La Tutela Della Privacy Nelle Attività Di Marketing e Promozionali

La tutela della
privacy nelle
attività di
marketing e
promozionali
Stefano Bendandi
Sommario
Licenza....................................................................................................................1
Note sull'autore......................................................................................................1
Avvertenze...............................................................................................................1
Premessa..............................................................................................3
Capitolo 1..............................................................................................5
La raccolta ed il trattamento dei dati....................................................................5
L'informativa............................................................................................................6
Il consenso..............................................................................................................6
Le ipotesi di trattamento senza consenso..............................................................7
I diritti degli interessati e le modalità di esercizio....................................................9
Capitolo 2............................................................................................11
Le comunicazioni elettroniche indesiderate.....................................................11
La necessità del consenso specifico....................................................................11
Le comunicazioni mediante posta elettronica.......................................................12
Le comunicazioni mediante SMS ed MMS...........................................................14
Le comunicazioni mediante fax.............................................................................14
Il marketing telefonico o teleselling.......................................................................15
La deroga nel marketing telefonico prevista dalla legge 14/2009..................................15
La comunicazione di servizi e prodotti analoghi...................................................17
Il marketing di prossimità ed il bluetooth advertising.....................................18
L'acquisto di banche dati e le comunicazioni per conto di terzi....................19
Capitolo 3............................................................................................21
Il marketing comportamentale............................................................................21
L'analisi dei dati raccolti online.............................................................................21
Le carte fedeltà.....................................................................................................22
Capitolo 4............................................................................................25
Il marketing geografico........................................................................................25
I servizi basati sulla localizzazione....................................................................25
Appendice normativa.........................................................................29
Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)...............................29
Art. 3 – Principio di necessità nel trattamento dei dati................................................29
Art. 4 – Definizioni......................................................................................................29
Art. 7 – Diritto di accesso ai dati personali ed altri diritti..............................................33
Sommario
Art. 8 – Esercizio dei diritti..........................................................................................34

Art. 9 – Modalità di esercizio.......................................................................................35
Art. 10 – Riscontro all'interessato...............................................................................35
Art. 11 – Modalità del trattamento e requisiti dei dati..................................................37
Art. 13 – Informativa...................................................................................................37
Art. 23 – Consenso....................................................................................................38
Art. 24 – Casi nei quali può essere effettuato il trattamento senza consenso............38
Art. 37 – Notificazione del trattamento........................................................................40
Art. 126 – Dati relativi all'ubicazione...........................................................................41
Art. 129 – Elenchi di abbonati.....................................................................................42
Art. 130 – Comunicazioni indesiderate ......................................................................42
Art. 161 – Omessa o inidonea informativa all'interessato...........................................43
Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo)............................44
Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza.................44
Autorità garante della privacy........................................................................................45
Provvedimento generale del 29 maggio 2003, Spamming: regole per un corretto invio
delle e-mail pubblicitarie.............................................................................................45
Provvedimento 10 giugno 2003, Sms promozionali o di vendita diretta: le regole per il
corretto uso................................................................................................................54
Provvedimento 24 febbraio 2005, Fidelity card e garanzie per i consumatori. Le
regole del Garante per i programmi di fidelizzazione..................................................60
Provvedimento 12 ottobre 2005, Informativa e consenso – Biglietti online e marketing:
indicazione del garante..............................................................................................68
Provvedimento 23 novembre 2006, Fax promozionali senza il preventivo consenso
dell'interessato...........................................................................................................73
Provvedimento 7 dicembre 2006, Raccolta di dati personali in strutture neonatali a fini
di marketing................................................................................................................76
Provvedimento 31 gennaio 2008, Divieto di invio di fax promozionali senza consenso.
92
Provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009), Prescrizioni ai titolari di
banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005
a seguito della deroga introdotta dall'art. 44 d.l. 207/2008.........................................95
La tutela della privacy nelle attività di marketing e promozionali
Licenza
Quest'opera deve ritenersi soggetta ai termini della licenza Creative
Commons Attribuzione-Non commerciale-Non opere derivate 2.5 Italia.
Una sintesi delle condizioni e dei diritti attribuiti da tale licenza è disponi
bile all'indirizzo http://creativecommons.org/licenses/by-nc-nd/2.5/it/.
La copia integrale della licenza è invece disponibile all'indirizzo
http://creativecommons.org/licenses/by-nc-nd/2.5/it/legalcode.
Note sull'autore
Stefano Bendandi, iscritto all'ordine degli avvocati del Foro di Pescara,
è titolare di uno studio (http://www.stefanobendandi.com) che opera prevalen
temente nel campo del diritto applicato alle nuove tecnologie, con particolare
riferimento alle problematiche concernenti la tutela della privacy, la sicurezza
informatica, le telecomunicazioni, il commercio elettronico, il marketing, il dirit
to d'autore e la proprietà intellettuale.
Docente ed autore di pubblicazioni, è blogger su IT & Dintorni dove cura
in prima persona approfondimenti e riflessioni in materia di nuove tecnologie,
diritto e cultura digitale.
E' membro di AIPSI (Ass. Italiana dei Professionisti di Sicurezza Informa
tica, Issa Italian Chapter) e delegato ANDIP (Ass. Nazionale per la Difesa
della Privacy).
Avvertenze
I contenuti di questo e-book hanno un valore puramente informativo e
non possono essere equiparati ad una consulenza professionale né sostituirsi
a quest'ultima, anche in considerazione della natura generale, e non specifi
ca, delle problematiche assunte come riferimento ai fini della trattazione.
Pur avendo adottato la massima cautela e diligenza possibili nella raccol
ta e preparazione del materiale, l'autore non assume alcuna responsabilità,
diretta od indiretta, per gli eventuali errori od omissioni o per l'utilizzo delle in
formazioni presenti in questo libro.
Pag. 1
Premessa
Il marketing rappresenta uno strumento fondamentale per lo sviluppo del
business di qualsiasi entità.
Secondo la definizione fornita da Philip Kotler, uno dei massimi esperti
della materia, il marketing è un processo sociale e manageriale mediante il
quale una persona od un gruppo ottiene ciò che costituisce oggetto dei propri
bisogni e desideri, creando, offrendo e scambiando prodotti e valore con altri.
Il marketing, che può essere diretto ai consumatori finali (cd. marketing
B2C) oppure alle imprese (cd. marketing B2B), si basa su una strategia a me
dio-lungo termine finalizzata al raggiungimento degli obiettivi definiti in un pia
no.
Di regola il complesso delle attività che ruota intorno a questa strategia
richiede, per la loro stessa natura, un trattamento di dati personali da cui de
rivano, conseguentemente, delle problematiche di natura giuridica relative al
l'applicazione della disciplina di cui al Decreto Legislativo 30 giugno 2003, n.
196 (“Codice della privacy”).
Le questioni che si prospettano sono diverse ed interessano, non soltan
to adempimenti di natura documentale o tecnico-operativa, ma anche alcuni
vincoli di utilizzo delle tecnologie informatiche ed elettroniche le quali riescono
ad attrarre, sempre più, l'attenzione dei potenziali utilizzatori, grazie ad una
serie di innegabili vantaggi:
• facilità d'uso
• immediatezza
• possibilità di raggiungere un target vastissimo di soggetti
• riduzione dei costi operativi
D'altra parte però gli stessi strumenti tecnologici si rivelano potenzialmen
te lesivi della sfera di riservatezza degli individui, ragion per cui sia il legislato
re comunitario1 che quello italiano2 hanno fissato dei presupposti che ne ren
dono lecito l'uso, soprattutto se finalizzato ad azioni di comunicazione promo
zionale o di vendita diretta di beni o servizi.
Da tali premesse scaturisce pertanto lo scopo principale di questo ebook
che è quello di analizzare i complessi rapporti esistenti tra la normativa posta
a tutela dei dati personali e l'esecuzione di attività di marketing.
Non si tratta ovviamente, né vuole esserlo, di una trattazione esaustiva
sull'argomento ma di un semplice vademecum preparato con l'intento di esse
re utile a tutti coloro che, per professione od interesse, si occupano della ma
1 Direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel
settore delle comunicazioni elettroniche.
2 Vedi art. 130 del d.lgs. 196/03, in appendice normativa, con il quale è stata data attuazione alle
prescrizioni della direttiva 2002/58/CE citata
Pag. 3
teria.
Nelle intenzioni dell'autore questo ebook assume il significato di opera in
continua evoluzione per la quale sono sempre ben accetti, consigli, feedback
e critiche che possono essere indirizzati al seguente indirizzo di posta elettro
nica sbt449-ml@yahoo.it
Pag. 4
Capitolo 1
La raccolta ed il trattamento dei dati

La pianificazione e la realizzazione di molte strategie di marketing, specie
se dirette, richiede la creazione di flussi informativi aventi per oggetto nuclei
consistenti di dati strutturalmente organizzati (cd. base dati).
L'origine di questi dati può essere molto varia: può trattarsi di informazio
ni fornite spontaneamente dai soggetti interpellati, raccolte attraverso una
rete di vendita o Internet, estratte da registri od elenchi pubblici, acquistate
presso terzi e così via.
Nella maggior parte dei casi l'oggetto della conoscenza è costituito da
dati cd. personali 3 concernenti attributi di natura sociale, anagrafica o di reca
pito oppure preferenze, abitudini di consumo, ecc....
Il testo unico sulla privacy attualmente vigente (D.Lgs. 196/03) subordina
il trattamento4 dei dati delle persone fisiche, delle persone giuridiche, degli
enti e delle associazioni, alla necessità di conoscerli 5 ed al rispetto di un im
pianto normativo la cui finalità è quella di garantire che gli stessi dati siano:
• trattati in modo lecito e secondo criteri di correttezza
• raccolti e registrati per scopi determinati, espliciti e legittimi,
ed utilizzati in altre operazioni in termini compatibili con tali scopi;
• esatti ed aggiornati;
• pertinenti, completi e non eccedenti rispetto alle finalità del
trattamento;
• conservati in una forma che consenta l'identificazione dell'interes
sato per un periodo di tempo non superiore a quello necessario alla
realizzazione degli scopi per i quali sono trattati
L'inosservanza di uno o più di questi presupposti spesso comporta, quale
conseguenza più immediata, l'impossibilità di utilizzare i dati, ferma restando
l'eventuale responsabilità residua sia sotto il profilo civile (risarcimento dei
danni) che penale (illeciti commessi).
Tenendo conto delle finalità di tutela della riservatezza che il legislatore
italiano ha fatto proprie, sulla scorta di quello comunitario, è di fondamentale
importanza che i soggetti interessati siano adeguatamente informati circa il
trattamento dei propri dati (art. 13), prestino il loro libero consenso in relazio
3 La nozione di dato personale è contenuta nell'art. 4, comma 1, lett. b) d.lgs. 196/03, in appendice
normativa
4 La nozione di “trattamento” fornita dall'art. 4, comma 1, lett. a) d.lgs. 196/03 è molto ampia e tale da
abbracciare diverse modalità operative di gestione dei dati, attuate con o senza l'ausilio di strumenti
elettronici.
5 E' il cd. principio di necessità sancito dall'art. 3 d.lgs. 196/03, in appendice normativa
Pag. 5
ne alle finalità perseguite (art. 23) e siano messi in condizioni di poter eserci
tare, in qualsiasi momento, i propri diritti (art. 7).
L'informativa
E' un adempimento che si ricollega con il diritto dell'interessato di cono
scere l'identità del titolare e degli altri soggetti che possono venire a cono
scenza dei suoi dati e di poter valutare le modalità e le finalità del trattamento
e le conseguenze di un suo eventuale consenso o rifiuto.
L'informativa può essere resa, in forma orale o scritta, al momento del
l'acquisizione dei dati oppure della loro registrazione o comunicazione6, ma
costituisce, comunque, un obbligo preventivo che anticipa il trattamento, a
prescindere dal fatto che quest'ultimo richieda o meno il consenso dell'inte
ressato o che i dati siano acquisiti su web7.
Inoltre, considerata l'importanza di tale comunicazione, l'art. 138 del d.lgs.
196/03 interviene anche per specificarne i contenuti, in relazione ai quali si
pone il problema delle cd. clausole di stile.
Queste ultime consistono infatti in espressioni del tipo "I dati da lei forniti
saranno trattati secondo quanto previsto dalla normativa..."e, in più occasioni,
sono state ritenute illecite dal garante, soprattutto se prive delle informazioni
basilari richieste dall'art. 13.
Anzi, a tale proposito, non va dimenticato che la mancanza della informa
tiva o l'inadeguatezza del suo contenuto sono sanzionate nei termini dell'illeci
to amministrativo di “Omessa od inidonea informativa”, previsto e punito dal
l'art. 161 con pena pecuniaria9.
Il consenso
Il consenso è il presupposto che legittima il trattamento dei dati personali.
Esso assume la natura di autorizzazione e si presenta come manifesta
zione di un diritto del soggetto di determinare il destino dei dati concernenti la
propria identità personale (cd. autodeterminazione informativa).
Il consenso può avere per oggetto un intero trattamento oppure una o più
operazioni ad esso relative ma, per essere valido, deve rispettare i requisiti
dettati dall'art. 23 del d.lgs. 196/03 10 concernenti:
6 A seconda che la raccolta avvenga o meno presso l'interessato (es. di raccolta indiretta è quella
dell'acquisto presso terzi oppure della estrazione da elenchi o registri pubblici).
7 Cfr. per un caso reale Ordinanza/Ingiunzione del garante del 18 settembre 2008, su
http://www.garanteprivacy.it/garante/doc.jsp?ID=1559382
8 In appendice normativa
9 Recentemente, con la legge 27 febbraio 2009, n. 14 di conversione del D.L. 207/2008 l'entità della
sanzione è stata inasprita, passando da seimila a trentaseimila euro
Pag. 6
1. la libertà e la specificità
2. la specificità della forma
3. la chiarezza della formula e la sua stretta attinenza con l'informati
va
La libertà implica che la manifestazione di consenso sia esente da qua
lunque pressione di natura fisica o psicologica.
Nell'ambito dei condizionamenti psicologici inammissibili rientrano, peral
tro, tutte le ipotesi in cui il consenso risulta condizionato dall'accettazione di
clausole che inducono uno squilibrio tra le parti o abbia il solo scopo di con
sentire l'accesso a particolari condizioni di natura contrattuale.
Analogamente si ravvisa una violazione del principio della libertà quando
i dati raccolti per una determinata finalità, in relazione alla quale è stato mani
festato un consenso, vengono utilizzati, in realtà, anche per scopi diversi,
pure se esplicitati.
Nei casi in cui il trattamento persegue finalità differenti appare, dunque,
opportuno acquisire e separare le manifestazioni di volontà in relazione a cia
scuno scopo.
La specificità riguarda, invece, l'oggetto del consenso che deve essere ri
ferito ad un determinato trattamento identificato nei suoi elementi costitutivi
(categorie di dati, modalità, titolare/responsabile e finalità).
Tale requisito rende evidente l'importanza di adottare tecniche espressi
ve chiare, prive di formulazioni superflue, ridondanti o generiche che aprono
la strada a manifestazioni di volontà generalizzate, in quanto tali, invalide.
Dal punto di vista formale il consenso non richiede, con la sola eccezione
dei dati sensibili, una manifestazione per iscritto, fermo restando, tuttavia, il ri
corso alla documentazione scritta ai fini della sua prova.
Non dimentichiamo, infine, la necessità che il consenso sia “informato”,
cioè preceduto da una informativa, chiara e corretta, che descriva in modo
esauriente tutti gli elementi di cui all'art. 13 citato.
Peraltro mentre l'informativa, per la funzione che assolve, deve essere
analitica, la manifestazione di consenso può anche essere elementare, pur
ché organizzata sulla base di opzioni di tipo positivo attraverso le quali l'inte
ressato sia messo in condizione di esprimere la propria volontà.
Le ipotesi di trattamento senza consenso

