo di assicurare l'uniforme applicazione della stessa normativa e l'osservanza del fondamentale principio di certezza del diritto - chiarire alcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali - inquadrare alcune nuove forme di spam, con l'intento di limitare i rischi connessi alle novità tecnologiche, pur nella necessaria consapevolezza del carattere parziale e non risolutivo dello strumento del diritto rispetto a tecnologie in continua evoluzione, peraltro sempre più avanzate e di rapida diffusione. 2. Il mutato quadro normativo in materia di spam 2.1 Ambito oggettivo dello spam Anzitutto occorre definire il fenomeno dello spam che, ai fini del Codice, é costituito dalle comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale v. artt. 7, comma 4, lett. b , 130, comma 1 e 140 del Codice effettuate, in violazione delle norme del Codice, con sistemi automatizzati di chiamata senza operatore c.d. telefonate preregistrate oppure con modalità assimilate alle prime quali e-mail, fax, sms, mms . Ai fini dell'applicazione del Codice, non é necessario un invio massiccio e/o simultaneo a una pluralità di indirizzi o numeri di telefono, poiché siffatta modalità rileva solo eventualmente per qualificare il trattamento come sistematico per la quantificazione delle sanzioni. 2.2 Ambito soggettivo dello spam e le tutele azionabili Considerate le rilevanti novità normative di cui si dirà di seguito, va chiarito anche l'ambito soggettivo delle disposizioni del Codice in materia di spam e quello dei diritti azionabili dai destinatari delle comunicazioni promozionali automatizzate. Mentre le persone fisiche possono esercitare i diritti di cui agli artt. 7 e ss. del Codice al fine di tutelare la propria sfera personale da ingerenze illecite, le persone giuridiche sono, allo stato, sprovviste della possibilità di avvalersi dei medesimi mezzi di tutela. Al riguardo, va infatti considerato l'art. 40, secondo comma, del d.l. del 6 dicembre 2011, numero 201 c.d. decreto salva Italia , convertito con legge del 22 dicembre 2011, numero 214, che ha modificato alcune disposizioni contenute nella parte prima del Codice recante le Disposizioni generali , quali ad esempio l'art. 4 relativo, tra l'altro, alle nozioni di interessato e di dato personale , in particolare eliminando ogni riferimento alle persone giuridiche o assimilate, ossia enti e associazioni ed ha mantenuto il riferimento alle sole persone fisiche. Successivamente, é entrato in vigore anche il d. lgs. 28 maggio 2012, numero 69 a seguito del recepimento della direttiva 2009/136/CE, il quale ha parzialmente modificato alcune disposizioni del capo 1 Servizi di comunicazione elettronica del titolo X Comunicazioni elettroniche del Codice, di diretta derivazione comunitaria poiché emanate in attuazione della direttiva 2002/58/CE, nel cui campo applicativo rientrano le comunicazioni promozionali automatizzate, introducendo la qualifica di contraente - la quale riguarda certamente anche le persone giuridiche - in luogo di quella di abbonato . A seguito delle suddette modifiche normative e delle conseguenti incertezze interpretative, l'Autorità é intervenuta con il provvedimento generale del 20 settembre 2012 doc. web numero 2094932 , sull'applicabilità del Codice alle persone giuridiche, enti e associazioni. Sulla base di quanto affermato in tale provvedimento interpretativo, si evidenzia che le persone giuridiche ed enti assimilati, destinatarie dello spamming - differentemente dalla persone fisiche - dal 6 dicembre 2011 non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non possono essere più interessati . Tuttavia i detti soggetti, in quanto contraenti , si possono avvalere degli ordinari strumenti di tutela forniti dall'ordinamento, quindi, possono esperire presso l'autorità giudiziaria ordinaria rimedi civilistici quali, ad esempio, l'azione inibitoria e/o l'azione di risarcimento del danno oppure, eventualmente qualora ricorrano gli elementi costitutivi dell'art. 167 c.p., anche sporgere denuncia e quindi attivare un procedimento penale con le relative sanzioni. Inoltre, essi possono beneficiare dell'eventuale esercizio dei poteri di iniziativa ex officio - quanto a provvedimenti inibitori, prescrittivi e/o sanzionatori - da parte di questa Autorità, qualora emergano i presupposti di un possibile trattamento illecito di dati. Con particolare riferimento alla posta elettronica, alcune volte può risultare difficile distinguere se un destinatario sia una persona fisica o giuridica. Può essere questo il caso dei dipendenti che lavorano in una determinata società che ha fornito loro indirizzi di posta elettronica aziendale contenenti le loro generalità ad esempio, nome.cognome@società.com . Ebbene - in linea con quanto precisato dal Gruppo Art. 29 con i pareri numero 4/1997 e numero 5/2004 e sulla base dei criteri di contenuto , finalità o risultato ivi enunciati per poter definire alcune informazioni sulle persone giuridiche come concernenti persone fisiche - tali indirizzi vanno considerati indirizzi personali di posta elettronica e i loro rispettivi assegnatari come interessati , con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele. Ciò, fermo restando quanto già stabilito sull'utilizzo della posta elettronica aziendale dai precedenti provvedimenti del Garante in materia di trattamento dei dati dei lavoratori in particolare, cfr. Linee guida del Garante per posta elettronica e Internet del 1º marzo 2007, doc. web numero 1387522 . 2.3 I principi di correttezza, finalità, proporzionalità e necessità del trattamento dati. La neutralità tecnologica. Alle comunicazioni automatizzate sono applicabili, fra le altre norme del Codice, gli artt. 3 e 11, in base ai quali i dati personali considerati, in particolare i numeri di telefonia fissa e mobile e gli indirizzi di posta elettronica, vanno utilizzati e conservati secondo i principi di correttezza, finalità, proporzionalità e necessità e, in caso di violazione del Codice, non possono essere più utilizzati. Con particolare riferimento alle comunicazioni promozionali effettuate mediante posta elettronica, questa Autorità evidenzia la necessità che i provider di posta elettronica assicurino, nel rispetto del principio di neutralità tecnologica, la mutua autenticazione dei rispettivi server al fine di garantire agli utenti il livello più elevato possibile di protezione antispam. Ciò, tanto più se si considera la dannosità di fenomeni quali il c.d. phishing, ossia l'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di enti privati in particolare banche e poste ed istituzioni, che invitano il destinatario a fornire dati personali, motivando tale richiesta con ragioni di natura tecnica od economica, al fine di perseguire scopi illegali, quali, ad esempio, l'accesso alla password del conto corrente o della carta di credito e poter effettuare operazioni dispositive all'insaputa dell'interessato e pregiudizievoli della sua sfera giuridico-economica. In particolare, occorre che i provider provvedano all'installazione di appositi filtri che consentano, con ragionevole grado di certezza, di riconoscere lo spam, evitando, tuttavia, che tali dispositivi comportino una lesione della riservatezza degli interessati. 2.4 L'obbligo di un'informativa chiara e completa ai sensi dell'art. 13 del Codice. Un imprescindibile obbligo in capo al titolare del trattamento é quello del previo rilascio ai destinatari delle comunicazioni promozionali dell'informativa disciplinata dall'art. 13 del Codice, al fine di assicurare un'informazione chiara e completa, dunque adeguata, relativamente al trattamento dei loro dati, nonché un eventuale consenso al medesimo che sia effettivamente consapevole. Pertanto, l'interessato o la persona presso la quale sono raccolti i dati personali deve essere previamente informato oralmente o per iscritto riguardo a una serie di elementi obbligatori e indefettibili. Fra questi, vanno specificate le modalità che saranno eventualmente utilizzate per il trattamento dati, e in particolare quelle di cui all'art. 130, commi 1 e 2, ossia telefonate automatizzate e modalità assimilate quali fax, e-mail, sms, mms , oltre che quelle tradizionali come posta cartacea e telefonate con operatore, nonché le finalità del trattamento stesso ad esempio, ricerca statistica, marketing o profilazione . Peraltro, sulla base dell'applicabilità di tale norma ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati, si ricorda che, se i dati personali dei destinatari di tali comunicazioni non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, deve essere data al medesimo all'atto della registrazione dei dati o, quando é prevista la loro comunicazione, non oltre la prima comunicazione v. art. 13, comma 4, del Codice . 