Garante Privacy: tutto sullo spamming (hard e soft)

Nella Gazzetta Ufficiale del 26 luglio sono stati pubblicati due provvedimenti del Garante Privacy relativi al trattamento dei dati in materia di marketing.

Si tratta delle “Linee guida in materia di attività promozionale e contrasto allo spam” e del documento generale in materia di “marketing diretto”. In sintesi, l’obiettivo del Garante è quello di definire un quadro unitario di misure in materia di attività di marketing, ponendo l’attenzione sui fenomeni dei cd. “social spam”, “marketing virale” e “marketing mirato”.

Per la difesa dallo spamming il Garante ha recentemente pubblicato sul proprio sito una pagina specifica con istruzioni dettagliate.


Vale la pena di riportare un estratto delle regole principali da seguire nell’attività promozionale, proposto dal Garante:

a) il consenso: deve essere (i) preventivo, (ii) libero, (iii) informato, (iv) specifico, (v) documentato per iscritto. È ribadita la necessità del consenso preventivo (cd. opt-in) per i trattamenti effettuati a fini promozionali con strumenti automatizzati o a questi equiparati, anche nelle ipotesi in cui i dati personali siano tratti da registri pubblici, elenchi, siti Internet o documenti conosciuti o conoscibili da chiunque o dall’indice nazionale degli indirizzi pec delle imprese e dei professionisti; mentre resta valida la possibilità di contattare telefonicamente mediante operatore i numeri presenti in elenchi telefonici e non iscritti al Registro pubblico delle opposizioni.

Il consenso non è valido né libero nelle ipotesi in cui la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. Analogamente, non è corretta la predisposizione di moduli in cui la casella di acquisizione del consenso è precompilata con uno specifico simbolo;

b) finalità generali di marketing: è sufficiente un unico consenso per molteplici finalità di marketing (profilazione, marketing, comunicazione a terzi di dati);

c) la cessione dei dati a terzi: la raccolta dei dati per comunicarli o cederli a terzi (siano società controllate, controllanti o a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati), per le loro finalità promozionali, deve essere resa nota agli interessati attraverso un’idonea informativa. Essa deve specificare i terzi o, in alternativa, le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: finanza, economia, abbigliamento). Occorre, inoltre, raccogliere un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale. Ove venga rilasciato il consenso, i terzi potranno effettuare lecitamente attività promozionale con le modalità automatizzate, senza dover acquisire un nuovo consenso per la finalità promozionale, fornendo un recapito per poter esercitare i diritti di cui all’articolo 7 del Codice;

d) il cd. soft spam: resta ammesso il trattamento delle coordinate di posta elettronica fornite dall'interessato al momento dell’acquisto di un prodotto/servizio ai fini di vendita diretta di propri prodotti/servizi analoghi a quelli oggetto della vendita;

e) il cd. social spam: l’agevole rintracciabilità di dati personali in Internet non autorizza l’uso di tali dati per l’invio di comunicazioni promozionali automatizzate, essendo anche in tal caso necessario il consenso dell’interessato. Con riferimento al cd. social spam (attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online) il provvedimento precisa che l’invio di messaggi promozionali agli utenti dei social network, in privato come pubblicamente sulla loro bacheca virtuale, ovvero mediante Skype, WhatsApp, Messanger è sottoposto alla disciplina del Codice.

Ferma restando la liceità dei messaggi personali, si distinguono le seguenti ipotesi:

- l’utente riceve in privato, in bacheca o nel suo indirizzo di posta collegato al profilo social un messaggio promozionale relativo a un prodotto/servizio da un’impresa che ha tratto i dati del destinatario dal profilo del social network al quale egli è iscritto: il trattamento sarà sicuramente illecito in mancanza del preventivo rilascio del consenso (specifico, libero e documentato) del destinatario;

- l’utente diviene fan della pagina di una determinata impresa/società o si iscrive ad un gruppo di follower di un marchio, prodotto, personaggio: l’invio di messaggi dall’impresa a cui fa riferimento la relativa pagina sarà lecito se dal contesto o dalle modalità di funzionamento del social network si evince, in maniera inequivocabile, che l’interessato abbia in tal modo voluto manifestare anche la volontà di ricevere messaggi promozionali. Ciò finché l’interessato non si cancelli dal gruppo, o non smetta di “seguire” il marchio o il personaggio o non si opponga a ulteriori comunicazioni promozionali. Resta in ogni caso ferma la possibilità di bloccare l’invio di messaggi o di segnalare un “contatto” come spammer.

f) il marketing virale: anche detta attività, quando viene svolta con modalità automatizzate e per finalità di marketing, può rientrare nella spam se non rispetta i principi e le norme del Decreto Legislativo 196/2003 (in particolare, gli articoli 3, 11, 13, 23 e 130). Diversamente, non è soggetto al Codice Privacy il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale, consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati.

 

(Garante per la protezione dei dati personali, Provvedimento 4 luglio 2013, n. 330: Linee guida in materia di attività promozionale e contrasto allo spam - pubblicato sulla Gazzetta Ufficiale del 26 luglio 2013, n. 174)

(Garante per la protezione dei dati personali, Provvedimento Generale 15 maggio 2013, n.242: Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto - Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)

Nella Gazzetta Ufficiale del 26 luglio sono stati pubblicati due provvedimenti del Garante Privacy relativi al trattamento dei dati in materia di marketing.