L'art. 24 11 del d.lgs. 196/03 contiene l'intera casistica dei trattamenti con
siderati leciti pur in assenza di un consenso espresso da parte dell'interessa
to.
Pag. 7
Si tratta di una serie di deroghe giustificabili sia in relazione alla prove

nienza delle informazioni che alle finalità od al contesto del trattamento stes
so.
Tra le fattispecie previste, di particolare interesse, ai fini di questa tratta
zione, sono quelle di cui alle lettere b) e c) concernenti:
1. il trattamento necessario per adempiere agli obblighi derivanti da
un contratto
2. il trattamento di dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque
Nel primo caso la natura “indispensabile” del trattamento deve essere ri
collegata alle sole informazioni che siano realmente necessarie per eseguire
gli obblighi contrattuali o per soddisfare, prima della conclusione, le specifiche
richieste dell'interessato.
Questo di fatto esclude la possibilità di trattare i dati personali, raccolti
per dare esecuzione ad un rapporto contrattuale, anche per ulteriori finalità,
come, ad esempio, quelle di marketing o di promozione commerciale, salva la
richiesta di uno specifico consenso.
Ne deriva, inoltre, che lo stesso trattamento deve considerarsi sottoposto
ad un ben preciso vincolo temporale, per cui i dati non possono essere con
servati per un periodo di tempo eccedente l'adempimento, salvo ulteriori ob
blighi imposti dalla legge.
Alcune considerazioni anche in merito alla seconda ipotesi: qui il requisi
to della conoscibilità può ritenersi soddisfatto soltanto in presenza di un vero
e proprio regime giuridico di conoscibilità e non da una semplice conoscibilità,
anche temporanea, dei dati.
Questo è il motivo per cui gli indirizzi di posta elettronica che compaiono
all'interno delle pagine dei siti web o nei messaggi di un newsgroup non pos
sono, di regola, ritenersi conoscibili da chiunque, essendo la loro natura pub
blica strettamente connessa allo scopo cui è preordinata e non potendo
estendersi al di là di questo.
D'altra parte l'ipotesi di trattamento libero dei dati estratti da fonti pubbli
che è quella che più si presta a fraintendimenti, soprattutto con riferimento
alle comunicazioni elettroniche indesiderate.
Nella pratica commerciale, infatti, si assiste molto spesso al tentativo di
giustificare le comunicazioni di natura promozionale tramite email, fax, sms
ed mms, in assenza di un preventivo consenso dell'interessato, proprio con la
circostanza del reperimento dei relativi dati personali da albi od elenchi pub
blici e, quindi, con la fattispecie di cui all'art. 24, lett. c) citato.
In realtà questa interpretazione non può essere accolta perché dimentica
che i primi due commi dell'art. 130 del d.lgs. 196/03 richiedono, ai fini della li
Pag. 8
ceità di queste forme di comunicazione, l'esistenza di un consenso specifico,

non ammettendo altre eccezioni, se non quelle previste nei successivi commi
3 e 4 12.
I diritti degli interessati e le modalità di esercizio

In materia di diritti degli interessati il codice della privacy adotta, con gli
articoli da 7 a 10, un approccio orientato ad un bilanciamento tra contrapposti
interessi: da una parte quelli del titolare e, dall'altra, quelli dei soggetti cui si
riferiscono i dati.
Partendo proprio dalla disposizione dell'art. 7 , i diritti degli interessati
13
possono essere classificati nel seguente modo:

1. il diritto di venire a conoscenza dell'esistenza di dati
2. il diritto di esercitare un controllo effettivo sull'insieme e sulla quali
tà dei propri dati personali
3. il diritto di opporsi, in tutto od in parte, al trattamento dei propri dati
Gli elementi caratterizzanti del primo sono, da un lato, il potere di eserci
zio preventivo, indipendentemente da situazioni di effettivo pregiudizio, e, dal
l'altro, la tipologia delle informazioni che devono essere rese, specificate nel
comma 2 della disposizione citata, insieme con la forma della loro comunica
zione che deve essere tale da soddisfare, comunque, il requisito della com
prensibilità.
Da questi presupposti scaturisce l'esigenza che l'interessato venga a co
noscenza delle informazioni che lo riguardano nella loro interezza, considera
to che tale conoscenza si pone in un ottica necessariamente funzionale ri
spetto all'esercizio dei diritti di cui al comma 3.
Questi ultimi ricomprendono la facoltà di ottenere l'aggiornamento, la cor
rezione o l'integrazione dei dati, oppure la loro cancellazione, trasformazione
in forma anonima od il blocco del trattamento attuato in violazione delle attuali
disposizioni di legge, comprese quelle attinenti alla durata della conservazio
ne.
Ultimo, ma non meno importante, è il diritto di opporsi al trattamento dei
propri dati che si prospetta, però, differente a seconda delle finalità persegui
te.
Infatti anche se nella maggior parte dei casi l'esercizio di questo diritto
non è subordinato a situazioni di illiceità esso richiede, tuttavia, la sussistenza
di motivi legittimi da identificarsi principalmente con quelli relativi alla tutela
della dignità umana (art. 7, comma 4, lett. a).
12 Per una disamina più approfondita della tematica si consiglia di leggere il Capitolo 2
Pag. 9
Al contrario, nell'ipotesi specifica di trattamento per scopi commerciali il

requisito della legittimità dei motivi viene meno in quanto connaturato all'inte
resse ad opporsi al perseguimento di tali finalità attraverso i propri dati (art. 7,
comma 4, lett. b).
In quest'ultimo caso il legislatore si è preoccupato di spostare il baricen
tro del bilanciamento di interessi in favore dei soggetti cui si riferiscono i dati,
predisponendo una forma particolare di tutela di quello che viene, ormai, defi
nito come il diritto "ad essere lasciati in pace”, alla luce delle sempre più inva
sive tecniche di promozione e di vendita diretta, favorite anche dal progresso
tecnologico che interessa, soprattutto, il settore delle comunicazioni elettroni
che.
Nelle intenzioni del legislatore le modalità di esercizio dei diritti devono
essere ispirate ad ovvie esigenze di celerità.
Le singole richieste possono essere pertanto rivolte, senza alcuna forma
lità, al titolare od al responsabile, anche mediante un incaricato, e ad esse
viene fornito un riscontro immediato ed idoneo (art. 8, comma 1).
Ciò vale, in particolar modo, per il diritto di accesso la cui finalità è quella
di ottenere la conferma dell'esistenza dei dati personali: in questo caso speci
fico l'interessato può, infatti, proporre la sua richiesta in forma orale (art. 9,
comma 1).
Il quadro si completa infine con le prescrizioni dell'art. 10 che individuano
alcuni strumenti e misure per garantire l'esercizio effettivo dei diritti attraverso
una maggiore comprensibilità dei dati di riscontro forniti.
Pag. 10
Capitolo 2
Le comunicazioni elettroniche indesiderate

Con tale termine si intendono generalmente le comunicazioni di natura
promozionale-commerciale, generate e diffuse attraverso gli strumenti elettro
nici (email, fax, cellulari, ecc...), ed inoltrate ad uno o più destinatari, senza
che questi le abbiano richieste esplicitamente o abbiano fornito il proprio con
senso (cd. spamming).
Data la natura potenzialmente molto invasiva degli strumenti utilizzati, il
legislatore comunitario si è occupato della questione con la direttiva 2002/58,
i cui dettami sono successivamente confluiti nel titolo X del codice della priva
cy ed, in particolare, nell'art. 130 intitolato proprio alle comunicazioni indesi
derate.
La necessità del consenso specifico

I primi due commi dell'articolo 130 14 subordinano al preventivo consenso
dell'interessato la possibilità di utilizzare i sistemi automatici di chiamata, sen
za l'intervento dell'operatore, e le comunicazioni elettroniche tramite fax, po
sta elettronica, SMS ed MMS, al fine dell'invio di materiale pubblicitario o di
vendita diretta o per il compimento di ricerche di mercato o di comunicazione
commerciale.
Al di fuori delle ipotesi menzionate, invece, l'articolo 13 della direttiva
2002/58 ha consentito alle normative di recepimento, emanate dagli stati
membri, di individuare gli strumenti più opportuni con i quali impedire tutte le
altre forme di comunicazione non desiderate (ad esempio le chiamate vocali
non automatizzate di telefonia fissa o mobile), scegliendo tra un sistema di
"opt-in" oppure di "opt-out" 15.
Con riferimento a tale opzione il legislatore italiano si è espresso con il
comma 3 dell'articolo 130, adottando un sistema di opt-in che richiede, in al
ternativa, l'esistenza di due condizioni:
1. un valido consenso da parte del soggetto interessato
2. una delle fattispecie che, ai sensi dell'articolo 24 del codice della
privacy, permettono un trattamento dei dati personali anche senza
consenso
La scelta di questo sistema è stata successivamente avvalorata anche
nel diverso ambito della tutela dei consumatori il cui testo di riferimento è il
cd. Codice del Consumo.
15 Nel primo sistema la manifestazione di volontà ha una connotazione positiva (consenso) ed è
preventiva, mentre nel secondo essa è successiva ed assume una connotazione negativa (diniego).
Pag. 11
In effetti l'art. 58, comma 1, del d.lgs. 206/05 16 limita l'utilizzo di alcune
tecniche di comunicazione a distanza nei confronti dei consumatori stabilendo
che: "L'impiego da parte di un professionista del telefono, della posta elettro
nica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o
di fax richiede il consenso preventivo del consumatore".
Contemporaneamente, però, il successivo comma 2 riconosce la validità
di un sistema di opt-out, prevedendo che il professionista possa utilizzare tec
niche di comunicazione differenti dal telefono, dalla posta elettronica, dal fax
o dai sistemi automatizzati di chiamata, a meno che il consumatore non si di
chiari esplicitamente contrario.
Questa divergenza potrebbe passare inosservata se non fosse per il fatto
che alla disposizione citata viene riconosciuta una efficacia in deroga alle nor
me del codice della privacy 17.
Ovviamente la deroga di cui si parla deve intendersi con riferimento al
principio del consenso, e non all'intero impianto normativo in materia di priva
cy, ma ciò appare sufficiente a creare una notevole confusione che, di certo,
non agevola la comprensione di una tematica già di per sé complessa.
Tornando alla disposizione dell'art. 130, il comma 5 vieta qualsiasi forma
di comunicazione effettuata camuffando o celando l'identità del mittente o
senza fornire un idoneo recapito.
Lo scopo è quello di evitare il verificarsi di situazioni che possano com
portare una elusione delle nome di legge concernenti l'esercizio dei diritti da
parte degli interessati.
In materia di comunicazioni elettroniche indesiderate si è andata forman
do con il tempo una discreta giurisprudenza dell'autorità garante della privacy,
chiamata spesso ad occuparsi del fenomeno.
I prossimi paragrafi sono destinati proprio ad illustrare gli orientamenti or
mai consolidati in materia.
Le comunicazioni mediante posta elettronica

Sulla base dei principi esaminati, lo svolgimento di attività promozionali o di
commercializzazione diretta, attraverso il servizio di posta elettronica, deve ri
tenersi subordinato al consenso dell'interessato.
Il Garante della privacy ha ribadito che gli indirizzi di posta elettronica
contengono dati personali, da trattare nel rispetto della normativa vigente, e
che il consenso dell'interessato ha il valore di una autorizzazione, per cui l'e
ventuale silenzio va inteso come divieto e non come assenso tacito all'invio di
17 In tal senso si esprime l'art. 19 bis del decreto legge 20 dicembre 2005 n. 273, convertito in legge 23
febbario 2006 n. 51
Pag. 12
messaggi 18.
Questa premessa è valida, inoltre, a prescindere dalla facilità con la qua
le sia possibile reperire un indirizzo di posta o dal fatto che esso sia stato
pubblicato sulla rete Internet e, dunque, si applica in tutti i casi seguenti:
• indirizzi generati ed utilizzati automaticamente, mediante software,
senza l'intervento di un operatore;
• indirizzi degli utenti che prendono parte ad un gruppo di discussio
ne;
• indirizzi compresi negli elenchi degli abbonati a particolari servizi;
• indirizzi pubblicati in siti web da soggetti pubblici o privati;
• indirizzi presenti nelle registrazioni dei nomi di dominio Internet;
• qualsiasi altro indirizzo reperito, in qualunque modo, sulla rete In
ternet;
Il consenso può essere prestato con ogni modalità idonea a renderlo una
libera manifestazione di volontà dell'interessato, collegata ad una specifica fi
nalità ed espressa sulla base di una informativa idonea contenente le indica
zioni richieste dall'art. 13.
Secondo una interpretazione del gruppo di lavoro sulla tutela dei dati per
sonali, di cui all'articolo 29 della direttiva 95/46/CE, il riferimento all'esistenza
di una specifica finalità comporta che l'eventuale autorizzazione sia accompa
gnata da una informazione sulla tipologia di prodotti o servizi per i quali si ri
tiene ammissibile l'invio di messaggi promozionali 19.
In presenza di tali requisiti il consenso può anche essere raccolto a voce,
purché sia inequivocabile, e, comunque, venga successivamente documen
tato in modo scritto.
L'autorità garante ritiene illecita la prassi diffusa della richiesta di consen
so attraverso una prima email, avente comunque un contenuto promozionale,
od il riconoscimento al soggetto della sola facoltà di opt-out cioè, in pratica,
l'onere di attivarsi per non ricevere più messaggi dello stesso tipo.
Sembra, invece, accolta con favore la prestazione del consenso attraver
so una procedura di registrazione ad un sito web, purché seguita da un invito
a confermare la registrazione.
In tale ultimo caso occorre che le applicazioni ed i sistemi, sui quali si
basa il funzionamento del sito, siano progettati e configurati per permettere
l'esercizio del diritto all'autodeterminazione informativa: questo si traduce nel
la necessità di predisporre opzioni di scelta di tipo positivo - ad esempio ca
18 Provvedimento generale del Garante del 29 maggio 2003. Spamming, regole per un corretto invio
delle email pubblicitarie, in appendice normativa
19 Parere 5/2004 del gruppo di lavoro per la tutela dei dati personali relativo alle comunicazioni
indesiderate ai fini di commercializzazione diretta
Pag. 13
selle da selezionare piuttosto che già preselezionate - poiché, soltanto in que

sto modo, l'utente viene effettivamente messo nella condizione di esprimere
liberamente la propria scelta in ordine alle finalità da perseguire 20.
Le comunicazioni mediante SMS ed MMS