2.5 L'obbligo del consenso preventivo c.d. opt-in Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalità di marketing é consentito solo con il consenso preventivo del contraente o utente c.d. opt-in . Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non é lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né é lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali. Pertanto, senza il consenso preventivo - come costantemente ribadito dal Garante a partire dal provvedimento generale sullo spamming del 29 maggio 2003 doc. web numero 29840 - non é possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque Analogamente, senza il consenso preventivo degli interessati, non é lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell' indice nazionale degli indirizzi pec delle imprese e dei professionisti - di cui al d.l. 18 ottobre 2012, numero 179, convertito con modificazioni dalla l. 17 dicembre 2012, numero 221, che ha introdotto l'apposito art. 6-bis del d.lgs. 7 marzo 2005, numero 82 Codice dell'amministrazione digitale - istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica. É possibile, invece, contattare telefonicamente mediante operatore per chiedere al contraente di esprimere un consenso a ricevere comunicazioni promozionali secondo le modalità di cui all'art. 130, commi 1 e 2 i numeri presenti in elenchi telefonici e non iscritti nel Registro pubblico delle opposizioni istituito con il decreto-legge 25 settembre 2009, numero 135, convertito, con modificazioni, dalla legge 20 novembre 2009, numero 166 , nonché quelli presenti in elenchi pubblici con i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati , fra i quali vi é il vincolo di finalità in base al quale i dati sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altri trattamenti in termini compatibili con tali scopi art. 11, comma 1, lett. b del Codice cfr. provvedimento 19 gennaio 2011 doc. web numero 1784528 . Inoltre, va evidenziato, in un'ottica di coerenza sistematica, che il principio del consenso per il trattamento dei dati vige anche nella disciplina sulla protezione dei consumatori nei contratti a distanza secondo la quale l'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore v. art. 58 d.lgs. numero 206/2005, c.d. Codice del consumo . 2.6 I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali. Il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché documentato per iscritto art. 23, comma 3 del Codice ed é pertanto necessaria la presenza contestuale di tutti i menzionati requisiti, per ritenere tale trattamento conforme al Codice. Sulla base anche di quanto già indicato nel paragrafo 2.4, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati personali cfr. provvedimento 24 febbraio 2005, punto 7, doc. web numero 1103045 e a tal fine devono ricevere un'adeguata informativa, chiara e completa come sopra specificato. Il consenso del contraente per l'attività promozionale deve intendersi libero quando non é preimpostato e non risulta - anche solo implicitamente in via di fatto - obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento. Esemplificando, non é libero il consenso prestato quando la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. In quest'ottica, il Garante ha già espressamente affermato che non può definirsi libero , e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato debba prestare quale condizione per conseguire una prestazione richiesta cfr. provv. 22 febbraio 2007, doc. web numero 1388590 provv. 12 ottobre 2005, doc. web numero 1179604 provv. 3 novembre 2005, doc. web numero 1195215 provv. 10 maggio 2006, doc. web numero 1298709 provv. 15 luglio 2010, doc. web numero 1741998 più recentemente, provv. 11 ottobre 2012, doc. web numero 2089777 . Analogamente, non é corretta la predisposizione di moduli in cui la casella c.d. check-box di acquisizione del consenso risulta pre-compilata con uno specifico simbolo c.d. flag v. provv. Consenso al trattamento in Internet e utilizzo dei dati per finalità promozionali , 10 maggio 2006, doc. web numero 1298709 . Il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l'invio di loro comunicazioni promozionali, secondo le indicazioni e i chiarimenti forniti di seguito nel presente provvedimento. 2.6.1 Finalità del trattamento Quanto alle finalità del trattamento di dati personali, si ribadisce che il titolare del trattamento deve acquisire un consenso specifico per ciascuna distinta finalità quali ad esempio marketing, profilazione, comunicazione a terzi dei dati cfr. provv. 24 febbraio 2005, punto 7, doc. web numero 1103045 . Va tuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b , 130, comma 1 e 140, più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale nel settore del marketing on line, v. parere numero 4/2010 del Gruppo Art. 29 sul codice di condotta europeo della Fedma per l'utilizzazione dei dati personali nel marketing diretto . Occorre allora chiarire se sia necessario o meno un consenso specifico per ciascuna di esse. Al riguardo, l'Autorità ritiene che le suddette attività sono funzionali, nella maggior parte dei casi, a perseguire un'unica finalità lato sensu di marketing, con la conseguenza che il connesso trattamento appare giustificare - sempre di norma - l'acquisizione di un unico consenso cfr., fra gli altri, anche provv. 9 marzo 2006, doc. web numero 1252220 provv. 24 maggio 2006, doc. web numero 1298784 provv. 15 novembre 2007, doc. web numero 1466985 . Tale orientamento, peraltro, già espresso da questa Autorità in alcuni provvedimenti cfr., ad esempio, provv. 31 gennaio 2008, doc. web numero 1490553 cfr. anche parere numero 15/2011 del Gruppo Art. 29 sulla definizione di consenso , secondo cui la necessità della sua acquisizione deve essere valutata in funzione degli scopi perseguiti o dei destinatari dei dati mira ad evitare un'eventuale moltiplicazione dei consensi e risulta compatibile con l'art. 2, comma 2, del Codice, che impone l'osservanza anche del principio di semplificazione in relazione alle modalità previste per l'adempimento degli obblighi da parte dei titolari dei trattamenti. Tale impostazione, peraltro, appare coerente con il principio di finalità secondo cui i dati possono essere utilizzati in altre operazioni di trattamento in termini compatibili con gli scopi originari della raccolta art. 11, comma 1, lett. b del Codice . 2.6.2 Consenso per le modalità di marketing quelle tradizionali e quelle di cui all'art. 130, commi 1 e 2 del Codice . Al fine di attuare l'esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali, questa Autorità ritiene che sia parimenti legittimo interpretare la regola della specificità del consenso rispetto alle modalità utilizzate per le finalità di marketing, prevedendo due appositi e distinti consensi rispettivamente per le modalità tradizionali e per quelle di cui all'art. 130, commi 1 e 2 del Codice, oppure, in alternativa, un unico consenso che comprenda i due tipi di modalità. In tale ultimo caso, come già detto nel paragrafo 2.4 relativo all'obbligo informativo, dovranno essere chiarite le singole modalità utilizzate per il marketing modalità tradizionali e modalità di cui all'art. 130, commi 1 e 2, del Codice e, al contempo, dovranno essere osservate alcune misure atte a garantire il diritto alla protezione dei dati personali degli interessati. In particolare dall'informativa e dalla richiesta di consenso deve risultare che il consenso prestato per l'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130, commi 1 e 2, del Codice, si estende anche alle modalità tradizionali di contatto eventualmente indicate nell'informativa, come la posta cartacea e/o le chiamate tramite operatore dall'informativa deve risultare, inoltre, che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per le suddette finalità, effettuato attraverso modalità automatizzate di contatto, si estende a quelle tradizionali e che comunque resta salva la possibilità per l'interessato di esercitare tale diritto in parte, ai sensi dell'art. 7, comma 4, lett. b , del Codice, ossia, in tal caso, opponendosi, ad esempio, al solo invio di comunicazioni promozionali effettuato tramite strumenti automatizzati. 