Si tratta delle “Linee guida in materia di attività promozionale e contrasto allo spam” e del documento generale in materia di “marketing diretto”. In sintesi, l’obiettivo del Garante è quello di definire un quadro unitario di misure in materia di attività di marketing, ponendo l’attenzione sui fenomeni dei cd. “social spam”, “marketing virale” e “marketing mirato”.

Per la difesa dallo spamming il Garante ha recentemente pubblicato sul proprio sito una pagina specifica con istruzioni dettagliate.


Vale la pena di riportare un estratto delle regole principali da seguire nell’attività promozionale, proposto dal Garante:

a) il consenso: deve essere (i) preventivo, (ii) libero, (iii) informato, (iv) specifico, (v) documentato per iscritto. È ribadita la necessità del consenso preventivo (cd. opt-in) per i trattamenti effettuati a fini promozionali con strumenti automatizzati o a questi equiparati, anche nelle ipotesi in cui i dati personali siano tratti da registri pubblici, elenchi, siti Internet o documenti conosciuti o conoscibili da chiunque o dall’indice nazionale degli indirizzi pec delle imprese e dei professionisti; mentre resta valida la possibilità di contattare telefonicamente mediante operatore i numeri presenti in elenchi telefonici e non iscritti al Registro pubblico delle opposizioni.

Il consenso non è valido né libero nelle ipotesi in cui la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. Analogamente, non è corretta la predisposizione di moduli in cui la casella di acquisizione del consenso è precompilata con uno specifico simbolo;

b) finalità generali di marketing: è sufficiente un unico consenso per molteplici finalità di marketing (profilazione, marketing, comunicazione a terzi di dati);

c) la cessione dei dati a terzi: la raccolta dei dati per comunicarli o cederli a terzi (siano società controllate, controllanti o a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati), per le loro finalità promozionali, deve essere resa nota agli interessati attraverso un’idonea informativa. Essa deve specificare i terzi o, in alternativa, le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: finanza, economia, abbigliamento). Occorre, inoltre, raccogliere un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale. Ove venga rilasciato il consenso, i terzi potranno effettuare lecitamente attività promozionale con le modalità automatizzate, senza dover acquisire un nuovo consenso per la finalità promozionale, fornendo un recapito per poter esercitare i diritti di cui all’articolo 7 del Codice;

d) il cd. soft spam: resta ammesso il trattamento delle coordinate di posta elettronica fornite dall'interessato al momento dell’acquisto di un prodotto/servizio ai fini di vendita diretta di propri prodotti/servizi analoghi a quelli oggetto della vendita;

e) il cd. social spam: l’agevole rintracciabilità di dati personali in Internet non autorizza l’uso di tali dati per l’invio di comunicazioni promozionali automatizzate, essendo anche in tal caso necessario il consenso dell’interessato. Con riferimento al cd. social spam (attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online) il provvedimento precisa che l’invio di messaggi promozionali agli utenti dei social network, in privato come pubblicamente sulla loro bacheca virtuale, ovvero mediante Skype, WhatsApp, Messanger è sottoposto alla disciplina del Codice.

Ferma restando la liceità dei messaggi personali, si distinguono le seguenti ipotesi:

- l’utente riceve in privato, in bacheca o nel suo indirizzo di posta collegato al profilo social un messaggio promozionale relativo a un prodotto/servizio da un’impresa che ha tratto i dati del destinatario dal profilo del social network al quale egli è iscritto: il trattamento sarà sicuramente illecito in mancanza del preventivo rilascio del consenso (specifico, libero e documentato) del destinatario;

- l’utente diviene fan della pagina di una determinata impresa/società o si iscrive ad un gruppo di follower di un marchio, prodotto, personaggio: l’invio di messaggi dall’impresa a cui fa riferimento la relativa pagina sarà lecito se dal contesto o dalle modalità di funzionamento del social network si evince, in maniera inequivocabile, che l’interessato abbia in tal modo voluto manifestare anche la volontà di ricevere messaggi promozionali. Ciò finché l’interessato non si cancelli dal gruppo, o non smetta di “seguire” il marchio o il personaggio o non si opponga a ulteriori comunicazioni promozionali. Resta in ogni caso ferma la possibilità di bloccare l’invio di messaggi o di segnalare un “contatto” come spammer.

f) il marketing virale: anche detta attività, quando viene svolta con modalità automatizzate e per finalità di marketing, può rientrare nella spam se non rispetta i principi e le norme del Decreto Legislativo 196/2003 (in particolare, gli articoli 3, 11, 13, 23 e 130). Diversamente, non è soggetto al Codice Privacy il trattamento dei dati effettuato da chi, ricevendo una proposta promozionale, la inoltri a sua volta a titolo personale, consigliando il prodotto o il servizio ai propri amici, utilizzando strumenti automatizzati.

 

(Garante per la protezione dei dati personali, Provvedimento 4 luglio 2013, n. 330: Linee guida in materia di attività promozionale e contrasto allo spam - pubblicato sulla Gazzetta Ufficiale del 26 luglio 2013, n. 174)

(Garante per la protezione dei dati personali, Provvedimento Generale 15 maggio 2013, n.242: Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto - Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013)