Anche per l'impiego dei sistemi di messaggistica breve (sms, mms) il ga
rante ritiene indispensabile il consenso dei destinatari quale condizione per
un valido trattamento dei dati.
La casistica è molto ampia e ricomprende gli sms spediti da un fornitore
di servizi di telefonia, per conto proprio o di terzi, quelli inviati da soggetti dif
ferenti ed, infine, il caso in cui i numeri telefonici siano generati ed utilizzati in
modo automatico mediante software 21.
Partendo da una serie di reclami, l'autorità ha riaffermato che il consenso
deve essere libero, non potendo ritenersi tale una manifestazione di volontà
formatasi, esclusivamente o prevalentemente, sulla convinzione della sua ne
cessità ai fini della stipula di un successivo contratto.
In tal caso il consenso viene, infatti, snaturato per il solo fatto che il sog
getto "deve" prestarlo al fine di ottenere la prestazione desiderata, con l'ulte
riore rischio che i dati raccolti siano successivamente trattati per uno scopo
diverso da quello originariamente previsto 22.
Per le stesse ragioni si considerano illeciti sia l'inclusione, tra le clausole
contrattuali, di una dichiarazione d'impegno alla ricezione di sms, sia il com
portamento di uno dei contraenti diretto a fare credere che alcuni sms, aventi
un contenuto tipicamente promozionale, siano in realtà dei semplici messaggi
di servizio.
Le comunicazioni mediante fax

Quanto sinora esposto, con riferimento alla necessità di un consenso de
gli interessati, vale anche per le trasmissioni a mezzo telefax23.
Anzi, potremmo dire che il problema è quanto mai attuale ed urgente
considerata la grande diffusione di questo sistema, soprattutto nella fascia di
utenza business, e l'erroneo convincimento che il suo utilizzo per finalità pro
mozionali sia libero.
In più di uno dei casi portati all'attenzione del garante è stato confermato
che la pubblicazione dei numeri di telefono in elenchi categorici od in pubblici
20 Cfr. Provvedimento del garante 12 ottobre 2005. Biglietti on line e marketing, in appendice normativa
21 Cfr. Provvedimento generale del Garante del 10 giugno 2003. Linee guida sull'uso degli sms per scopi
promozionali e pubblicitari, in appendice normativa
22 Cfr. Provvedimento del garante 12 ottobre 2005 cit.
23 Cfr. Provvedimento del garante del 23 novembre 2006, Fax promozionali: vietato l'invio senza il
previsto consenso; Cfr. anche Provvedimento del 31 gennaio 2008, Divieto di invio di fax promozionali
senza consenso, in appendice normativa
Pag. 14
registri non implica automaticamente, né deve far presumere, il consenso alla

ricezione di materiale di qualsiasi genere.
Questa interpretazione trova conferma anche nel secondo comma del
l'art.12924, secondo il quale il trattamento dei dati inseriti negli elenchi degli
abbonati ha la sola funzione di facilitare le comunicazioni interpersonali men
tre, se realizzato per fini ulteriori, come quelli pubblicitari, promozionali o com
merciali, richiede il consenso libero e preventivo degli interessati, documenta
to per iscritto e preceduto da idonea informativa.
Il marketing telefonico o teleselling

Anche il teleselling, termine con il quale si intende la promozione o la
vendita diretta di prodotti o servizi attraverso lo strumento telefonico, si è gua
dagnato la recente attenzione dell'autorità garante intervenuta, con alcuni
provvedimenti25, per vietare espressamente il trattamento dei dati effettuato in
occasione di telefonate promozionali, senza lo specifico consenso da parte
degli interessati e l'idonea informativa26.
Nel momento in cui si scrive c'è però da registrare una certa tendenza in
atto a voler bilanciare i contrapposti interessi degli operatori commerciali e di
marketing e le esigenze di riservatezza degli utenti con un impianto normativo
meno rigoroso.
In tal senso si segnala un recente disegno di legge, di cui si è fatto porta
voce l'Istituto Italiano Privacy27, che prevede proprio l'istituzione di un sistema
di opt-out con riferimento al settore del direct marketing telefonico28.
La deroga nel marketing telefonico prevista dalla legge 14/2009

Nel frattempo l'art. 44 della legge 27 febbraio 2009, n. 14, di conversione
del D.L. 30 dicembre 2008 (cd. mille-proroghe), ha introdotto nel nostro ordi
namento giuridico una deroga parziale e temporanea all'applicazione di deter
minati istituti a tutela della riservatezza, prevedendo che: “I dati personali pre
senti nelle banche dati costituite sulla base di elenchi telefonici pubblici for
mati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozio
nali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice
in materia di protezione dei dati personali, di cui al decreto legislativo 30 giu
gno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a co
stituire dette banche dati prima del 1° agosto 2005”.
25 Stop alle telefonate indesiderate: il Garante impone a gestori e call center di interrompere
comportamenti illeciti, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1412772
26 Cfr. anche Marketing telefonico: scattano i divieti del Garante alle telefonate indesiderate, su
http://www.garanteprivacy.it/garante/doc.jsp?ID=1544082
27 Con sito web all'indirizzo http://www.istitutoitalianoprivacy.org
28 Cfr. per un primo commento Marketing telefonico e privacy: verso un sistema di opt-out ?, su
http://stefanobendandi.blogspot.com/2009/06/marketing-telefonico-e-privacy-verso-un.html
Pag. 15
Il punto cruciale della disposizione, alla quale non sono state risparmiate
critiche feroci da parte degli operatori del diritto e delle associazione di utenti,
è quello che consente, anche in mancanza dell'informativa e del consenso
dell'interessato, il trattamento per fini promozionali dei dati personali memoriz
zati in banche dati costituite, prima della data del 1° agosto 2005, sulla base
di elenchi telefonici pubblici.
Si tratta, come è evidente, di una eccezione di ampia portata perché, non
solo prescinde dal consenso dei singoli interessati, ma li priva anche della
possibilità di venire a conoscenza di alcuni trattamenti di dati in essere.
In compenso, la deroga è circoscritta alle sole attività promozionali realiz
zate con il mezzo telefonico e di essa potranno beneficiare soltanto i titolari
dei dati, con l'esclusione di qualsiasi altra ipotesi differente (es. acquisto di
banche dati).
Anzi, proprio per sgombrare il campo da comportamenti poco chiari e da
tentativi di applicazione estensiva della norma, il garante è successivamente
intervenuto con un provvedimento29 per determinare i requisiti al cui soddisfa
cimento si intende subordinata la fruizione di questo particolare regime di
esenzione.
Le misure a tal fine previste impongono ai titolari l'obbligo di:
• documentare adeguatamente l'avvenuta costituzione della banca dati
prima del 1° agosto 2005, conservando la relativa documentazione
presso la propria sede legale;
• trattare i dati presenti nelle banche dati in modo esclusivo, senza ce
derli, a qualsiasi titolo, a terzi;
• specificare, in occasione di ogni contatto telefonico, l'identificativo di
chi tratta i dati, anche nel caso in cui questo operi per conto di terzi, e
far presente agli interessati il loro diritto di opporsi ai sensi dell'art. 7
del codice;
• registrare contestualmente ogni eventuale opposizione al trattamen
to, con effetto immediato anche nei confronti dei terzi, e darne imme
diato riscontro all'interessato attraverso la comunicazione dell'identifi
cativo dell'operatore o dell'operazione compiuta;
• utilizzare i dati personali presenti nelle banche dati per le sole finalità
promozionali, non oltre il termine del 31 dicembre 200930;
• comunicare al Garante, entro quindici giorni dalla pubblicazione del
provvedimento in G.U., avvenuta in data 20 marzo 2009, di essere in
29 Provvedimento del 12 marzo 2009, Prescrizioni ai titolari di banche dati costituite sulla base di elenchi
telefonici formati prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l.
n. 207/2008 , in appendice normativa
30 E' esclusa la possibilità di rendere un'informativa agli interessati e richiedere il loro consenso per il
trattamento dei dati da effettuare in data successiva al 31 dicembre 2009 per attività di carattere
promozionale
Pag. 16
possesso di banche dati costituite anteriormente al 1° agosto 2005

che si intendono utilizzare per attività promozionali fino al 31 dicem
bre 2009, chiarendo se il trattamento dei dati personali venga effet
tuato anche per conto di terzi;
La comunicazione di servizi e prodotti analoghi

Un trattamento particolare viene riservato all'ipotesi delle comunicazioni
elettroniche si inseriscono nell'ambito di rapporti già instaurati con i clienti.
A questo proposito il quarto comma dell'art. 130 prevede che: “Fatto sal
vo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di
vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica
fornite dall’interessato nel contesto della vendita di un prodotto o di un servi
zio, può non richiedere il consenso dell’interessato, sempre che si tratti di
servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente
informato, non rifiuti tale uso, inizialmente o in occasione di successive comu
nicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di
ogni comunicazione effettuata per le finalità di cui al presente comma, è infor
mato della possibilità di opporsi in ogni momento al trattamento, in maniera
agevole e gratuitamente”.
La norma introduce una eccezione al principio generale della richiesta di
consenso fissandone, oltretutto, i requisiti per l'operatività:
1. il mezzo utilizzato identificabile nella posta elettronica, come si
evince dal fatto che gli interessati devono avere fornito i propri recapiti
elettronici in occasione di una precedente vendita
2. l'oggetto dei messaggi costituito da una comunicazione concer
nente prodotti o servizi analoghi a quelli già forniti
3. l'assenza di rifiuto da parte dei destinatari all'utilizzo dei propri re
capiti
4. una informativa idonea riguardante la possibilità di opporsi al mo
mento iniziale della raccolta dei dati ed in occasione di ogni successiva
comunicazione
Resta, invece, aperto il problema di stabilire quale sia la finestra tempo
rale entro la quale si possa presumere come validamente prestato il consen
so a ricevere ulteriori messaggi: si tratta di una questione che appare logico
affrontare partendo dal presupposto della ragionevolezza del tempo intercor
rente tra la precedente vendita ed il successivo invio dei messaggi.
Pag. 17
Il marketing di prossimità ed il bluetooth advertising

Il marketing di prossimità è una tecnica che si avvale di strumenti e meto
di per creare un canale di comunicazione, di natura generalmente promozio
nale o informativa, con gli individui che si trovano in un area circoscritta (cine
ma, caffè, aree commerciali, fiere, aeroporti, ecc...) 31.
Siamo dinanzi ad un espressione di marketing territoriale, dove l'aggetti
vo territoriale va inteso nel senso che la comunicazione avviene sul territorio,
ma senza un target predefinito.
Uno sviluppo particolare, rappresentato dal bluetooth marketing o adver
tising, si basa sulle reti bluetooth32 per inviare messaggi direttamente ai termi
nali mobili degli utenti (pda, smartphone, computer portatili, ecc...) all'interno
di un area specifica.
Al di là delle considerazioni sulla reale efficacia di questi sistemi, essi
pongono degli interrogativi derivanti dalla loro natura di potenziali sorgenti di
comunicazioni indesiderate.
In rete non mancano interventi33 che spiegano le ragioni per le quali si ri
tiene che il bluetooth marketing non costituisca una forma di spam.
La questione, tuttavia, non sembra di così facile soluzione e le motivazio
ni riportate, seppure in parte condivisibili, non riguardano l'aspetto giuridico
del fenomeno sul quale è opportuno, pertanto, soffermarsi.
Come già detto in precedenza, i primi due commi dell'art 130 del codice
della privacy subordinano al preventivo consenso degli interessati la liceità
delle comunicazioni effettuate con sistemi automatici di chiamata, posta elet
tronica, fax, messaggi sms, mms o di altro tipo per l'invio di materiale pubbli
citario o di vendita diretta o per il compimento di ricerche di mercato o di co
municazione commerciale.
Il primo dubbio, quindi, è se un sistema di comunicazione bluetooth, uti
lizzato per questi scopi, possa ricomprendersi in tale ambito di applicazione,
quanto meno sotto un profilo di ipotetica assimilazione ai messaggi di "altro
tipo", cui la disposizione fa esplicito riferimento.
Pur volendo escludere questa eventualità rimane il fatto che, ai sensi del
comma terzo dell'art. 130, le comunicazioni inoltrate per le medesime finalità,
ma con mezzi diversi, sono permesse sempre con il consenso del destinata
rio oppure se sussiste una delle fattispecie di trattamento dei dati personali
senza consenso previste dall'art. 24.
31 Alfredo Martinelli, Definizione Marketing di prossimità, su http://www.alfredomartinelli.info/viewart.php?