2.6.3. Consenso specifico per la comunicazione e/o cessione a soggetti terzi a fini di marketing. Nella prassi del Garante, é stato talora rilevato che i titolari del trattamento, mediante moduli contrattuali cartacei o appositi form on-line, raccolgono un generico consenso al trattamento per le finalità promozionali proprie e di soggetti terzi ai quali comunicano e/o talvolta cedono i dati personali raccolti, senza individuare tali soggetti né nell'informativa né nella formula di acquisizione del consenso e senza indicarne la categoria economica o merceologica di riferimento. Di seguito, pertanto, questa Autorità fornisce chiarimenti al riguardo, con riferimento sia alla comunicazione a terzi per finalità di marketing, considerata in via generale, sia alla particolare ipotesi in cui il soggetto terzo - a cui viene fatta la comunicazione dei dati raccolti per finalità di marketing - sia una società controllata, controllante, o comunque a vario titolo collegata con il soggetto che ha raccolto i dati personali degli interessati. Relativamente alla comunicazione a terzi per finalità di marketing in generale, va subito rilevato che la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull'acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità cfr., ex multis, provv. 11 ottobre 2012, doc. web numero 2089777 provv. 19 maggio 2011, doc. web numero 1823148 provv. 12 maggio 2011, doc. web numero 1813953 provv. 7 ottobre 2010, doc. web numero 1763037 provv. 15 luglio 2010, doc. web numero 1741998 v. anche Trib. Roma 5 ottobre 2011 numero 19281 . Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli o cederli a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un'idonea informativa, ai sensi dell'art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie economiche o merceologiche di appartenenza degli stessi ad esempio finanza , editoria , abbigliamento cfr. lettera d della detta norma . Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione e/o cessione a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale. Qualora l'interessato rilasci il suddetto consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all'art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale. Si chiarisce che, ai fini del Codice, il terzo o i terzi in questione possono appartenere a categorie economiche o merceologiche anche diverse da quella del titolare del trattamento che provvede alla raccolta dei dati dell'interessato. Peraltro, nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti all'interessato anche gli altri elementi previsti all'art. 13 del Codice relativi al trattamento che verrà da questi svolto, non sarà necessario che i predetti soggetti rilascino agli interessati un'ulteriore informativa in quanto, come specificato all'art. 13, comma 2 del Codice, l'informativa può non comprendere gli elementi già noti alla persona che fornisce i dati . Laddove invece la richiesta di consenso non sia accompagnata da un'informativa con tali requisiti, i terzi - ai sensi dell'art. 13, comma 4, del Codice - potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa, che contenga, oltre agli elementi previsti dall'art. 13, comma 1, anche l'origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento ai sensi dell'art. 7, comma 4, lett. b del Codice. In entrambi i casi, inoltre, i terzi dovranno fornire all'interessato un idoneo recapito - di cui all'art. 130, comma 5 - presso il quale poter esercitare utilmente i diritti di cui all'art. 7 cfr. provvedimento 7 aprile 2011, doc. web numero 1810207 , ed essere assicurata al medesimo la possibilità di avvalersi, a tal fine, dello stesso canale comunicativo utilizzato per l'invio delle comunicazioni promozionali e comunque di uno strumento quanto più possibile agevole, rapido, economico ed efficace v. al riguardo parere numero 5/2004 del Gruppo Art. 29 . Ad esempio, se i terzi intendono inviare e-mail pubblicitarie, devono consentire agli interessati di potersi opporre al trattamento inviando una e-mail a un indirizzo di posta indicato nell'informativa resa ed eventualmente riservato alla gestione delle problematiche sul trattamento dati sottoposte loro da utenti e clienti. Le suddette regole devono applicarsi anche quando i soggetti terzi - ai quali si intenda comunicare o cedere i dati raccolti per finalità di marketing - siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati. Quanto al profilo del consenso, va ribadito quanto già affermato dall'Autorità, sia pure in altri contesti cfr. provv. 23 novembre 2006, recante le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati, doc. web numero 1364099 provv. 12 maggio 2011, recante le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie, doc. web numero 1813953 v. anche provv. 15 giugno 2011 Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali , doc. web numero 1821257 cfr. anche provv. 22 febbraio 2007, cit. . In particolare, i soggetti appartenenti al medesimo gruppo societario, al fine di adempiere all'obbligo del consenso, devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti. 2.6.4 Consenso documentato per iscritto É necessario inoltre che il consenso per la finalità promozionale sia documentato per iscritto. Va evidenziato che la direttiva 2002/58/CE non stabilisce in modo specifico il metodo per ottenere tale consenso cfr. considerando 17 della stessa direttiva Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all'utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un'apposita casella nel caso di un sito internet. . Ne consegue che gli operatori del settore possono ritenersi liberi di scegliere il metodo che ritengono opportuno nell'ambito della propria libertà organizzativa. Inoltre, non é necessario che il consenso acquisito abbia forma scritta, a pena di invalidità del medesimo, ma é comunque necessario che il titolare del trattamento adotti misure idonee a darne prova fornendo alcuni elementi tali da poter ritenere acquisito il consenso e circostanziare tale acquisizione. In particolare, é necessario che risultino documentati, nella modalità che si ritenga di adottare, la data in cui é stato reso e gli estremi identificativi di chi lo ha ricevuto, adottando altresì, contestualmente, analoghe procedure idonee a garantire che la volontà dell'interessato di revocare il suo consenso venga effettivamente rispettata cfr. provvedimento 30 maggio 2007, doc. web numero 1412598 . Appare utile adottare sistemi di verifica della identità del contraente che si é registrato ad un sito web perché interessato a ricevere offerte promozionali. In tal senso, ad esempio, l'invio di una apposita e-mail al suo indirizzo di posta elettronica con la quale si chiede di confermare la propria identità cliccando su un apposito link. 2.7 L'eccezione del soft spam per l'invio di posta elettronica promozionale. L'Autorità ricorda che per le comunicazioni di cui all'art. 130, commi 1 e 2, non valgono le cause di esonero del consenso di cui all'art. 24 del Codice. Per la sola posta elettronica, tuttavia, può ricorrere l'eccezione del c.d. soft spam , di cui all'art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l'interessato, adeguatamente informato, non rifiuti tale uso. 3. Titolarità del trattamento per lo spam effettuato mediante agenti o altri terzi. In alcune circostanze, l'Autorità ha rilevato che le comunicazioni promozionali indesiderate vengono inviate non direttamente dall'impresa/società promotrice, ma da agenti o altri soggetti terzi. Pertanto, é necessario chiarire quale fra il