Condividi su

Normative: News Legali

10/12/2013
NEWS - L'Autorità Garante per la protezione dei dati personali (privacy) detta le linee guida in materia di attività promozionali e contrasto allo spam.

A cura dell'Avvocato Tommaso Bagnulo

Con delibera del 4 luglio 2013 (pubblicata in Gazzetta Ufficiale del 26 luglio 2013 n. 174 e consultabile sul sito web del Garante www.garanteprivacy.it), il Garante per la protezione dei dati personali ha deliberato l’adozione di nuove linee guida in materia di attività promozionale e contrasto allo spam. Il fenomeno dello spam è costituito dalle comunicazioni per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (artt. 7, comma 4, lett. b, 130, comma 1 e 140 del Codice della Privacy) effettuate con sistemi automatizzati di chiamata senza operatore (c.d. “telefonate preregistrate”) oppure con modalità assimilate (ad esempio a mezzo e-mail, fax, sms, mms).
Rileva invero l’Autorità che in materia di spamming (ossia l’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari), siano emersi progressivamente profili problematici e nuove forme di spam che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati. Ad esempio, l’Autorità individua il “marketing virale”, ossia comunicazioni promozionali inviate tramite piattaforme tecnologiche di proprietà di soggetti terzi spesso situati all’estero e dunque non agevolmente individuabili; il “marketing mirato”, grazie all’utilizzo di meccanismi di “profilazione” dell’utente, e il c.d. “social spam”, che consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Ulteriore elemento di preoccupazione, rileva sempre l’Autorità, il fatto che sempre più spesso tali forme di attività promozionali invasive coinvolgano anche soggetti minorenni, che non possono che essere dunque soggetti ai quali deve essere assicurata una tutela rafforzata da parte dell’ordinamento giuridico.
L’utilizzo a fini promozionali di strumenti automatizzati o a questi equiparati, in forza delle disposizioni del Codice della Privacy, è consentito solamente con il consenso preventivo del contraente o utente. Quindi, sottolinea l’Autorità, ai fini della legittimità della comunicazione effettuata, non è lecito con la medesima avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con il primo messaggio promozionale, il consenso al trattamento dei dati per finalità promozionali.
Alla luce di quanto sopra, senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque.
Il consenso acquisito per le finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché documentato per iscritto, ed è pertanto necessaria la presenza contestuale di tutti i summenzionati requisiti per poter ritenere tale trattamento conforme alle disposizioni del Codice. Il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l’invio di loro comunicazioni promozionali, secondo le indicazioni e i chiarimenti forniti di seguito nel presente provvedimento.
Coloro i quali ricevano spam, nelle varie forme descritte o comunque in qualsiasi forma che possa caratterizzarsi quale spam, hanno diritto di ricorrere all’Autorità Garante la quale, fatta salva l’eventuale adozione di provvedimenti inibitori o prescrittivi, può applicare le sanzioni amministrative (che nei casi più gravi possono arrivare fino a circa 500.000 euro); mentre le società pur non potendo più chiedere l’intervento formale del Garante per la privacy, possono comunque comunicare eventuali violazioni. È ovviamente fatta salva la possibilità di ricorrere all’Autorità giudiziaria per la tutela civile e/o penale. In ogni modo, qualora emergano presupposti di un possibile trattamento illecito di dati personali avente una specifica rilevanza di natura penale, l’Autorità è tenuta a denunciare i fatti configurabili come reati perseguibili d’ufficio all’Autorità giudiziaria per l’eventuale applicazione della sanzione penale prevista dall’art. 167 del Codice (ossia la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di dati personali, con la reclusione da sei a ventiquattro mesi; in caso il trattamento dei dati personali, peraltro, in violazione delle norme del Codice sia al fine di trarre per sé o per altri un profitto o di recare ad altri un danno, la pena può consistere nella reclusione da uno a tre anni).

Torna alle normative