idart=80
32 Bluetooth su http://it.wikipedia.org/wiki/Bluetooth
33 Alfredo Martinelli, Il marketing di prossimità non è spam, su
http://www.alfredomartinelli.info/viewart.php?idart=97
Pag. 18
L'espressione "mezzi diversi da quelli indicati" sembrerebbe legittimare

l'inclusione anche dei sistemi bluetooth lasciando, però, aperte altre due que
stioni.
La prima é: una comunicazione attraverso sistemi bluetooth comporta
una qualche forma di trattamento di dati personali ?
La risposta potrebbe essere positiva se, tra i vari dati scambiati tra le pe
riferiche durante la connessione, ve ne fosse qualcuno assimilabile ad un
"dato personale", secondo l'ampia definizione che ne fornisce l'art. 4 del codi
ce della privacy.
Senza entrare nei dettagli tecnici viene da pensare, innanzitutto, al nome
identificativo del dispositivo oppure ad uno degli altri dati coinvolti nel flusso
del protocollo di gestione delle connessioni (Link Manager Protocol).
Ed inoltre, può configurarsi come valido consenso l'eventuale risposta
positiva del destinatario alla richiesta di accettazione del messaggio ?
Probabilmente sì, anche se ciò non fornisce una soluzione al problema
della potenziale invasività della tecnologia (a quanti messaggi sarebbe neces
sario rispondere all'interno di un area commerciale di una certa grandezza ?)
Difficilmente, invece, si può parlare di consenso qualora i sistemi non sia
no configurati per richiedere una autorizzazione per ogni messaggio inviato,
oppure ignorando gli eventuali rifiuti da parte dei destinatari.
Sulla problematica non sono intervenute, al momento in cui si scrive, pro
nunce da parte dell'autorità garante ma l'orientamento del gruppo di lavoro
dei garanti europei è verso una maggiore protezione della privacy dei cittadi
ni.
In un parere è stata infatti evidenziata l'opportunità di ampliare la defini
zione di sistemi di chiamata, contenuta nell'art. 13 della direttiva 2002/58/CE,
in modo tale da ricomprendervi anche quei sistemi legati allo sviluppo tecno
logico, tra i quali quelli basati sulla tecnologia bluetooth, il cui funzionamento
è difficilmente equiparabile ad una chiamata sul terminale dell'utente, almeno
nell'attuale impianto normativo.
L'acquisto di banche dati e le comunicazioni per conto

di terzi
L'acquisto di banche dati da parte di terzi è una pratica ricorrente diretta
a facilitare la realizzazione di molte attività tra cui quelle di marketing.
Tuttavia la semplice acquisizione di una banca dati non implica, di per sé,
la possibilità di utilizzare i dati personali degli interessati, soprattutto per le fi
nalità che stiamo trattando.
Pag. 19
Sulla base della normativa vigente e dell'orientamento espresso dall'auto

rità garante34, l'acquirente deve comunque accertare che ogni interessato ab
bia validamente manifestato il consenso alla comunicazione dei propri dati ed
al loro trattamento per l'invio di materiale pubblicitario o promozionale .
Inoltre, al momento della registrazione, l'acquirente deve inviare ai sog
getti interessati l'informativa, di cui all'articolo 13, comprendente l'indicazione
di un luogo fisico, e non soltanto elettronico, presso il quale è possibile eser
citare i propri diritti.
In mancanza di tali adempimenti si incorre nell'impossibilità di utilizzare i
dati acquisiti, ai sensi dell'art. 11, comma 2, oltre ad una eventuale responsa
bilità ai sensi dell'art. 15, comma 2.
Considerazioni analoghe valgono nell'ipotesi di comunicazioni effettuate,
per conto di terzi, da società specializzate: anche queste società che si avval
gono, spesso, di banche dati proprietarie, sono, infatti, tenute a rispettare le
disposizioni in materia di informativa e di consenso, soprattutto per ciò che ri
guarda l'eventuale comunicazione dei dati personali ai committenti medesimi
e le inerenti finalità del trattamento.
34 Cfr. Provvedimento generale del Garante del 29 maggio 2003, cit.
Pag. 20
Capitolo 3
Il marketing comportamentale
Rientra nell'ambito delle nuove frontiere del marketing e si definisce com
portamentale poiché si avvale di una strategia pubblicitaria mirata, basata
sulla creazione di messaggi personalizzati (targeting) a partire dal comporta
mento del singolo consumatore in un determinato contesto35.
L'efficacia della tecnica dipende da una analisi di dati storici, piuttosto
che dalla semplice deduzione36, e necessita quindi di una mole di informazioni
sufficiente a supportare questo tipo di approccio.
Queste informazioni che, a seconda dei casi, potrebbero avere anche na
tura personale sono acquisite da varie fonti, tra cui Internet che svolge il ruolo
di principale strumento tecnologico per la ricostruzione delle attività svolte on
line.
Attraverso l'analisi all'utente viene dunque attribuito un determinato profi
lo, dal quale dipende la successiva personalizzazione della strategia promo
zionale.
Il marketing comportamentale combina i vantaggi del marketing diretto
con quelli del marketing di massa in un mix che sembra promettere un eleva
to tasso di conversione o ritorno degli investimenti.
Al tempo stesso, però, le attività di raccolta e profilazione dei dati perso
nali impongono l'adozione di opportune cautele e, quando effettuate con l'au
silio degli strumenti informatici, richiedono l'adempimento dell'obbligo della
notificazione di cui all'art. 37 del d.lgs. 196/03 37.
L'analisi dei dati raccolti online

Generalmente prende in considerazione tre tipologie di azioni concernen
ti:
• i siti o le pagine web visitate
• le parole chiave utilizzate in una ricerca o le pagine lette
• le visite effettuate in passato
Mentre nel primo caso, il più tipico, i vari segmenti comportamentali sono
definiti tramite una aggregazione delle visite degli utenti verso siti con un con
tenuto specifico, nel secondo, invece, l'indagine parte dallo studio delle ricer
35 Federico Riva, Il marketing comportamentale nel world wide web, su http://www.businessonline.it/4/E-
business/661/Il_marketing_comportamentale_nel_world_wide_web.html
36 In un processo tipicamente deduttivo si presume, ad esempio, che un utente sia interessato
all'acquisto di musica se sta visitando il sito di un negozio online di musica
Pag. 21
che effettuate con determinate parole chiave o dalla lettura delle pagine il cui
contenuto risulta associato alle stesse keywords.
Nell'ultima ipotesi, infine, l'elemento prevalente è costituito da una storia
delle visite ed, in particolare, delle azioni compiute da ogni singolo visitatore
durante la propria esperienza di navigazione.
Ma come possono essere raccolti i dati su Internet ?
Una delle tecniche più diffuse è quella dei cookies, piccoli file di testo, in
viati dai server web e memorizzati sul computer dell'utente, contenenti le in
formazioni più disparate (numero identificativo, pagine visitate, annunci con
sultati, ecc...).
Sebbene il meccanismo sia stato originariamente sviluppato per rendere
più fruibile la navigazione in rete, esso si presta pure ad un utilizzo con finalità
di profilazione.
In alcune circostanze i cookies possono concorrere a realizzare forme di
trattamento dei dati personali.
Questo accade quando i dati in essi contenuti consentono l'identificazio
ne di un soggetto, anche indirettamente, attraverso l'associazione con altri
dati (nome utente, indirizzo email o anagrafico, ecc...).
L'acquisizione dei dati mediante cookies deve, quindi, ritenersi soggetta
alle prescrizioni della legislazione sulla privacy, anche perchè avviene, spes
so, con modalità automatiche ed invisibili38.
La conseguenza più immediata è che ai soggetti interessati deve essere
reso noto, con una privacy policy, l'utilizzo dei cookies e deve essere fornita
una informativa idonea contenente gli elementi previsti dall'art. 13 (tipologia
dei dati, finalità della raccolta, modalità di trattamento, diritti, ecc....); inoltre
ad ogni soggetto deve essere offerta la possibilità di scegliere se accettare o
rifiutare i cookies.
Le medesime considerazioni valgono anche per altri stratagemmi che
operano automaticamente (ad es. quelli basati sulle tecnologie javascript,
java, ecc....), ovviamente nei limiti, appena indicati, in cui essi realizzano casi
di trattamento dei dati personali.
Le carte fedeltà
Le cd. carte fedeltà rientrano nel quadro generale delle iniziative di fide
lizzazione della clientela ma non è raro che vengano rilasciate anche con la
finalità di raccogliere informazioni specifiche relative ai comportamenti di ac
quisto (volumi di spesa, tipologia di beni o servizi acquistati, frequenza,
ecc...).
38 Vedi Raccomandazione 1/99 del gruppo di lavoro dell'art. 29 sul trattamento invisibile ed automatico
dei dati personali su Internet effettuato da software ed hardware
Pag. 22
La raccolta dei dati personali alla base di questo sistema rientra nelle
previsioni del d.lgs. 196/03, tanto che il garante ha ritenuto di dover fare chia
rezza in materia con il provvedimento generale del 24 febbraio 2005 39.
I punti salienti di questo provvedimento riguardano il rispetto dei principi
di necessità e proporzionalità, la completezza della informativa, l'esigenza di
un consenso libero e la fissazione di termini per la conservazione dei dati.
Necessità e proporzionalità implicano l'osservanza di presupposti diffe
renti, a seconda delle finalità perseguite:
• fidelizzazione: i dati raccolti devono essere soltanto quelli che
permettono di accedere ai vantaggi della carta (informazioni anagrafi
che e sul volume globale di spesa progressivamente realizzato con l'e
sclusione, salvo casi particolari, dei dati di dettaglio aventi ad oggetto
le tipologie di beni o servizi acquistati, ecc...)40
• profilazione: i dati devono avere, di regola, natura anonima o non
identificativa ed essere privi di riferimenti che permettano di individuare
gli interessati e le caratteristiche inerenti la loro sfera personale. Nei
casi in cui ciò non sia praticabile, i dati personali, con l'esclusione di
quelli sensibili, possono essere oggetto di trattamento in banche dati,
purché separate da quelle utilizzate per altre finalità
• marketing diretto: possono essere acquisiti solo i dati stretta
mente indispensabili per l'invio di materiale pubblicitario, le comunica
zioni commerciali o la vendita diretta
L'informativa che precede ogni trattamento deve essere chiara e comple
ta, identificando i soggetti ai quali i dati vengono eventualmente comunicati
ed evidenziando le caratteristiche delle varie attività di profilazione e marke
ting diretto.
Mentre i dati richiesti per le singole iniziative di fidelizzazione non richie
dono il consenso degli interessati, essendo funzionali all'adempimento di ob
blighi derivanti da un contratto 41, per tutte le altre finalità, invece, il consenso
deve essere raccolto in modo distinto.
In ogni caso non sono lecite forme di condizionamento di alcun tipo, po
ste in essere subordinando, ad esempio, la fruizione dei vantaggi alla conces
sione dell'autorizzazione al trattamento dei propri dati per finalità di marketing
42
.
40 Cfr. provvedimento del garante del 28 maggio 2009, Fidelity card: prescrizioni su trattamento
eccedente di dati personali e informativa al cliente, su http://www.garanteprivacy.it/garante/doc.jsp?
ID=1625257
41 Ipotesi che realizza una delle fattispecie di trattamento senza consenso, ai sensi dell'art. 24, in
appendice normativa
42 Cfr. provvedimento del garante del 24 maggio 2006: profilazione e fidelizzazione nella grande
distribuzione, su http://www.garanteprivacy.it/garante/doc.jsp?ID=1298784
Pag. 23
Per quanto riguarda invece la conservazione, i dati personali relativi al

dettaglio degli acquisti possono essere trattati, per finalità di profilazione o
marketing, per un periodo di tempo non superiore, rispettivamente, a dodici o
ventiquattro mesi decorrenti dalla data della registrazione.
Nel caso di eventi quali la scadenza, la restituzione della carta, ecc...,
deve essere previsto un termine di conservazione non superiore ai tre mesi
per le sole finalità amministrative.
Pag. 24
Capitolo 4
Il marketing geografico
Il marketing geografico prevede l'impiego di sistemi che utilizzano infor
mazioni di natura geografica (Geographic Information System) nell'ambito del
processo di pianificazione ed implementazione delle varie attività del marke
ting mix (prodotto, prezzo, promozione e posizionamento).
Si tratta in pratica di sistemi di business intelligence, espressione di un
marketing di tipo territoriale, che guidano le scelte operative, permettendo di
definire le azioni più appropriate in relazione al particolare ambito geografico
in cui si trova od opera una determinata realtà.
Il risultato è dato da una ottimizzazione delle stesse attività e strategie,
comprese quelle di natura promozionale, grazie anche alla scelta di forme di
comunicazione più idonee per il contesto di riferimento.
I servizi basati sulla localizzazione

Nell'ambito delle implicazioni pratiche del marketing geografico o territo
riale rientrano alcuni servizi accessibili attraverso dispositivi mobili (cellulari,
smartphone o pda, computer portatili, ecc...).
Tali servizi denominati LBS, acronimo di Location Based Services, rap
presentano il frutto dello sviluppo tecnologico nel settore delle comunicazioni
mobili ed abbracciano tutte quelle applicazioni che sfruttano la capacità di de
terminare la posizione geografica di una periferica per fornire servizi di valore
aggiunto (emergenza, navigazione su strada, informazioni turistiche, commer
ciali o meteorologiche, localizzazione di persone, ecc...).
Da un punto di vista tecnologico il funzionamento dei sistemi di localizza
zione può essere incentrato sulla rete oppure esterno, a seconda che la sor
gente delle informazioni rientri o meno sotto il controllo di un operatore di co
municazioni elettroniche.
Alla prima categoria appartengono le reti GSM/UMTS, mentre nel secon
do gruppo rientrano la rete satellitare GPS (Global Positioning System), Gali
leo, i sistemi di posizionamento peer-to-peer o quelli basati su ponti radio o su
reti wireless.
L'architettura complessiva prevede il coinvolgimento di tre entità: il forni
tore dei servizi, l'utente e l'operatore delle comunicazioni: quest'ultimo, in par
ticolare, agisce da intermediario trasmettendo i dati di localizzazione al forni
tore dei servizi, il quale combina questi dati con quelli geografici per erogare
quanto richiesto.
Pag. 25
Dalla premessa si evince, quindi, che i dati relativi all'ubicazione43 hanno

un ruolo fondamentale per il corretto funzionamento dell'intera architettura.
D'altra parte essi riguardano sempre una persona fisica, identificata od
identificabile e, nella misura in cui consentono di determinarne il posiziona
mento, finiscono per acquisire anche un valore commerciale non trascurabile.
Per queste ragioni tutte le parti coinvolte, direttamente ed indirettamente,
nella fornitura di un servizio a valore aggiunto basato su dati di ubicazione
devono attenersi ai principi vigenti in materia di protezione dei dati personali.
Tali principi sono quelli dettati dall'art. 126 del d.lgs. 196/03 44: il primo
comma subordina la possibilità del trattamento al fatto che le informazioni ab
biano natura anonima oppure al preventivo consenso dell'utente o abbonato
45
.
Prima della richiesta del consenso il soggetto che effettua la raccolta dei
dati relativi all'ubicazione46 deve trasmettere all'interessato una informativa
chiara, completa ed esaustiva su:
1. tipologia di dati trattati
2. finalità e durata del trattamento
3. eventuale trasmissione dei dati a terzi fornitori di servizi a valore aggiunto
4. identità del titolare, responsabile ed eventuale rappresentante
5. diritti degli interessati previsti dall'art. 7, compreso il diritto di revocare il
proprio consenso in qualsiasi momento, e quello di richiedere,
gratuitamente ed in modo agevole, l'interruzione temporanea del
trattamento per ciascun collegamento alla rete o trasmissione di
comunicazioni
Il consenso deve essere manifestato specificamente47 e devono essere

adottate misure adeguate per accertare che la volontà sia espressa dalla per
sona cui effettivamente si riferiscono i dati.
Esso può comunque riguardare una singola operazione specifica oppure
un trattamento su base continuativa.
Con riferimento a quest'ultima eventualità il gruppo di lavoro dell'art. 29 48
ha formulato alcune raccomandazioni, ritenendo che il fornitore dei servizi a
43 La definizione si ricava dall'art. 4, comma 2, lett. i) del codice della privacy, in appendice normativa
45 Anche se la norma non è molto chiara al riguardo si ritiene che il consenso debba essere quello della
persona cui si riferiscono i dati di ubicazione, cioè in pratica dell'utilizzatore dell'apparecchiatura
terminale; Vedi il parere del 25 novembre 2005, adottato dal gruppo di lavoro dell'art. 29 e relativo
all'uso dei dati di ubicazione al fine di fornire servizi a valore aggiunto, disponibile all'indirizzo
http://www.europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2005/wp115_it.pdf
46 Si tratta del fornitore dei servizi a valore aggiunto oppure, nel caso in cui il fornitore non sia in contatto
diretta con l'interessato, l'operatore delle comunicazione elettroniche
47 Deve, perciò, escludersi che un valido consenso possa essere formulato in sede di accettazione delle
condizioni generali del servizio di comunicazione elettronica
48 Cfr. parere del 25 novembre 2005, cit.
Pag. 26
valore aggiunto debba:

• confermare l'iscrizione al servizio inviando un messaggio al termi
nale dell'utente, dopo aver ricevuto il consenso, oppure chiedere con
ferma esplicita dell'iscrizione
• comunicare, periodicamente, all'interessato la circostanza che il
suo terminale costituisce oggetto di localizzazione.
Le caratteristiche dei dati trattati obbligano, inoltre, ad adottare misure di
sicurezza specifiche, sia dal punto di vista della conservazione, che per quan
to concerne l'accesso.
La conservazione non può infatti estendersi oltre il termine per la fornitu
ra del servizio: una volta che quest'ultimo è cessato i dati vanno cancellati, a
meno che non siano necessari ai fini della fatturazione, oppure resi anonimi.
Sull'ultimo punto, invece, si pronuncia il comma 4 dell'art 126: l'accesso è
consentito, previa identificazione e registrazione, alle sole persone che opera
no sotto l'autorità del soggetto fornitore del servizio, nella misura e per il tem
po necessari.
Pag. 27
Appendice normativa
Decreto Legislativo 30 giugno 2003, n. 196 (Codice della privacy)
Art. 3 – Principio di necessità nel trattamento dei dati
Art. 4 – Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effet
tuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione, l'elabo
razione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancella
zione e la distruzione di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione
diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed et
nica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politi
che, l'adesione a partiti, sindacati,associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rive
lare lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di
cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 no
vembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle san
zioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la
qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministra
zione e qualsiasi altro ente, associazione od organismo cui competono, an
che unitamente ad altro titolare, le decisioni in ordine alle finalità, alle mo
dalità del trattamento di dati personali e agli strumenti utilizzati, ivi com
preso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo preposti
dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni
di trattamento dal titolare o dal responsabile;
Pag. 29
i) "interessato", la persona fisica, la persona giuridica, l'ente o l'as

sociazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o più
soggetti determinati diversi dall'interessato, dal rappresentante del titolare
nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indetermi
nati, in qualunque forma, anche mediante la loro messa a disposizione o con
sultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamen
to, non può essere associato ad un interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con sospensione tem
poranea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ri
partito in una o più unità dislocate in uno o più siti;
q) "Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31
dicembre 1996, n 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) "comunicazione elettronica", ogni informazione scambiata o tra
smessa tra un numero finito di soggetti tramite un servizio di comunicazio
ne elettronica accessibile al pubblico.
Sono escluse le informazioni trasmesse al pubblico tramite una rete
di comunicazione elettronica, come parte di un servizio di radiodiffusione,
salvo che le stesse informazioni siano collegate ad un abbonato o utente ri
cevente, identificato o identificabile;
b) "chiamata", la connessione istituita da un servizio telefonico accessibi
le al pubblico, che consente la comunicazione bidirezionale in tempo reale;
c) "reti di comunicazione elettronica", i sistemi di trasmissione, le
apparecchiature di commutazione o di instradamento e altre risorse che con
sentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o
con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mo
bili e fisse a commutazione di circuito e a commutazione di pacchetto, com
presa Internet, le reti utilizzate per la diffusione circolare dei programmi
sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misu
ra in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, in
dipendentemente dal tipo di informazione trasportato;
d) "rete pubblica di comunicazioni", una rete di comunicazioni elet
troniche utilizzata interamente o prevalentemente per fornire servizi di comu
nicazione elettronica accessibili al pubblico;
Pag. 30
e) "servizio di comunicazione elettronica", i servizi consistenti esclu

sivamente o prevalentemente nella trasmissione di segnali su reti di co
municazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di
trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva,
nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del
Parlamento europeo e del Consiglio, del 7marzo 2002;
f) "abbonato", qualunque persona fisica, persona giuridica, ente o asso
ciazione parte di un contratto con un fornitore di servizi di comunicazione elet
tronica accessibili al pubblico per la fornitura di tali servizi, o comunque desti
natario di tali servizi tramite schede prepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio di co
municazione elettronica accessibile al pubblico, per motivi privati o com
merciali, senza esservi necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento
ai fini della trasmissione di una comunicazione su una rete di comunicazione
elettronica o della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunica
zione elettronica che indica la posizione geografica dell'apparecchiatura ter
minale dell'utente di un servizio di comunicazione elettronica accessibile al
pubblico;
l) "servizio a valore aggiunto", il servizio che richiede il trattamento
dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati rela
tivi al traffico, oltre a quanto è necessario per la trasmissione di una comuni
cazione o della relativa fatturazione;
m) "posta elettronica", messaggi contenenti testi, voci, suoni o im
magini trasmessi attraverso una rete pubblica di comunicazione, che
possono essere archiviati in rete o nell'apparecchiatura terminale rice
vente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) "misure minime", il complesso delle misure tecniche, informati
che, organizzative, logistiche e procedurali di sicurezza che configurano il li
vello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo
31;
b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori
e qualunque dispositivo elettronico o comunque automatizzato con cui si ef
fettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici e del
le procedure per la verifica anche indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso
di una persona, da questa conosciuti o ad essa univocamente correlati,
Pag. 31
utilizzati per l'autenticazione informatica;

e) "parola chiave", componente di una credenziale di autenticazione
associata ad una persona ed a questa nota, costituita da una sequen
za di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente
associate ad una persona, che consente di individuare a quali dati essa può
accedere, nonché i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle pro
cedure che abilitano l'accesso ai dati e alle modalità di trattamento de
gli stessi, in funzione del profilo di autorizzazione del richiedente.
3. Ai fini del presente codice si intende, altresì, per:
a) "misure minime", il complesso delle misure tecniche, informati
che, organizzative, logistiche e procedurali di sicurezza che configurano il li
vello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo
31;
b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori
e qualunque dispositivo elettronico o comunque automatizzato con cui si ef
fettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici e del
le procedure per la verifica anche indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso
di una persona, da questa conosciuti o ad essa univocamente correlati,
utilizzati per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale di autenticazione
associata ad una persona ed a questa nota, costituita da una sequen
za di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente
associate ad una persona, che consente di individuare a quali dati essa può
accedere, nonché i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle pro
cedure che abilitano l'accesso ai dati e alle modalità di trattamento de
gli stessi, in funzione del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalità di studio, indagine, ricerca e documentazione
di figure, fatti e circostanze del passato;
b) "scopi statistici", le finalità di indagine statistica o di produzione
di risultati statistici, anche a mezzo di sistemi informativi statistici;
Pag. 32
c) "scopi scientifici", le finalità di studio e di indagine sistematica fina

lizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.
Art. 7 – Diritto di accesso ai dati personali ed altri diritti

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno
di dati personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausi
lio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresen
tante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a conoscenza in qualità
di rappresentante designato nel territorio dello Stato, di responsabili o incari
cati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'inte
grazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco
dei dati trattati in violazione di legge, compresi quelli di cui non è necessa
ria la conservazione in relazione agli scopi per i quali i dati sono stati rac
colti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono
state portate a conoscenza, anche per quanto riguarda il loro contenuto, di
coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in
cui tale adempimento si rivela impossibile o comporta un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo ri
guardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di mate
riale pubblicitario o di vendita diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale.
Pag. 33
Art. 8 – Esercizio dei diritti

1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza
formalità al titolare o al responsabile, anche per il tramite di un incarica
to, alla quale è fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere esercitati con ri
chiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo
145, se i trattamenti di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n.
143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e suc
cessive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n.
419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e
successive modificazioni, in materia di sostegno alle vittime di richieste estor
sive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'arti
colo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in
base ad espressa disposizione di legge, per esclusive finalità inerenti alla
politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli in
termediari e dei mercati creditizi e finanziari, nonché alla tutela della loro sta
bilità;
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo
durante il quale potrebbe derivarne un pregiudizio effettivo e concreto
per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in
sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico
relativamente a comunicazioni telefoniche in entrata, salvo che possa deri
varne un pregiudizio effettivo e concreto per lo svolgimento delle investi
gazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e
grado o il Consiglio superiore della magistratura o altri organi di autogover
no o il Ministero della giustizia;
h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge
1 aprile 1981, n. 121.
3. Il Garante, anche su segnalazione dell'interessato, nei casi di cui al
comma 2, lettere a), b), d), e) ed f) provvede nei modi di cui agli articoli 157,
158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma,
provvede nei modi di cui all'articolo 160.
4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di ca
rattere oggettivo, può avere luogo salvo che concerna la rettificazione o
Pag. 34
l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinio

ni o ad altri apprezzamenti di tipo soggettivo, nonché l'indicazione di
condotte da tenersi o di decisioni in via di assunzione da parte del ti
tolare del trattamento.
Art. 9 – Modalità di esercizio

1. La richiesta rivolta al titolare o al responsabile può essere trasmessa
anche mediante lettera raccomandata, telefax o posta elettronica. Il Ga
rante può individuare altro idoneo sistema in riferimento a nuove soluzioni
tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi
1 e 2, la richiesta può essere formulata anche oralmente e in tal caso
è annotata sinteticamente a cura dell'incaricato o del responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può confe
rire, per iscritto, delega o procura a persone fisiche, enti, associazioni
od organismi. L'interessato può, altresì, farsi assistere da una persona di
fiducia.
3. I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone
decedute possono essere esercitati da chi ha un interesse proprio, o agisce
a tutela dell'interessato o per ragioni familiari meritevoli di protezione.
4. L'identità dell'interessato è verificata sulla base di idonei elementi
di valutazione, anche mediante atti o documenti disponibili o esibizione
o allegazione di copia di un documento di riconoscimento. La persona
che agisce per conto dell'interessato esibisce o allega copia della pro
cura, ovvero della delega sottoscritta in presenza di un incaricato o sotto
scritta e presentata unitamente a copia fotostatica non autenticata di un
documento di riconoscimento dell'interessato. Se l'interessato è una perso
na giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona
fisica legittimata in base ai rispettivi statuti od ordinamenti.
5. La richiesta di cui all'articolo 7, commi 1 e 2, è formulata liberamente e
senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati
motivi, con intervallo non minore di novanta giorni.
Art. 10 – Riscontro all'interessato

1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il
titolare del trattamento è tenuto ad adottare idonee misure volte, in partico
lare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato,
anche attraverso l'impiego di appositi programmi per elaboratore finalizzati
ad un'accurata selezione dei dati che riguardano singoli interessati identificati
o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al
richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il
Pag. 35
pubblico.
2. I dati sono estratti a cura del responsabile o degli incaricati e posso
no essere comunicati al richiedente anche oralmente, ovvero offerti in visione
mediante strumenti elettronici, sempre che in tali casi la comprensione dei
dati sia agevole, considerata anche la qualità e la quantità delle informazio
ni. Se vi è richiesta, si provvede alla trasposizione dei dati su suppor
to cartaceo o informatico, ovvero alla loro trasmissione per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare trattamento o a
specifici dati personali o categorie di dati personali, il riscontro all'inte
ressato comprende tutti i dati personali che riguardano l'interessato co
munque trattati dal titolare. Se la richiesta è rivolta ad un esercente una
professione sanitaria o ad un organismo sanitario si osserva la disposizione
di cui all'articolo 84, comma 1.
4. Quando l'estrazione dei dati risulta particolarmente difficoltosa il
riscontro alla richiesta dell'interessato può avvenire anche attraverso l'e
sibizione o la consegna in copia di atti e documenti contenenti i dati per
sonali richiesti.
5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non
riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trat
tati o la privazione di alcuni elementi renda incomprensibili i dati personali re
lativi all'interessato.
6. La comunicazione dei dati è effettuata in forma intelligibile anche at
traverso l'utilizzo di una grafia comprensibile. In caso di comunicazione di
codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la
comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, let
tere a), b) e c) non risulta confermata l'esistenza di dati che riguardano
l'interessato, può essere chiesto un contributo spese non eccedente i costi
effettivamente sopportati per la ricerca effettuata nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque superare l'importo
determinato dal Garante con provvedimento di carattere generale, che
può individuarlo forfettariamente in relazione al caso in cui i dati sono
trattati con strumenti elettronici e la risposta è fornita oralmente. Con il me
desimo provvedimento il Garante può prevedere che il contributo possa esse
re chiesto quando i dati personali figurano su uno speciale supporto del
quale è richiesta specificamente la riproduzione, oppure quando, presso
uno o più titolari, si determina un notevole impiego di mezzi in relazione alla
complessità o all'entità delle richieste ed è confermata l'esistenza di
dati che riguardano l'interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto anche median
te versamento postale o bancario, ovvero mediante carta di pagamento o di
Pag. 36
credito, ove possibile all'atto della ricezione del riscontro e comunque non ol
tre quindici giorni da tale riscontro.
Art. 11 – Modalità del trattamento e requisiti dei dati

1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili con tali sco
pi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non superiore a quello necessario agli scopi per
i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia
di trattamento dei dati personali non possono essere utilizzati.
Art. 13 – Informativa
1. L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono es
sere comunicati o che possono venirne a conoscenza in qualità di re
sponsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante
nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quan
do il titolare ha designato più responsabili è indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le modalità attraverso le quali
è conoscibile in modo agevole l'elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all'interessato
in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da
specifiche disposizioni del presente codice e può non comprendere gli ele
menti già noti alla persona che fornisce i dati o la cui conoscenza può ostaco
lare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni
Pag. 37
ispettive o di controllo svolte per finalità di difesa o sicurezza dello