soggetto promotore e il terzo debba considerarsi titolare del trattamento ai sensi dell'art. 28 del Codice, con i relativi obblighi. Al riguardo, viene in rilievo il provvedimento generale del 15 giugno 2011 sulla Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali doc. web numero 1821257 del quale é opportuno riproporre alcuni argomenti e considerazioni poiché applicabili anche alle comunicazioni promozionali effettuate con le modalità di cui all'art. 130, commi 1 e 2. Si ricorda inoltre il parere del Gruppo Art. 29 numero 1/2010, che ha ulteriormente chiarito, in linea con la direttiva 95/46/CE, che, ai fini dell'individuazione della titolarità concretamente esercitata, occorre esaminare anche elementi extracontrattuali, quali il controllo reale esercitato da una parte, l'immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità . Il parere ha evidenziato la necessità di riconoscere la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla società che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresì, del controllo esercitato dalla società circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste. Ne consegue che i soggetti esterni dovranno essere designati responsabili del trattamento ai sensi dell'art. 29 del Codice, mentre i singoli operatori quali incaricati ai sensi dell'art. 30. Tale necessità può ben ravvisarsi anche nel caso delle comunicazioni promozionali con le modalità di cui sopra, essendo irrilevante, ai fini dell'individuazione della titolarità, il tipo di modalità utilizzata per la comunicazione promozionale. Peraltro, questa Autorità, con il provvedimento del 16 febbraio 2006 doc. web numero 1242592 , in materia di servizi telefonici non richiesti, ha già espressamente sottolineato la necessità che l'eventuale designazione, in qualità di responsabili del trattamento, di rivenditori o agenti incaricati della commercializzazione di prodotti e servizi per conto di altra società risponda alla realtà effettiva dei rapporti rilevanti in materia di trattamento dei dati. Inoltre, con il provvedimento del 29 aprile 2009 doc. web numero 1617709 , l'Autorità, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha ritenuto determinante il carattere subordinato di tali soggetti alle istruzioni ed al potere di controllo esercitato dalla società appaltante, riconoscendo quest'ultima come unico titolare del trattamento e, appunto in virtù di tale qualifica, prescrivendole di designare le società appaltatrici responsabili del trattamento ai sensi dell'art. 29 del Codice analogamente, cfr. provvedimento 12 maggio 2011, doc. web numero 1813953, in materia di circolazione dei dati dei clienti in ambito bancario . Alla luce di tali considerazioni e dei criteri indicati, questa Autorità, riguardo allo spam effettuato mediante agenti o altri terzi, ritiene che il soggetto promotore, qualora in concreto abbia un ruolo preminente nel trattamento dei dati dei destinatari, assumendo decisioni relative alle finalità e modalità del trattamento, fornendo istruzioni e direttive vincolanti e svolgendo verifiche e controlli sull'attività dell'agente, va considerato titolare ai sensi dell'art. 28 del Codice, a prescindere dalla qualificazione contrattuale. Inoltre, il soggetto promotore é tenuto a nominare responsabile il soggetto agente o altro terzo di cui si avvale per l'attività promozionale, salvo che non si tratti di un mero incaricato persona fisica che svolga solo operazioni di trattamento sotto la diretta autorità del promotore e in base alle sue istruzioni. Inoltre, questa Autorità ravvisa la necessità che i soggetti promotori pongano in essere misure e procedure idonee a conoscere se l'agente, al quale é stato affidato il trattamento dati mediante modalità automatizzate a fini di marketing, eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento, a subagenti o altri terzi, nonché a verificare e garantire l'osservanza del Codice da parte di questi ultimi. Ciò sia nel caso in cui i promotori siano in concreto qualificabili come titolari del trattamento - in quanto dovranno provvedere a designare i subagenti o altri soggetti terzi coinvolti nella filiera del trattamento dei dati come responsabili o incaricati artt. 29 e 30 del Codice e saranno chiamati a rispondere delle eventuali violazioni del Codice effettuate da tali soggetti - sia nell'ipotesi in cui i subagenti o i terzi utilizzino proprie banche dati per effettuare le attività promozionali, rivestendo in tal modo il ruolo di autonomi titolari. In tale ultima ipotesi, infatti, la misura in questione trova giustificazione nell'esigenza di consentire al promotore, qualora sia destinatario di una istanza ai sensi dell'art. 7 del Codice, di chiarire all'interessato il ruolo effettivamente ricoperto nell'ambito del rapporto intercorrente con i subagenti ed, eventualmente, indirizzarlo al soggetto che nel caso di specie agisce in qualità di titolare. 4. Invio di fax indesiderati mediante piattaforme di società estere Il Garante continua, seppur in misura inferiore al passato, a ricevere numerose segnalazioni con le quali si lamenta la ricezione - talvolta a qualsiasi ora del giorno - di fax o, in assenza del telefax, di tentativi di inoltro di fax. I testi promozionali ricevuti, peraltro, non sempre indicano il titolare del trattamento e i suoi dati di contatto per potersi opporre ad ulteriori invii né tantomeno un'informativa adeguata sul trattamento dati. Sulla base di istruttorie anche complesse, l'Autorità ha rilevato che lo spam via fax che proviene dall'estero solitamente é inviato da società straniere che offrono questo servizio di invio a utenti italiani imprese, società, e che utilizzano, a tal fine, due distinte reti la rete Internet, per l'invio dei fax nella tratta compresa tra il fax server sito all'estero ed il fax gateway sito in Italia, e la rete pubblica telefonica italiana per la trasmissione dei fax da parte del fax gateway nella tratta compresa tra lo stesso e il terminale dell'utente. Al riguardo, come già chiarito con il sopra citato provvedimento 7 aprile 2011, si segnala che a tale tipo di trattamento dati si applica la disciplina del Codice, dato che, ai sensi dell'art. 5, comma 2, lo stesso é applicabile a qualsiasi soggetto che impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione Europea . Pertanto, occorre individuare, in relazione alla fattispecie in questione, il soggetto titolare del trattamento con i relativi obblighi. Ebbene, a seconda del caso concreto, e in particolare del ruolo svolto nella scelta dei destinatari delle comunicazioni, nonché delle modalità e delle finalità del trattamento, il titolare sarà individuabile nell'impresa, nella società, nel soggetto che comunque si avvalga di tali piattaforme proprie di soggetti terzi oppure nel proprietario delle piattaforme se quest'ultimo le utilizza per svolgere attività promozionale per sé stesso. In particolare, si ritiene necessario che il titolare predisponga comunque, per ogni messaggio in uscita, un riquadro template nel quale sia riportata un'idonea informativa, ferma restando la previa acquisizione del consenso specifico e informato dei destinatari delle suddette comunicazioni promozionali ai sensi degli artt. 23 e 130 e, inoltre, garantisca l'esercizio dei diritti di cui agli artt. 7 ss. in modo rapido, agevole ed efficace. 5. Utilizzo di liste per l'invio di più e-mail o sms La finalità promozionale talora viene perseguita utilizzando liste di e-mail o numerazioni telefoniche per l'invio simultaneo del medesimo messaggio promozionale a molteplici interessati. I soggetti che si avvalgono di tale modalità per finalità di marketing devono rispettare principi e norme già sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice per ciascuno degli indirizzi di posta trattato. Peraltro, nel caso dell'invio di e-mail, chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini più vari, eventualmente anche alimentando ulteriore spam. L'attività promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali quelli relativi agli altri indirizzi di posta a terzi, ossia ai molteplici destinatari della promozione. Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione ccn ossia l'inoltro per conoscenza in copia conoscenza nascosta , gli indirizzi di posta utilizzati per l'invio della promozione. 6. Nuove forme di spam Il Garante, sempre alla luce del descritto quadro normativo, di seguito intende fornire necessarie indicazioni di carattere generale anche in relazione ad alcune nuove forme e modalità di spam prive attualmente di un'espressa disciplina normativa, anche al fine di evitare che le grandi potenzialità di Internet, nonché più in generale della tecnologia, possano in via di fatto consentire un uso indiscriminato e illegittimo dei dati personali. 6.1 Il social spam Il c.d. social spam consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Ciò si inquadra nel problema dell'indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell'ambito dei social network, tanto più rispetto a profili di tipo aperto . Questo impiego si presta alla commercializzazione o ad altri trattamenti dei dati personali a fini di profilazione e marketing da parte di società terze che siano partner commerciali delle società che gestiscono tali siti oppure che approfittino della disponibilità di fatto di tali dati in Internet. Inoltre, essendo i social network reti sociali tra persone reali, lo spam in questo caso può mirare a catturare l'elenco dei contatti dell'utente mirato per aumentare la portata virale del messaggio. Al riguardo, l'Autorità anzitutto ricorda che l'agevole rintracciabilità di dati personali in Internet quali numeri di telefono o indirizzi di posta elettronica non autorizza a poter utilizzare tali dati per inviare comunicazioni promozionali automatizzate senza il consenso dei destinatari. Riguardo a tale tipo di spam, si fa presente che i messaggi promozionali inviati agli utenti dei social network come Facebook , in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti alla disciplina del Codice, e, in particolare, agli artt. 3, 11, 13, 23 e 130. La medesima disciplina é applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messanger, etc Per questi, si ricorda il rischio di proliferazione dello spam dato che, come peraltro indicato nelle relative condizioni di servizio, tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smart-phone e nei tablet quali rubrica, contatti, sms, dati della navigazione internet o l'accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali. Il rischio di ricevere spam, e in particolare il c.d. spam mirato , basato sulla profilazione degli utenti, si potrebbe aggravare in considerazione della tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre più semplificate che, unificando i profili sui diversi servizi resi dalle medesime piattaforme, consentono di pervenire ad una conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni. Se da una parte questa nuova pratica può agevolare il rapporto commerciale tra produttore e consumatore, riducendo per il primo i costi di marketing e per il secondo i costi di ricerca del prodotto, tuttavia può causare all'interessato che viene profilato a dispetto della sua volontà, oltre alla ricezione dello spam, anche la compressione della sua libertà di fruizione dei servizi della società dell'informazione. Ciò premesso, ferma restando la liceità dei messaggi a scopo meramente personale, si possono individuare alcune ipotesi sulle quali occorre fornire qualche chiarificazione anche sotto l'aspetto normativo. Una prima ipotesi é quella in cui l'utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un'impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli é iscritto. Una seconda é quella in cui l'utente sia diventato fan della pagina di una determinata impresa o società oppure si sia iscritto a un gruppo di follower di un determinato marchio, personaggio, prodotto o servizio decidendo così di seguirne le relative vicende, novità o commenti e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi. Nel primo caso, il trattamento sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall'interessato un consenso preventivo, specifico, libero e documentato ai sensi dell'art. 130, commi 1 e 2, del Codice. Nel secondo caso, l'invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l'interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l'interessato si cancella dal gruppo, oppure smette di seguire quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sarà illecito, con le relative conseguenze sanzionatorie. Ciò, ferma comunque restando la possibilità, talora fornita dai social network ai loro utenti, di bloccare l'invio di messaggi da parte di un determinato contatto o di segnalare quest'ultimo come spammer. Nell'ipotesi dei contatti i c.d. amici dell'utente, dei quali spesso nei social network o nelle comunità degli iscritti ai servizi di cui sopra, sono visualizzabili numeri di telefono o indirizzi di posta elettronica, l'impresa o società che intenda inviare legittimamente messaggi promozionali dovrà aver previamente acquisito, per ciascun contatto o amico , un consenso specifico per l'attività promozionale. 6.2 Marketing virale Il marketing virale é una modalità di attività promozionale mediante la quale un soggetto promotore sfrutta la capacità comunicativa di pochi soggetti destinatari diretti delle comunicazioni per trasmettere il messaggio ad un numero elevato di utenti finali. É un'evoluzione del passaparola , ma se ne distingue per il fatto che fin dall'inizio emerge la volontà dei promotori di avviare una campagna promozionale. Come un virus , la comunicazione contenente l'idea, il prodotto o il servizio, che può rivelarsi interessante o conveniente per un utente, viene veicolata da questo ad altri contatti, da questi ad altri e così via. In genere, con la locuzione marketing virale si fa riferimento agli utenti di Internet che suggeriscono o raccomandano ad altri l'utilizzo di un determinato prodotto o servizio. Ultimamente, questa tecnica promozionale si sta diffondendo anche per prodotti non strettamente connessi a Internet veicolo del messaggio resta comunque la comunità del web, che può comunicare in maniera chiara, veloce e gratuita. Per agevolare la diffusione del messaggio, il soggetto promotore offre un incentivo o un bonus o altro bene economico ai destinatari delle comunicazioni che a loro volta, in cambio, si offrano di inoltrare o comunque far conoscere a terzi talora con e-mail o sms la comunicazione promozionale ricevuta. Ebbene, tale attività, quando viene svolta con modalità automatizzate e per finalità di marketing, può rientrare nello spam se non rispetta principi e norme già sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice. Non é comunque soggetto al Codice il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale, consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati. Il Codice si applica invece al trattamento effettuato da chi inoltri, o comunque comunichi, il messaggio promozionale ricevuto a una molteplicità di destinatari i cui dati personali numeri di telefono o indirizzi e-mail siano stati reperiti su elenchi pubblici o sul web. 7. Le sanzioni Si ricorda che, in relazione alle varie forme di spamming, in caso di accertata violazione delle norme del Codice, questa Autorità - fatta salva l'eventuale adozione di provvedimenti inibitori o prescrittivi - applica le sanzioni amministrative, quali in particolare quelle previste dagli artt. 161 e 162, comma 2-bis del medesimo Codice, finalizzate ad assicurare l'osservanza dei fondamentali obblighi, rispettivamente, dell'informativa e del consenso. Inoltre, qualora emergano i presupposti di un possibile trattamento illecito di dati personali avente una specifica rilevanza di natura penale, l'Autorità é tenuta a denunciare i fatti configurabili come reati perseguibili d'ufficio all'autorità giudiziaria per l'eventuale applicazione della sanzione penale prevista dall'art. 167 del Codice.
Garante per la protezione dei dati personali, delibera 15 maggio 2013 G.U. 26 luglio 2013, n. 174 Consenso al trattamento dei dati personali per finalità di marketing diretto attraverso strumenti tradizionali e automatizzati di contatto. Provvedimento n. 242 . IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale Visto il Codice in materia di protezione dei dati personali d.lgs. 30 giugno 2003, n. 196, di seguito Codice ed, in particolare, gli artt. 23 e 130, commi 1 e 2 Vista la direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati Vista la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche come da ultimo modificata dalla direttiva 2009/136/CE del 25 novembre 2009 Visto l'art. 20-bis Adeguamento alla normativa comunitaria in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, di cui alla direttiva 2002/58/CE del decreto-legge 25 settembre 2009, n. 135, convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166 Visto il decreto del Presidente della Repubblica del 7 settembre 2010, n. 178, Regolamento recante istituzione e gestione del Registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali Visto l'art. 6 Ulteriori riduzioni e semplificazioni degli adempimenti burocratici del decreto-legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 Visto il decreto legislativo 28 maggio 2012, n. 69 Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento CE n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori Visto l'art. 8 Obblighi di informazione per la comunicazione commerciale del decreto legislativo 9 aprile 2003, n. 70 di recepimento della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione, in particolare il commercio elettronico, nel mercato interno richiamato nell'art. 130, comma 1, del Codice, a seguito delle modifiche legislative apportate alla norma dal citato decreto legislativo 28 maggio 2012, n. 69 Visto l'art. 58 Limiti all'impiego di talune tecniche di comunicazione a distanza del decreto legislativo 6 settembre 2005, n. 206, recante il Codice del Consumo Visto il provvedimento del Garante del 19 giugno 2008 recante Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili pubblicato in G.U. n. 152 del 1° luglio 2008, ed anche sul sito istituzionale www.garanteprivacy.it, doc. web n. 1526724 Visto il provvedimento del Garante del 19 gennaio 2011, recante Prescrizioni per il trattamento di dati personali per finalità di marketing mediante l'impiego del telefono con operatore, a seguito dell'istituzione del registro pubblico delle opposizioni pubblicato in G.U. n. 24 del 31 gennaio 2011, doc. web n. 1784528 Vista la documentazione in atti Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000 del 28 giugno 2000 Relatore dott. Antonello Soro Premesso Il presente provvedimento intende evidenziare la linea interpretativa delineata dall'Autorità con riguardo all'art. 130, commi 1 e 2, del Codice, anche in relazione alla norma di cui all'art. 23, rispetto ai trattamenti dei dati personali svolti per finalità di cosiddetto marketing diretto, ossia per l'invio di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, attraverso il ricorso a strumenti automatizzati di contatto come la posta elettronica, il telefax, i messaggi del tipo mms multimedia messaging service o sms short message service o strumenti di altro tipo. Tale provvedimento non riguarda i trattamenti svolti per finalità di marketing mediante l'impiego del telefono con operatore, previo utilizzo dei dati personali tratti dagli elenchi degli abbonati che la legge definisce oggi contraenti ai servizi di telefonia, per i quali vige la disciplina relativa al Registro pubblico delle opposizioni. Il provvedimento deriva da un'attività, avviata dal Garante ai sensi dell'art. 154, comma 1, lett. a , del Codice, al fine di verificare la liceità e correttezza dei trattamenti effettuati dai maggiori operatori nazionali di telefonia, con riguardo ai dati personali dei clienti, acquisiti sulla base del consenso manifestato al momento della sottoscrizione di un contratto di abbonamento o dell'attivazione di una linea prepagata. Nell'ambito di tale attività, all'Autorità sono inoltre pervenute segnalazioni che hanno evidenziato una serie di problematiche in merito alla formulazione, nella modulistica adottata dagli operatori, dei diversi consensi da richiedere all'interessato in base alla normativa sulla protezione dei dati personali, rispetto ai differenti trattamenti effettuati dal titolare, nonché al ricorso a modalità automatizzate per l'invio di comunicazioni commerciali e di materiale pubblicitario. Con riguardo a tali problematiche particolare rilievo ha assunto quella relativa alla manifestazione di uno specifico consenso rispetto all'utilizzo di strumenti automatizzati di contatto per finalità di cosiddetto marketing diretto, stante il dettato dell'art. 130, commi 1 e 2, del Codice. In particolare, al Garante sono state prospettate alcune criticità relativamente alla richiesta del suddetto consenso al soggetto interessato ed é stata proposta dagli operatori un'interpretazione del citato art. 130, commi 1 e 2, anche rispetto all'art. 23 del Codice, in una nuova prospettiva legata, peraltro, ad una chiara esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali. 1. Il quadro normativo di riferimento. Come é noto, la manifestazione del consenso da parte del soggetto interessato costituisce uno dei principi cardine del trattamento dei dati personali nel settore privato ai sensi del citato art. 23 del Codice. Sulla base di tale norma, l'Autorità ha sempre evidenziato come tale requisito debba essere inteso in termini selettivi, ovvero nel senso della necessità di un consenso specifico per ogni finalità perseguita dal titolare del trattamento, distinguendo, ad esempio, tra profilazione e marketing, anche nel rispetto dei principi sanciti dall'art. 11 del Codice. Con riguardo al trattamento svolto per finalità di marketing diretto , il menzionato art. 130 del Codice, al comma 1, prevede poi che l'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore sia consentito solo con il consenso del contraente o dell'utente consenso, che, anche in tal caso, é da considerarsi validamente prestato solo se espresso liberamente e specificamente, oltre che documentato per iscritto, come sancisce la regola generale di cui all'art. 23 del Codice. Tale previsione si applica anche, come dispone il comma 2 dell'art. 130, alle comunicazioni elettroniche effettuate, per le medesime finalità, mediante posta elettronica, telefax, messaggi del tipo mms o sms o strumenti di altro tipo. Del resto, il citato art. 130, inserito nel titolo X del Codice Comunicazioni elettroniche al Capo I relativo ai Servizi di comunicazione elettronica , costituisce una norma speciale di diretta derivazione comunitaria, ricollegandosi all'art. 13, comma 1, della direttiva 2002/58/CE cd. direttiva e-privacy il quale dispone espressamente che l'uso di sistemi automatizzati di chiamata senza intervento di un operatore dispositivi automatici di chiamata , del telefax o della posta elettronica a fini di commercializzazione diretta é consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso . La ratio della norma risiede infatti, come emerge anche dal considerando n. 40 della citata direttiva, nell'opportunità di prevedere misure volte a tutelare gli interessati da interferenze nella vita privata attraverso forme di comunicazione commerciale particolarmente invasive, nonché onerose per i destinatari, per le quali é giustificato prevedere il previo consenso esplicito di questi ultimi. Pertanto, é proprio sulla base di tali valutazioni che il legislatore nazionale ha previsto la disposizione di cui al citato art. 130, commi 1 e 2, includendovi, peraltro, rispetto al menzionato art. 13 della direttiva, i messaggi del tipo sms e mms. 2. La posizione degli operatori telefonici. L'interpretazione e la relazione tra le menzionate norme del Codice é stata individuata, dagli operatori telefonici, nel senso di escludere la necessità di acquisire il consenso specifico del soggetto interessato, che abbia già prestato il consenso richiesto ai sensi dell'art. 23 per il trattamento effettuato dal titolare per finalità di marketing diretto , quando si ricorra alle modalità automatizzate indicate dall'art. 130, commi 1 e 2. Le argomentazioni proposte in tale ambito sono state oggetto di approfondita analisi da parte del Garante, tenuto conto, da un