Stato oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità sempli
ficate per l'informativa fornita in particolare da servizi telefonici di assistenza
e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'infor
mativa di cui al comma 1, comprensiva delle categorie di dati trattati, è
data al medesimo interessato all'atto della registrazione dei dati o,
quando è prevista la loro comunicazione, non oltre la prima comunica
zione.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un re
golamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Ga
rante, prescrivendo eventuali misure appropriate, dichiari manifestamente
sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Ga
rante, impossibile.
Art. 23 – Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici eco
nomici è ammesso solo con il consenso espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più opera
zioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso libera
mente e specificamente in riferimento ad un trattamento chiaramente indivi
duato, se è documentato per iscritto, e se sono state rese all'interessato le in
formazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguar
da dati sensibili.
Art. 24 – Casi nei quali può essere effettuato il trattamento senza

consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II,
quando il trattamento:
Pag. 38
a) è necessario per adempiere ad un obbligo previsto dalla legge,

da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del
quale è parte l'interessato o per adempiere, prima della conclusione del con
tratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o docu
menti conoscibili da chiunque, fermi restando i limiti e le modalità che le
leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibi
lità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati
nel rispetto della vigente normativa in materia di segreto aziendale e indu
striale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisi
ca di un terzo. Se la medesima finalità riguarda l'interessato e quest'ul
timo non può prestare il proprio consenso per impossibilità fisica, per inca
pacità di agire o per incapacità di intendere o di volere, il consenso è mani
festato da chi esercita legalmente la potestà, ovvero da un prossimo
congiunto, da un familiare, da un convivente o, in loro assenza, dal responsa
bile della struttura presso cui dimora l'interessato. Si applica la disposizione
di cui all'articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397,
o, comunque, per far valere o difendere un diritto in sede giudiziaria, sem
pre che i dati siano trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei casi individuati dal
Garante sulla base dei principi sanciti dalla legge, per perseguire un le
gittimo interesse del titolare o di un terzo destinatario dei dati, anche in
riferimento all'attività di gruppi bancari e di società controllate o collegate,
qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legitti
mo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione,
è effettuato da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari
o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati
dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità
di utilizzo previste espressamente con determinazione resa nota agli interes
sati all'atto dell'informativa ai sensi dell'articolo 13;
i) è necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi
Pag. 39
scopi storici presso archivi privati dichiarati di notevole interesse storico ai

sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999,
n. 490, di approvazione del testo unico in materia di beni culturali e am
bientali o, secondo quanto previsto dai medesimi codici, presso altri archivi
privati.
Art. 37 – Notificazione del trattamento

1. Il titolare notifica al Garante il trattamento di dati personali cui inten
de procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita, prestazione di servizi sanitari per via telematica re
lativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rile
vazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di
organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da as
sociazioni, enti od organismi senza scopo di lucro, anche non riconosciu
ti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o
la personalità dell'interessato, o ad analizzare abitudini o scelte di con
sumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettroni
ca con esclusione dei trattamenti tecnicamente indispensabili per fornire i
servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale
per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricer
che di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elet
tronici e relative al rischio sulla solvibilità economica, alla situazione patrimo
niale, al corretto adempimento di obbligazioni, a comportamenti illeciti o frau
dolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1
non è dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera
scelta, in quanto tale funzione è tipica del loro rapporto professionale con il
Servizio sanitario nazionale.
2. Il Garante può individuare altri trattamenti suscettibili di recare
pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative
modalità o della natura dei dati personali, con proprio provvedimento
adottato anche ai sensi dell'articolo 17. Con analogo provvedimento
pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il Garante
può anche individuare, nell'ambito dei trattamenti di cui al comma 1,
Pag. 40
eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto

sottratti all'obbligo di notificazione.
3. La notificazione è effettuata con unico atto anche quando il trat
tamento comporta il trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei
trattamenti accessibile a chiunque e determina le modalità per la sua
consultazione gratuita per via telematica, anche mediante convenzioni
con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili
tramite la consultazione del registro possono essere trattate per esclusive fi
nalità di applicazione della disciplina in materia di protezione dei dati persona
li.
Art. 126 – Dati relativi all'ubicazione

1. I dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli
utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comuni
cazione elettronica accessibili al pubblico, possono essere trattati solo se
anonimi o se l'utente o l'abbonato ha manifestato previamente il proprio con
senso, revocabile in ogni momento, e nella misura e per la durata neces
sari per la fornitura del servizio a valore aggiunto richiesto.
2. Il fornitore del servizio, prima di richiedere il consenso, informa gli
utenti e gli abbonati sulla natura dei dati relativi all'ubicazione diversi dai dati
relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla
durata di quest'ultimo, nonché sull'eventualità che i dati siano trasmessi
ad un terzo per la prestazione del servizio a valore aggiunto.
3. L'utente e l'abbonato che manifestano il proprio consenso al
trattamento dei dati relativi all'ubicazione, diversi dai dati relativi al traffico,
conservano il diritto di richiedere, gratuitamente e mediante una funzione
semplice, l'interruzione temporanea del trattamento di tali dati per cia
scun collegamento alla rete o per ciascuna trasmissione di comunicazioni.
4. Il trattamento dei dati relativi all'ubicazione diversi dai dati relati
vi al traffico, ai sensi dei commi 1, 2 e 3, è consentito unicamente ad
incaricati del trattamento che operano ai sensi dell'articolo 30, sono la
diretta autorità del fornitore del servizio di comunicazione elettronica ac
cessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di
comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il
trattamento è limitato a quanto è strettamente necessario per la fornitu
ra del servizio a valore aggiunto e deve assicurare l'identificazione del
l'incaricato che accede ai dati anche mediante un'operazione di interrogazio
ne automatizzata.
Pag. 41
Art. 129 – Elenchi di abbonati

1. Il Garante individua con proprio provvedimento, in cooperazione con
l'Autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154, comma
3, e in conformità alla normativa comunitaria, le modalità di inserimento e di
successivo utilizzo dei dati personali relativi agli abbonati negli elenchi carta
cei o elettronici a disposizione del pubblico, anche in riferimento ai dati già
raccolti prima della data di entrata in vigore del presente codice.
2. Il provvedimento di cui al comma 1 individua idonee modalità per la
manifestazione del consenso all 'inclusione negli elenchi e, rispettivamente,
all'utilizzo dei dati per le finalità di cui all'articolo 7, comma 4, lettera b), in
base al principio della massima semplificazione delle modalità di inclu
sione negli elenchi a fini di mera ricerca dell'abbonato per comuni
cazioni interpersonali, e del consenso specifico ed espresso qualora il tratta
mento esuli da tal i fini, nonché in tema di verifica, rettifica o cancellazione dei
dati senza oneri.
Art. 130 – Comunicazioni indesiderate

1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un
operatore per l'invio di materiale pubblicitario o di vendita diretta o per
il compimento di ricerche di mercato o di comunicazione commerciale è
consentito con il consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni
elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica,
telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short
Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le fina
lità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati,
sono consentite ai sensi degli articoli 23 e 24.
4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento
utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di
posta elettronica fornite dall'interessato nel contesto della vendita di un
prodotto o di un servizio, può non richiedere il consenso dell'interessa
to, sempre che si tratti di servizi analoghi a quelli oggetto della vendi
ta e l'interessato, adeguatamente informato, non rifiuti tale uso, inizial
mente o in occasione di successive comunicazioni. L'interessato, al mo
mento della raccolta e in occasione dell'invio di ogni comunicazione ef
fettuata per le finalità di cui al presente comma, è informato della pos
sibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratui
tamente.
5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al
comma 1 o, comunque, a scopo promozionale, effettuato camuffando o ce
lando l'identità del mittente o senza fornire un idoneo recapito presso il
Pag. 42
quale l'interessato possa esercitare i diritti di cui all'articolo 7.

6. In caso di reiterata violazione delle disposizioni di cui al presen
te articolo il Garante può, provvedendo ai sensi dell'articolo 143, com
ma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione
elettronica di adottare procedure di filtraggio o altre misure praticabili relati
vamente alle coordinate di posta elettronica da cui sono stati inviate le comu
nicazioni.
Art. 161 – Omessa o inidonea informativa all'interessato

1. La violazione delle disposizioni di cui all'articolo 13 è punita con la san
zione amministrativa del pagamento di una somma da tremila euro a di
ciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che
presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore
rilevanza del pregiudizio per uno o più interessati, da cinquemila euro
a trentamila euro. La somma può essere aumentata sino al triplo quan
do risulta inefficace in ragione delle condizioni economiche del contrav
ventore.
Pag. 43
Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo)
Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza

1. L'impiego da parte di un professionista del telefono, della posta elet
tronica, di sistemi automatizzati di chiamata senza l'intervento di un operato
re o di fax richiede il consenso preventivo del consumatore.
2. Tecniche di comunicazione a distanza diverse da quelle di cui al com
ma 1, qualora consentano una comunicazione individuale, possono essere
impiegate dal professionista se il consumatore non si dichiara esplicitamente
contrario 49.
49 Secondo l'art. 19-bis della legge 23 febbraio 2006, n. 51, di conversione del decreto legge 30
dicembre 2005, n. 273, il comma 2 dell'art. 58 del codice del consumo trova applicazione anche in
deroga alle disposizioni del codice della privacy.
Pag. 44
Autorità garante della privacy
Provvedimento generale del 29 maggio 2003, Spamming: regole per un

corretto invio delle e-mail pubblicitarie
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente,
del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del
dr. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario ge
nerale;
VISTI i reclami e le segnalazioni pervenuti all’Autorità circa l’indebito uti
lizzo della posta elettronica per finalità promozionali e pubblicitarie;
VISTE le decisioni già adottate dal Garante in materia e ritenuto neces
sario adottare un provvedimento di carattere generale sull’applicazione della
disciplina in materia;
VISTI la legge 31 dicembre 1996, n. 675, il d.lg. 13 maggio 1998, n. 171
e le altre disposizioni applicabili;
VISTI gli atti d’ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi del’art.
15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO
1. I DISAGI DI NUMEROSI UTENTI
Continuano a pervenire a questa Autorità diverse centinaia di reclami e
segnalazioni da parte di utenti di reti telematiche e di associazioni per la tute
la dei diritti di utenti e consumatori, che contestano la ricezione di messaggi di
posta elettronica per scopi promozionali, pubblicitari, di informazione commer
ciale o di vendita diretta, inviati senza che gli interessati abbiano manifestato
in precedenza il proprio consenso informato.
Numerosi interessati espongono anche ulteriori disagi derivanti dalla co
stante ripetizione di analoghi messaggi da parte di uno stesso mittente titolare
del trattamento, dai vani tentativi esperiti per ottenere sia la cancellazione del
proprio indirizzo di posta elettronica presso i mittenti, sia l’interruzione di altri
messaggi. Altre segnalazioni riguardano gli inconvenienti che derivano dalla
ricezione di e-mail anonime o prive dell’indicazione di un indirizzo, oppure del
le coordinate veritiere di un reale mittente.
Nella prevalenza dei casi, agli interessati non è stato previamente richie
sto, come dovuto, uno specifico consenso preceduto da un’idonea informati
va che illustri adeguatamente le modalità e le caratteristiche dei messaggi.
Pag. 45
In altri casi i messaggi sono inviati da imprese -anche in questo caso

senza consenso- per promuovere, presso clienti, prodotti o servizi analoghi a
quelli forniti in un rapporto contrattuale, oppure per offrire altri tipi di prodotti o
servizi distribuiti anche da terzi.
Il Garante ha fornito assistenza a numerosi cittadini, indicando le oppor
tune modalità di tutela; ha poi attivamente cooperato in sede comunitaria per
l’adozione di decisioni comuni alle autorità di garanzia dei Paesi dell’Unione
europea, pubblicate nel sito Internet di quest’ultima e in quello del Garante
(www.garanteprivacy.it).
L’Autorità ha anche accolto numerosi ricorsi (art. 29 legge n. 675/1996),
a seguito dei quali sono stati impartiti specifici divieti di trattamento dei dati.
Sono stati altresì avviati i procedimenti per applicare le pertinenti sanzioni
amministrative e sono stati trasmessi gli atti all’autorità giudiziaria penale nei
casi in cui erano configurabili reati.
Con la collaborazione di forze di polizia, incaricate da questa Autorità di
svolgere i necessari controlli e di dare esecuzione ai provvedimenti, sono sta
ti eseguiti in loco, presso fornitori di servizi ed altri titolari di trattamento, vari
provvedimenti di sospensione temporanea di ogni operazione illecita del trat
tamento dei dati personali da parte di società risultate responsabili di attività
svolte in modo sistematico. Infine, sono stati eseguiti accertamenti presso al
tri fornitori di servizi di accesso ad Internet o ulteriori soggetti, per verificare la
rispondenza dei trattamenti di dati alla normativa vigente.
A conclusione di queste attività, il Garante ravvisa la necessità di adotta
re un provvedimento di carattere generale per indicare le misure che gli ope
ratori del settore devono adottare al fine di conformarsi alla disciplina genera
le sull’uso dei dati personali, specie nel settore delle comunicazioni (in parti
colare, alla legge 31 dicembre 1996, n. 675, al decreto legislativo 13 maggio
1998, n. 171 e al decreto legislativo 22 maggio 1999, n. 185). L’Autorità ritie
ne inoltre necessario inibire il trattamento illecito di dati risultante da altre se
gnalazioni il cui esame è stato riunito in un unico procedimento, in particolare
di quelle relative a titolari di trattamento identificabili.
2. INVIO LECITO DI POSTA ELETTRONICA PUBBLICITARIA
Gli indirizzi di posta elettronica recano dati di carattere personale da trat
tare nel rispetto della normativa in materia (art. 1, comma 1 lett. c), legge n.
675).
La loro utilizzazione per scopi promozionali e pubblicitari è possibile solo
se il soggetto cui riferiscono i dati ha manifestato in precedenza un consenso
libero, specifico e informato.
Il consenso è necessario anche quando gli indirizzi sono formati ed utiliz
zati automaticamente con un software senza l’intervento di un operatore, o in
mancanza di una previa verifica della loro attuale attivazione o dell’identità del
Pag. 46
destinatario del messaggio, e anche quando gli indirizzi non sono registrati
dopo l’invio dei messaggi.
Questo assetto, basato su una scelta dell’interessato c.d. di opt-in, è sta
to ribadito nel 1998 (con il d.lg. n. 171) prima ancora che una recente direttiva
comunitaria lo estendesse a tutti i Paesi dell’Unione europea (n. 2002/58/CE
in fase di recepimento in Italia, pubblicata sulla G.U.C.E. n. L 201 del 31 lu
glio 2002).
Questa Autorità si è pronunciata più volte in materia ribadendo che la cir
costanza che gli indirizzi di posta elettronica possano essere reperiti con una
certa facilità in Internet non comporta il diritto di utilizzarli liberamente per in
viare messaggi pubblicitari (cfr., ra l’altro, la decisione dell’11 gennaio 2001 -
in Bollettino del Garante n. 16).
In particolare, i dati dei singoli utenti che prendono parte a gruppi di di
scussione in Internet sono resi conoscibili in rete per le sole finalità di parteci
pazione ad una determinata discussione e non possono essere utilizzati per
fini diversi qualora manchi un consenso specifico (art. 9, comma 1, lettere a)
e b), legge n. 675).
Ad analoga conclusione deve pervenirsi per gli indirizzi di posta elettroni
ca compresi nella lista “anagrafica” degli abbonati ad un Internet provider
(qualora manchi, anche in questo caso, un consenso libero e specifico), op
pure pubblicati su siti web di soggetti pubblici per fini istituzionali.
Tali considerazioni valgono anche con riferimento ai messaggi pubblicita
ri inviati a gestori di siti web -anche di soggetti privati- utilizzando gli indirizzi
pubblicati sugli stessi siti, o che sono reperibili consultando gli elenchi dei
soggetti che hanno registrato i nomi a dominio. In quest’ultimo caso, infatti, la
conoscibilità in rete degli indirizzi è volta a identificare il soggetto che è o ap
pare responsabile, sul piano tecnico o amministrativo, di un nome a dominio o
di altre funzioni rispetto a servizi Internet (per la tutela di vari diritti sul piano
civile e penale, anche ai sensi della legge n. 675) e non anche a rendere l’in
teressato disponibile all’invio di messaggi pubblicitari).
In tutti questi casi, l’utilizzo spesso massivo della posta elettronica com
porta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare
diverso tempo per mantenere un collegamento e per ricevere, come pure per
esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibi
li, nonché a sostenere i correlativi costi per il collegamento telefonico (incre
mentati anche da messaggi di dimensioni rilevanti che rallentano tali opera
zioni), oppure ad adottare “filtri”, a verificare più attentamente la presenza di
virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito
domestico.
Il fenomeno interessa anche piccole e grandi imprese destinatarie di un
elevato numero di messaggi, le quali devono farsi carico di misure interne e
di costi anche organizzativi per contrastarlo.
Pag. 47
Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si veri