lato, dell'orientamento dell'Autorità con riguardo ai presupposti ed alle caratteristiche del consenso, e dall'altro, del fatto che il tema di un'univoca manifestazione di volontà quando per finalità di marketing diretto si utilizzino, oltre a sistemi tradizionali di contatto, anche i sistemi automatizzati richiamati dal citato art. 130 del Codice, non investe solo il settore della telefonia, ma molti altri settori privati, quali, ad esempio, quello bancario o quello assicurativo, assumendo, quindi, una connotazione ben più vasta di quella che ha originato l'intervento dell'Autorità. Secondo l'interpretazione prospettata all'Autorità dagli operatori telefonici, l'art. 130, comma 1, del Codice, richiamato dal successivo comma 2, si limiterebbe a subordinare l'utilizzo di sistemi automatizzati di contatto per le finalità indicate dalla norma, all'acquisizione del consenso dell'interessato senza richiedere che tale consenso debba essere espresso in forma separata in riferimento alla tecnica di effettuazione della comunicazione. Ciò in quanto la finalità che connota il trattamento non muta sia che si utilizzino modalità tradizionali di contatto, come la posta cartacea o le chiamate con intervento dell'operatore, sia che si utilizzino modalità automatizzate, con la conseguenza che il consenso dovrebbe essere espresso specificamente solo rispetto alle finalità del trattamento, come previsto dall'art. 23 del Codice e non in ragione del canale comunicativo utilizzato dal titolare. In questo quadro, sono state rappresentate all'Autorità anche le criticità legate alle procedure organizzative ed alle tecniche di documentazione e gestione dei consensi, con particolare riguardo all'esigenza di semplificazione degli adempimenti che i titolari del trattamento sono chiamati a porre in essere. L'acquisizione di uno specifico consenso per finalità di marketing diretto , realizzate attraverso il ricorso a modalità automatizzate di contatto, é stata peraltro prospettata anche come una sovrapposizione di adempimenti rispetto a quelli pure disposti da altre discipline, in particolare dall'art. 58 del Codice del Consumo. Pertanto, stante quanto già previsto dall'art. 23 del Codice rispetto ai requisiti che il consenso al trattamento dei dati personali deve necessariamente rivestire, sarebbe sufficiente, secondo la tesi sopra richiamata, richiedere un unico consenso al soggetto interessato anche quando, per finalità di marketing diretto , il titolare faccia ricorso alle modalità automatizzate di comunicazione di cui all'art. 130, commi 1 e 2, del Codice. 3. La posizione del Garante. La lettura del citato art. 130, commi 1 e 2, sopra delineata, non tiene conto dello specifico significato della norma, la quale si inserisce nell'impianto codicistico come disposizione speciale rispetto alle più generali previsioni del citato art. 23 del Codice, garantendo all'interessato, proprio in presenza di forme di comunicazione commerciale particolarmente invasive ed onerose, la possibilità di controllo dell'utilizzo dei propri dati personali, attraverso l'espressione consapevole e specifica del consenso. Tuttavia, il Garante ha inteso comunque ricercare, nello spirito del Codice, una soluzione interpretativa che, tenendo conto della struttura normativa vigente e della portata delle specifiche disposizioni di cui al citato art. 130, consideri tutti gli interessi rappresentati. Ciò avuto in particolare riguardo ai principi di semplificazione, armonizzazione ed efficacia che l'art. 2, comma 2, del Codice, nell'ottica di un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone, richiama espressamente rispetto alle modalità previste per l'adempimento degli obblighi del titolare del trattamento, come per l'esercizio dei diritti dell'interessato. Del resto, profili di semplificazione, da intendersi come snellimento di alcuni adempimenti nell'ambito di un corretto trattamento dei dati personali, nell'ottica di una sostanziale coesione tra i diversi interessi dei soggetti coinvolti, emergono anche nell'attuale ambito europeo. L'esigenza di garantire alle persone il controllo effettivo delle proprie informazioni personali, coniugandolo con le nuove istanze di semplificazione del contesto normativo, in particolare riducendo sensibilmente la burocrazia ed eliminando una serie di formalità, emerge infatti chiaramente dalla Comunicazione della Commissione europea del 25 gennaio 2012 al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni Salvaguardare la privacy in un mondo interconnesso. Un quadro europeo della protezione dei dati per il XXI secolo . Peraltro, la necessità di eliminare inutili appesantimenti burocratici e di aggiornare il quadro dispositivo, attraverso il ricorso a criteri di semplificazione, era già stata ampiamente evidenziata nella precedente Comunicazione della Commissione europea del 25 giugno 2008, nel contesto dell'analisi delle politiche europee verso le piccole e medie imprese Una corsia preferenziale per la piccola impresa. Alla ricerca di un nuovo quadro fondamentale per la Piccola impresa un Small Business Act per l'Europa . Un'esigenza di semplificazione degli adempimenti correlata alla necessità di salvaguardare i diritti dell'interessato, si delinea anche nella previsione di cui al comma 4 dell'art. 130 del Codice con riguardo all'ipotesi di cosiddetto soft-spam. Analoghi criteri di semplificazione sono stati inoltre adottati con riguardo all'invio di posta cartacea, a fini di vendita diretta alla clientela di prodotti e servizi analoghi, con il citato provvedimento generale del Garante del 19 giugno 2008. Anche le recenti modifiche normative si veda il citato art. 20-bis del decreto-legge 25 settembre 2009, n. 135, convertito dalla legge 20 novembre 2009, n. 166, che ha novellato l'art. 130 del Codice hanno previsto, con riguardo all'attività di marketing diretto mediante l'impiego del telefono con operatore, l'applicazione di un regime di cd. opt-out, consentendo, senza il consenso preventivo del soggetto interessato, il trattamento dei dati personali pubblicati negli elenchi di abbonati ai servizi di telefonia, salvo il diritto di opposizione dell'interessato stesso, attraverso l'iscrizione all'apposito Registro pubblico delle opposizioni. Del resto, il passaggio da un regime di opt-in al regime di opt-out é stato previsto anche per il marketing postale come emerge dal citato art. 6 del decreto-legge 13 maggio 2011, n. 70, convertito dalla legge 12 luglio 2011, n. 106, che ha ulteriormente modificato l'art. 130 del Codice , rispetto al quale, tuttavia, non é stato ancora istituito l'apposito Registro pubblico delle opposizioni. In un quadro così delineato, considerato, altresì, che esigenze di semplificazione coinvolgono vasti ambiti del settore privato, oltre quello della telefonia, é possibile individuare, in un'ottica di contemperamento dei diversi interessi coinvolti, una diversa configurazione del consenso da richiedere all'interessato nel caso di ricorso, per finalità di marketing diretto , a modalità automatizzate di contatto. Pertanto, nel rispetto del dettato normativo di cui al citato art. 130, commi 1 e 2, del Codice, l'Autorità intende evidenziarne una più ampia portata applicativa, tenendo conto che la specificità del consenso - che costituisce regola generale per tutti i trattamenti che si basano su tale requisito - deve essere valutata nella considerazione di tutti gli interessi implicati nei trattamenti stessi, ma soprattutto nello spirito di agevolare, semplificando, non solo gli adempimenti del titolare, ma anche l'esercizio dei diritti dell'interessato. Nel ribadire che l'art. 130, commi 1 e 2, del Codice garantisce, proprio in presenza di tecniche di comunicazione commerciale massive ed incontrollate, quali quelle che si svolgono con modalità automatizzate, la tutela dell'interessato attraverso la manifestazione di una specifica accettazione del trattamento effettuato con tali modalità, l'Autorità ritiene che la richiesta del consenso, proprio sulla base di questa apposita disposizione, possa già presupporre il consenso previsto dall'art. 23 rispetto alle finalità che l'art. 130 specificamente richiama. Tale ultima disposizione, in quanto volta a disciplinare ipotesi di trattamento caratterizzate, oltre che dalle finalità richiamate al comma 1, anche dalle particolari modalità indicate al comma 2, poiché connotate da una particolare invasività nella vita privata degli interessati, può infatti essere letta, in ragione di tale elemento aggiuntivo, nel senso di ricomprendere logicamente in sé la norma di cui all'art. 23 del Codice, la quale si limita a definire, in termini generali, le caratteristiche del consenso posto alla base dei trattamenti svolti in ambito privatistico. Conseguentemente, sulla base di tale interpretazione, nella richiamata ottica di contemperamento degli interessi coinvolti e di valorizzazione del principio di semplificazione di cui al citato art. 2, comma 2, del Codice, l'interessato che esprime il proprio consenso, sulla base del menzionato art. 130, commi 1 e 2, del Codice, relativamente al trattamento svolto per le precipue finalità indicate dalla norma e con le specifiche modalità automatizzate ivi richiamate, acconsente anche alla ricezione di comunicazioni a carattere promozionale inviate attraverso modalità tradizionali di contatto meno invasive, come la posta cartacea e le chiamate telefoniche con operatore. Peraltro, a fronte dell'interpretazione sopra delineata, resta sempre ferma, da un lato, la possibilità per l'interessato di non conferire il consenso al trattamento dei propri dati personali ai sensi del citato art. 130, commi 1 e 2, del Codice, assenza di consenso che si estende anche alla ricezione di comunicazioni commerciali effettuate attraverso modalità tradizionali di contatto e, dall'altro, la possibilità per il titolare del trattamento, che intenda ottenere un maggior numero di riscontri positivi, di richiedere consensi differenziati ai sensi dell'art. 130, commi 1 e 2, e dell'art. 23 del Codice. Alla luce di tali considerazioni, anche il diritto di opposizione dell'interessato al trattamento dei propri dati personali per finalità di marketing diretto con modalità automatizzate di contatto, dovrà ritenersi esteso alla ricezione di comunicazioni promozionali effettuate attraverso modalità tradizionali e ciò anche nel caso in cui i dati risultino presenti negli elenchi abbonati e lo stesso non abbia iscritto la propria utenza telefonica al Registro pubblico delle opposizioni. Va altresì specificato che la linea interpretativa indicata dall'Autorità non deve in alcun modo determinare una riduzione delle garanzie di libertà ed autodeterminazione dell'interessato. Resta salva pertanto per l'interessato la possibilità, da rendersi esercitabile in maniera agevole e gratuitamente, di comunicare al titolare del trattamento l'eventuale volontà di ricevere comunicazioni per finalità di marketing diretto esclusivamente attraverso le modalità tradizionali di contatto, quali la posta cartacea o le chiamate tramite operatore. Tale possibilità deve infatti ritenersi ricompresa nei diritti dell'interessato quale espressione della menzionata capacità di autodeterminazione informativa e, in particolare, come manifestazione del diritto di opporsi anche in parte all'utilizzo delle informazioni personali, come prevede espressamente l'art. 7, comma 4, del Codice. In un quadro così delineato l'Autorità ritiene pertanto opportuno prescrivere ai titolari del trattamento, ai sensi degli artt. 143, comma 1, lett. b , e 154, comma 1, lett. c , del Codice, idonei accorgimenti al fine di garantire un equo contemperamento dei diritti dell'interessato con le esigenze di semplificazione degli adempimenti connessi al trattamento dei dati personali emersi in sede di applicazione della disciplina. Pertanto, dall'informativa rilasciata dal titolare ai sensi dell'art. 13 del Codice e dalla richiesta di consenso dovrà risultare chiaro che, con riguardo ai trattamenti svolti per finalità di marketing diretto , il consenso dell'interessato acquisito ai sensi dell'art. 130, commi 1 e 2, del Codice, riguarda le modalità di comunicazione non solo automatizzate, ma anche tradizionali. Dall'informativa dovrà altresì emergere che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per le suddette finalità attraverso modalità automatizzate di contatto si estende all'invio di comunicazioni promozionali con modalità tradizionali, salvo, anche in tale ipotesi, il diritto per l'interessato di opporsi in parte al trattamento, così come previsto dall'art. 7, comma 4, del Codice. Inoltre, con riguardo alla riconosciuta possibilità per l'interessato di esprimere la propria volontà di ricevere comunicazioni commerciali e promozionali esclusivamente attraverso modalità tradizionali di contatto, spetterà al titolare del trattamento richiamarla espressamente nell'informativa e rendere tale volontà esercitabile in maniera agevole e gratuitamente. Un richiamo alla volontà sopra evidenziata dovrà essere contenuto in un'informativa da rilasciarsi anche a tutti i soggetti che abbiano prestato un unico consenso per finalità di marketing diretto attraverso il ricorso a comunicazioni sia automatizzate sia tradizionali, alla prima occasione utile, eventualmente mediante le ordinarie modalità di contatto per scopi endocontrattuali. Specifici obblighi di informazione rispetto alle comunicazioni commerciali che costituiscono un servizio della società dell'informazione o ne sono parte integrante sono del resto previsti anche dall'art. 8 del d.lgs. n. 70 del 2003, espressamente richiamato, a seguito delle ultime modifiche normative, al primo comma del menzionato art. 130 del Codice. Tutto ciò premesso, il Garante 1 evidenzia, ai sensi dell'art. 154, comma 1, lett. h , del Codice, che, sulla base della linea interpretativa delineata in motivazione con riguardo all'art. 130, commi 1 e 2, del Codice, tutti i titolari del trattamento in ambito privato i quali, nel perseguire finalità di marketing diretto tramite modalità automatizzate di contatto, acquisiscono il consenso degli interessati ai sensi del citato art. 130, possano effettuare il medesimo trattamento anche mediante modalità tradizionali, come la posta cartacea o le chiamate telefoniche tramite operatore, senza dover richiedere agli stessi interessati un ulteriore consenso, sempreché l'interessato non abbia esercitato nei confronti di un singolo titolare uno specifico diritto di opposizione al trattamento 2 prescrive, ai sensi degli artt. 143, comma 1, lett. b , e 154, comma 1, lett. c , del Codice, ai suindicati titolari del trattamento che a dall'informativa e dalla richiesta di consenso risulti che il consenso prestato per l'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130, commi 1 e 2, del Codice, implica la ricezione di tali comunicazioni, non solo attraverso modalità automatizzate di contatto, ma anche attraverso modalità tradizionali, come la posta cartacea o le chiamate tramite operatore b dall'informativa risulti che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per finalità di marketing diretto attraverso modalità automatizzate di contatto, si estende a quelle tradizionali e che, anche in tal caso, resta salva la possibilità di esercitare tale diritto in parte, così come previsto dall'art. 7, comma 4, del Codice c dall'informativa risulti, altresì, la possibilità per l'interessato, il quale non intenda prestare il consenso nei termini sopra indicati, di manifestare l'eventuale volontà di ricevere comunicazioni per le suddette finalità esclusivamente attraverso modalità tradizionali di contatto, ove previste d tale volontà sia resa esercitabile in maniera agevole e gratuitamente ai sensi del citato art. 7, comma 4, del Codice 3 prescrive, ai sensi degli artt. 143, comma 1, lett. b , e 154, comma 1, lett. c , del Codice, ai titolari del trattamento che hanno raccolto un unico consenso per finalità di marketing diretto attraverso il ricorso a comunicazioni sia automatizzate che tradizionali di inserire un analogo richiamo alla suddetta volontà in una informativa da rendere alla prima occasione utile, eventualmente mediante le ordinarie modalità di contatto per scopi endocontrattuali 4 dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.