fica anche relativamente a messaggi inviati da singole persone fisiche che, in
vari casi esaminati, non si limitano ad una comunicazione episodica, ma intra
prendono una comunicazione sistematica per fini personali o, addirittura, una
diffusione di dati cui è applicabile la disciplina in materia di protezione dei dati
personali (art. 3 legge n. 675).
3. IL QUADRO GIURIDICO SU INFORMATIVA E CONSENSO
La legge individua il contenuto dell’informativa agli interessati, nonché i
casi in cui è necessario il consenso espresso dell’interessato o è possibile
prescinderne (artt. 10, 11, 12 e 20 legge n. 675).
Al riguardo va nuovamente rilevato che non può farsi a meno del consen
so ritenendo che i dati personali relativi all’indirizzo di posta elettronica –e al
l’indirizzo in particolare- siano “pubblici” in quanto conoscibili da chiunque.
Le disposizioni normative che si riferiscono a questo aspetto (artt. 12,
comma 1, lett. c) e 20, comma 1, lett. b) legge cit.) sono infatti applicabili solo
quando vi è un pubblico registro, elenco, atto o documento conoscibile da
chiunque perché vi è una specifica disciplina che ne impone la conoscibilità
indifferenziata da parte del pubblico, e non anche quando i dati personali
sono conoscibili da chiunque per mere circostanze di fatto (si pensi, oltre ai
casi già richiamati di raccolta su siti web o di messaggi trasmessi su new
sgroup o su mailing list, agli indirizzi di posta elettronica raccolti in rete tramite
appositi software o mediante comuni motori di ricerca).
Il principio del consenso è quindi già operante nel nostro ordinamento pri
ma ancora di essere affermato senza eccezioni su scala europea, dalla men
zionata direttiva n. 2002/58 in fase di recepimento, a tutta la posta elettronica
comunque inviata per fini di commercializzazione diretta (si vedano in partico
lare l’art. 13 e il considerando n. 40).
Il quadro evidenziato trova conferma nella disciplina sulla protezione dei
consumatori nei contratti a distanza che, in riferimento al rapporto sottostante
ai fini del quale si procede al trattamento di dati personali, vieta ai fornitori
l’impiego della posta elettronica in mancanza del consenso preventivo del
consumatore, in relazione a determinati scopi tra i quali rientrano anche quelli
pubblicitari (art. 10, comma 1, d.lg. 22 maggio 1999, n. 185).
Per gli aspetti relativi alla protezione dei dati personali non devono esse
re peraltro considerate le disposizioni del recente decreto legislativo 9 aprile
2003, n. 70, sul commercio elettronico, dichiarate in proposito espressamente
inapplicabili (art. 1, comma 2, lett. b) d.lg. n. 70 cit.).
Il consenso, da documentare per iscritto, deve essere manifestato libera
mente, in modo esplicito e in forma differenziata rispetto alle diverse finalità e
alle categorie di servizi e prodotti offerti, prima dell’inoltro dei messaggi (art.
11 legge n. 675).
Pag. 48
Tale disciplina non può essere elusa inviando una prima e-mail che, nel
chiedere un consenso abbia comunque un contenuto promozionale oppure
pubblicitario, oppure riconoscendo solo un diritto di tipo c.d. “opt-out” al fine di
non ricevere più messaggi dello tesso tenore.
Al contrario, è opportuna e va incoraggiata la prassi di alcuni fornitori i
quali, dopo aver ottenuto realmente un valido consenso dei destinatari, danno
semplice conferma della sua manifestazione, attraverso un messaggio volto
unicamente ad annunciare il successivo inoltro di materiale pubblicitario.
Tale prassi, se utilizzata correttamente, consente tra l’altro di verificare l’effet
tiva corrispondenza dell’indirizzo di posta elettronica ai soggetti che avevano
espresso il consenso, nonché di accertare il permanere di tale volontà.
L’insieme dei diritti riconosciuti dalla legge agli utenti determina, in caso
di loro violazione, un trattamento illecito dei dati che:
• è già vietato direttamente dalla legge, senza che sia necessario
adottare uno specifico provvedimento interdittivo del Garante dell’auto
rità giudiziaria;- determina, a seconda dei casi, l’applicazione di sanzio
ni amministrative pecuniarie, in particolare per
• omessa informativa od omessa notificazione (artt. 10, 34 e 39 leg
ge n. 675; art. 12 d.lg. n. 185/1999);
• comporta il rimborso delle spese e dei diritti relativi al procedimen
to attivato da un fondato ricorso al Garante, oppure da un’azione di
nanzi al giudice civile, come pure il risarcimento dei danni, specie di
tipo patrimoniale, che derivino dai fatti illeciti e siano comprovati dall’in
teressato in relazione ai disagi sopra illustrati;
• rende applicabile anche una sanzione penale qualora il trattamen
to illecito dei dati sia effettuato al fine di trarne per sé o per altri un pro
fitto o per arrecare ad altri un danno, con la pena accessoria della pub
blicazione della sentenza di condanna (artt. 35e 38 legge n. 675).
4. MESSAGGI PUBBLICITARI A PROPRI CLIENTI

Per effetto del recepimento della direttiva 2002/58/CE sarà peraltro pos
sibile integrare, nel prossimo futuro, la disciplina sopra illustrata, permettendo
a talune società di far conoscere a propri clienti prodotti o servizi analoghi a
quelli per i quali si è già stabilito un rapporto, con i medesimi clienti, di vendita
di prodotti o servizi.
In tali casi, la società titolare del trattamento (dopo aver informato pre
ventivamente e adeguatamente il cliente) potrà procedere all’invio del mes
saggio pubblicitario, offrendo però al cliente, in modo chiaro e distinto (sia al
momento della raccolta dei suoi dati, sia in occasione di ciascun messaggio)
il diritto di rifiutare sin dall’inizio tale uso dei dati o di obiettare, gratuitamente
e in maniera agevole, anche successivamente (art. 13, par. 2, direttiva n.
Pag. 49
2002/58/CE cit.)
5. MESSAGGI PER CONTO TERZI E ACQUISTO DI BANCHE DATI
In alcuni casi portati all’attenzione del Garante, l’invio di messaggi pubblicitari

era stato effettuato, per conto di terzi committenti, da società specializzate
che utilizzano indirizzi di posta elettronica contenuti in proprie banche dati.
Tali società, da considerarsi “titolari” o contitolari del trattamento dei dati
a seconda del rapporto che si instaura con il committente e delle modalità di
concreta utilizzazione dei dati, sono tenute a rispettare le disposizioni in tema
di informativa e specifico consenso, anche per quanto riguarda l’eventuale
comunicazione di dati personali ai committenti medesimi e le relative finalità.
Ciò comporta un quadro di obblighi e possibili responsabilità anche penali
che gli operatori devono verificare con attenzione, anche uando la società
specializzata incaricata sia stabilita fuori dell’Unione europea.
Dall’esame dei reclami e delle segnalazioni pervenuti al Garante è risulta
to, altresì, che alcuni dei soggetti che hanno utilizzato la posta elettronica per
l’invio di messaggi pubblicitari avevano acquisito da terzi le banche dati con
tenenti gli indirizzi dei destinatari. In questi casi, chi acquisisce la banca dati
deve accertare che ciascun interessato abbia validamente acconsentito alla
comunicazione del proprio indirizzo di posta elettronica ed al suo successivo
utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i
dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di infor
mativa che precisi gli elementi indicati nell’art. 10 della legge n. 675, com
prensivi di un riferimento di luogo -e non solo di posta elettronica- presso cui
l’interessato possa esercitare i diritti riconosciuti dalla legge.
6. DIRITTI DEGLI INTERESSATI
Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei

messaggi, chi detiene i dati deve assicurare in ogni caso agli interessati la
possibilità di far valere in ogni momento i diritti riconosciuti dalla legge, i quali
sono spesso esercitati per conoscere da quale fonte sono stati tratti i dati, o
per far interrompere gratuitamente la loro ulteriore utilizzazione ai fini com
merciali-pubblicitari, oppure per far cancellare i dati trattati in violazione di leg
ge (art. 13, comma 1, lett. e), della legge).
Nel sito Internet del Garante è riportato un modello-tipo per esercitare tali
diritti in maniera agevole, gratuitamente e senza particolari formalità, anche
verbalmente o mediante posta elettronica, dimostrando la propria identità (art.
17, comma 1, d.P.R. n. 501 del 31 marzo 1998). Tale modello è utilizzabile in
luogo di altri reperibili in reti telematiche che non sono pienamente validi in
quanto si riferiscono anche ad aspetti non riconosciuti dall’art. 13 della legge
n. 675 (ad esempio, chiedono il rilascio di attestazioni o la copia di autorizza
zioni non previste).
Pag. 50
I diritti vanno esercitati sulla base di tale modello direttamente presso l’in
dirizzo conoscibile del titolare o del responsabile del trattamento, riservando
solo ad un’eventuale momento successivo l’instaurazione di una procedura
contenziosa dinanzi al Garante o all’autorità giudiziaria.
Anche ai fini dell’esercizio di tali diritti, deve ritenersi che l’invio anonimo
di messaggi pubblicitari senza l’indicazione di un mittente identificabile con
creti già oggi un trattamento illecito di dati personali, a prescindere da quanto
dispone il citato d.lg. n. 70/2003 sul commercio elettronico (come si è visto,
fuori della materia della protezione dei dati personali) e da quanto, in riferi
mento ai dati personali, sarà previsto con il recepimento della direttiva n.
2002/58/CE (la quale non consente l’invio di messaggi pubblicitari quando l’i
dentità del mittente viene camuffata o addirittura celata e quando non viene
fornito un indirizzo valido che consenta al destinatario di richiedere la cessa
zione delle comunicazioni: art. 13, par. 4, dir. cit.).
I mittenti dei messaggi devono quindi indicare già oggi, in modo chiaro, la
fonte di provenienza del messaggio, nonché il soggetto e l’indirizzo –non solo
di posta elettronica- presso cui i destinatari possono esercitare i propri diritti
(si veda, in proposito, l’art. 10, comma 1, lett. f) della legge n. 675). Appare
altresì conforme al principio di correttezza indicare nell’oggetto del messaggio
la sua tipologia pubblicitaria-commerciale (art. 9, comma 1, lett. a), legge n.
675).
7. ELENCHI DI POSSIBILI DESTINATARI
L’eventuale elenco predisposto da operatori, contenente i nominativi dei sog

getti che non hanno manifestato il consenso o che lo hanno revocato (c.d.
black list) non può essere utilizzato per porre a carico degli interessati, anche
indirettamente, un onere di iscrizione nell’elenco medesimo.
Come si è illustrato, il consenso ha un connotato autorizzatorio “positivo”
in base al quale l’eventuale silenzio dell’interessato omporta il diniego del
consenso eventualmente richiesto e non rileva come assenso tacito all’invio
dei messaggi.
Consta peraltro che alcuni operatori intendono adottare la diversa prassi
di redigere anche tramite siti web appositi elenchi di persone che hanno ma
nifestato il consenso, distinti in base alle diverse categorie di messaggi com
merciali-pubblicitari che gli interessati hanno acconsentito a ricevere. Tale
prassi, se correttamente seguita, può rappresentare una misura utile, sul pia
no organizzativo, per garantire un più effettivo rispetto della volontà espressa
dai singoli. A tale riguardo, costituirà una pratica utile quella di garantire agli
interessati la possibilità di inserire direttamente il proprio nome nelle diverse
liste o di cancellarlo dalle stesse, magari attraverso un’apposita pagina web,
ferma restando l’esigenza di identificarli.
8. E-MAIL PROVENIENTI DALL’ESTERO
Pag. 51
Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la leg

ge italiana sulla protezione dei dati personali.
Ciò non comporta l’assoluta mancanza di rimedi o tutela, potendo l’utente
chiedere una verifica da parte della competente autorità nazionale di protezio
ne dei dati personali, ove istituita nel Paese eventualmente individuabile dal
messaggio.
In altri casi, come quelli relativi alle leggi degli stati federali, l’invio di mes
saggi pubblicitari di posta elettronica può essere illecito in base alla legge di
alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle compe
tenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti.
Va infine tenuto presente che alcune e-mail indesiderate possono essere
lo strumento per commettere reati comuni (ad esempio di truffa) che devono
considerarsi commessi nel territorio italiano quando, sebbene l’azione è avve
nuta all’estero, l’evento-reato che ne deriva si è verificato in Italia.
Questa Autorità si riserva di valutare la posizione dei singoli fornitori di
servizi i cui trattamenti sono stati oggetto di segnalazione, anche alla luce
dell’ulteriore documentazione eventualmente pervenuta.
In questo quadro, con separati provvedimenti relativi all’esame dei singoli
reclami e segnalazioni, si provvederà, oltre alle eventuali trasmissioni di atti
all’autorità giudiziaria penale:
a) a contestare la violazione amministrativa relativa agli obblighi di in
formativa di cui all’art. 10 della legge 31 dicembre 1966, n. 675;
b) ad avviare il procedimento per l’applicazione delle ulteriori sanzioni
amministrative previste dal d.lg. n. 185/1999;
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre
1996, n. 675, vieta l’ulteriore trattamento illecito di dati personali realiz
zato a scopi di invio di materiale pubblicitario o di vendita diretta, ovve
ro per il compimento di ricerche di mercato o di comunicazione com
merciale interattiva, effettuato in violazione delle disposizioni sopra ri
chiamate da parte dei soggetti cui si riferiscono le segnalazioni e i re
clami pervenuti;
2. ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre
1996, n. 675, segnala ai titolari del trattamento di cui agli atti del proce
dimento la necessità di conformare i trattamenti di dati personali ai
principi richiamati nel presente provvedimento.
Roma, 29 maggio 2003
Pag. 52
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
Pag. 53
Provvedimento 10 giugno 2003, Sms promozionali o di vendita diretta: le

regole per il corretto uso
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente,
del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del
dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario
generale;
VISTE le segnalazioni di utenti che lamentano la ricezione indesiderata di
messaggi Sms su apparecchi di telefonia mobile per scopi pubblicitari, di in
formazione commerciale o di vendita diretta;
VISTI la legge 31 dicembre 1996, n. 675 e il decreto legislativo 13 mag
gio 1998, n. 171, e successive modificazioni ed integrazioni;
VISTI gli atti d’ufficio;
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai
sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO:
1. SEGNALAZIONI E RECLAMI PERVENUTI
Questa Autorità ha ricevuto reclami e segnalazioni da abbonati a servizi
di telefonia mobile e detentori di carte telefoniche (compresi enti, associazioni
e persone giuridiche), relativi all’invio illecito, su propri apparecchi mobili, di
brevi messaggi di testo del tipo Short message service (Sms) per scopi pro
mozionali, pubblicitari, di informazione commerciale o di vendita diretta.
I casi rappresentati riguardano anche messaggi inviati da chi fornisce il
servizio di telefonia mobile, su abbonamento o tramite carta telefonica prepa
gata, ed invia messaggi di vario tipo ai propri clienti, sia di servizio, sia di pro
mozione di prodotti e servizi della stessa o di altre società.
Altri messaggi sono inviati da ulteriori soggetti che raccolgono in modo
diverso i numeri telefonici dei destinatari dei messaggi, ad esempio da utenti
e consumatori che richiedono un servizio o una newsletter tramite un sito web
o che, al di fuori del settore delle comunicazioni, vengono inseriti in apposite
banche dati. I numeri telefonici vengono utilizzati per pubblicizzare prodotti e
servizi, propri o di terzi, spesso di tipo promozionale, ma in taluni casi anche
per propaganda a favore di associazioni, candidati e forze politiche.
A seguito delle segnalazioni e dei reclami ricevuti, il Garante ritiene ne
cessario adottare un provvedimento di carattere generale, indicando le modi
ficazioni necessarie per conformare il trattamento di dati alla disciplina vigen
te.
Pag. 54
L’utilizzo degli Sms per le predette finalità è un fenomeno che ha subito

di recente notevole espansione anche in ragione della particolare rapidità ed
efficacia con cui tale mezzo permette di comunicare in tempo reale con un
numero elevato di interessati, ovunque essi si trovino, con una modalità che
può essere invasiva e che impiega una serie di dati personali, tra cui il nume
ro del telefono cellulare strettamente privato e la cui sfera di circolazione re
sterà rimessa all’interessato anche dopo la prevista formazione del nuovo
elenco telefonico generale.
La capacità intrusiva dello strumento Sms emerge anche da altre circo
stanze legate ad esempio agli orari -a volte notturni - in cui tali messaggi
sono inviati o ricevuti, nonché da altri disagi derivanti da afflussi consecutivi o
da eventuali costi che, attualmente o in futuro, potrebbero derivare dalla loro
ricezione, in ipotesi all’estero.
Ulteriori fattori di illiceità possono peraltro conseguire dall’alterazione, o
dal camuffamento nel messaggio, dell’identità del mittente.
Questa Autorità ha fornito recentemente indicazioni con riferimento agli
Sms inviati da enti ed uffici pubblici per finalità legate alla propria attività isti
tuzionale (“Sms istituzionali”), evidenziando le cautele necessarie al fine di
adeguarsi alla normativa sull’uso dei dati personali. Indicazioni, queste, alle
quali si rinvia per quanto attiene a tale tipologia di messaggi (v. provvedimen
to del 15 maggio 2003, pubblicato sul sito web www.garanteprivacy.it).
2. SMS INVIATI DA FORNITORI DI SERVIZI DI TELEFONIA MOBILE
Il nostro ordinamento assicura una chiara tutela a favore di abbonati e
utenti di servizi di telefonia nei confronti delle predette forme di pubblicità e
comunicazione, subordinandole al consenso preventivo, libero e informato
dell’interessato.
Se gli Sms pubblicitari sono inviati direttamente da chi fornisce il servizio
di telefonia mobile, il fornitore stesso - salva la commissione di un illecito che
può avere rilevanza anche penale - può utilizzare il numero dell’utenza mobile
a scopo commerciale solo se l’abbonato ha manifestato previamente il pro
prio consenso.
Il consenso occorre sia se il fornitore pubblicizza mediante Sms un “ser
vizio” altrui, sia se lo stesso fornitore promuove un “servizio” della propria so
cietà (art. 4, comma 3, d.lg. n. 171/1998).
Il principio opera poi in relazione agli Sms inviati automaticamente dal
fornitore ad un ampio numero di abbonati interessati, senza lo specifico inter
vento diretto di un proprio operatore, come pure per gli Sms inviati caso per
caso a singoli abbonati o gruppi di essi.
Alla medesima conclusione deve giungersi rispetto agli Sms pubblicitari
che il medesimo fornitore invii per promuovere un oggetto diverso da un “ser
vizio” (in particolare, qualora pubblicizzi un “prodotto” proprio o altrui), oppure
Pag. 55
quando si rivolga, con Sms commerciali o pubblicitari, ad utenze collegate a

carte telefoniche prepagate: ciò, sia in ragione di quanto disposto dalla legge
n. 675/1996 a proposito della raccolta e del successivo trattamento di dati
personali (artt. 11 e 12), sia dell’ampia definizione di “abbonato” utilizzata
dal legislatore (art. 1 d.lg. n. 171/1998).
In base all’indicata legislazione attualmente vigente, e in virtù del presup
posto del consenso che va espresso liberamente (art. 11 cit.), il fornitore del
servizio di telefonia mobile non può poi subordinare la stipula del relativo con
tratto, o l’attivazione della carta prepagata, alla necessaria prestazione di un
consenso alla ricezione di messaggi pubblicitari.
Tale ricezione può derivare solo da una scelta dell’abbonato o dell’inte
statario della carta, espressa liberamente. La scelta, anteriore all’invio dei
messaggi, può intervenire anche telefonicamente, purché sia manifestata al
fornitore in modo inequivoco e sia comunque da questi documentata per
iscritto (conservando una dichiarazione dell’abbonato o dell’intestatario della
carta, oppure trascrivendo la dichiarazione di questi ultimi).
È da ritenersi quindi illecito l’espediente basato sull’inserimento tra gli ob
blighi contrattuali di una dichiarazione standard di “impegno” al necessario in
vio di Sms pubblicitari, e alla loro corrispondente ricezione, in violazione di
quanto appena richiamato.
È da ritenere parimenti illecito l’espediente volto ad eludere i predetti pre
supposti, basato sulla prospettazione di alcuni Sms pubblicitari da parte del
fornitore come asseriti “messaggi di servizio” alla propria utenza.
È infatti ben diversa la situazione in cui il fornitore del servizio di telefonia
mobile invii un Sms per rendere doverosamente o legittimamente noti alcuni
eventi o novità legati strettamente e necessariamente al servizio prestato (ad
esempio, funzionalità del servizio di assistenza o della segreteria telefonica,
stato della ricezione dei messaggi o dei pagamenti, blocco della carta), dal
caso in cui il messaggio Sms riguardi la vendita di apparecchi telefonici, op
pure nuove offerte commerciali, servizi aggiuntivi legati alle modalità di ge
stione dei messaggi, all’offerta di loghi e suonerie, a talune convenzioni con
altre società, a raccolte di punti o a concorsi a premio.
Tutto ciò assume ulteriore delicatezza se si pensa al fatto che alcuni Sms
pubblicitari possono essere inviati - lecitamente o meno - sulla base di una
previa verifica della localizzazione dell’apparecchio mobile, oppure della cir
costanza che l’utente abbia appena digitato determinati numeri o abbia richie
sto per telefono un servizio.
È evidente la necessità di una verifica complessiva e immediata da parte
dei fornitori su eventuali inosservanze di legge.
In questo quadro, particolari cautele dovranno essere adottate, anche sul
piano della correttezza del trattamento dei dati personali, per garantire che gli
Pag. 56
Sms pubblicitari non siano inviati arrecando disturbo agli interessati in ore
notturne (art. 9, comma 1, lett. a), legge n. 675/1996).
3. SMS INVIATI DA ALTRI SOGGETTI
Il principio del “consenso informato” opera anche nel diverso caso in cui
gli Sms pubblicitari siano inviati da altri soggetti. Può trattarsi in particolare di
ulteriori fornitori di servizi di comunicazione elettronica (es.: gestori di siti web
che offrano la possibilità di disporre “gratuitamente” di una casella di posta
elettronica o del servizio di invio “gratuito” di Sms tramite p.c.), come pure di
soggetti che svolgono attività in altri campi, basate sulla formazione di ban
che dati di utenti e consumatori, raccolti ad esempio tramite coupon.
Tutti questi titolari del trattamento, sia nel caso di utilizzazione dei dati nel
proprio esclusivo interesse, sia nel caso – in crescente sviluppo - di invio di
Sms per conto terzi, possono inviare anch’essi Sms pubblicitari solo sulla
base di una chiara, specifica e preventiva manifestazione di volontà degli in
teressati. Ciò anche nel caso in cui (come ribadito dal Garante anche nel cita
to provvedimento in materia di Sms per fini istituzionali), l’Sms venga inviato
su richiesta di una pubblica amministrazione che, per divulgare messaggi rite
nuti di pubblico interesse, si rivolga a una banca dati gestita da privati.
Sempre in riferimento a questi casi in cui coloro che inviano Sms pubbli
citari non prestano direttamente il servizio di telefonia mobile legato all’appa
recchio cellulare, è necessario rilevare la necessità che il consenso degli inte
ressati sia “specifico” (art. 11 legge cit.).
La manifestazione di volontà deve evidenziare con chiarezza la tipologia
degli Sms pubblicitari che possono essere inviati da chi ha raccolto il consen
so, considerata la tipologia ampia di messaggi i quali possono essere talvolta
riferiti ad eventi politici senza che l’interessato ne sia stato consapevole, es
sendo stato informato in modo generico e avendo sottoscritto una vaga di
chiarazione di consenso.
In caso di prevista cessione di elenchi di numeri telefonici a terzi, finaliz
zata all’invio degli Sms pubblicitari da parte di questi ultimi, tale circostanza
va esplicitata in origine agli interessati, e con precisione, evitando poi di adot
tare artifizi illeciti ed elusivi come quello della formale (ma sostanzialmente
inesistente) designazione dei medesimi terzi quali asseriti “responsabili del
trattamento” dei dati personali ai sensi dell’art. 8 della citata legge, specie nei
casi in cui i terzi perseguano ben altre finalità.
La necessità di estendere la tutela degli interessati contro le descritte in
terferenze nella sfera privata va considerata, con riferimento al rapporto sot
tostante al trattamento dei dati personali, anche in base alla normativa sulla
protezione dei consumatori nei contratti a distanza. Quest’ultima vieta infatti
ai fornitori l’impiego di tecniche di comunicazione quale il telefono, la posta
elettronica, il fax e altri sistemi automatizzati di chiamata senza l’intervento di
un operatore, in mancanza del consenso preventivo del consumatore. Ciò nel
Pag. 57
contesto del rapporto finalizzato alla conclusione del contratto tra fornitore e
consumatore ed in relazione a determinati scopi tra i quali vi rientrano anche
quelli pubblicitari (art. 10 d.lg. 2 maggio 1999, n. 185).
Un discorso a parte va formulato per il caso in cui gli Sms siano inviati da
organismi politici o da terzi, a destinatari selezionati in ragione della loro ade
sione a determinate idee o formazioni politiche: in tal caso, infatti, oltre al con
senso necessariamente scritto degli interessati, occorre verificare se il tratta
mento sia lecito in base alle autorizzazioni “generali” al trattamento dei dati
sensibili rilasciate dal Garante (e pubblicate, oltre che nella Gazzetta ufficiale
della Repubblica italiana, nel menzionato sito web dell’Autorità).
4. GENERAZIONE CASUALE DI NUMERI TELEFONICI
Va altresì rilevato che i principi richiamati nel presente provvedimento
trovano applicazione anche nei confronti dei soggetti che inviino Sms pubbli
citari senza estrarre le utenze telefoniche da un’apposita banca dati, bensì
sulla base di una composizione casuale o automatizzata di numeri che pre
scinda da una verifica della loro esistenza o attivazione.
5. TUTELA DEI DIRITTI DEGLI INTERESSATI
Gli interessati possono esercitare tutti i diritti previsti dall’art. 13 della leg
ge n. 675/1996 tra cui spicca il diritto di accedere ai dati trattati dal titolare, di
conoscere l’origine dei dati, di chiederne la cancellazione in caso di illecito
trattamento, ecc., anche rispetto agli Sms commerciali e pubblicitari, se del
caso revocando il consenso già prestato od opponendosi gratuitamente, an
che in parte, al trattamento dei dati personali per fini di informazione commer
ciale, di invio di materiale pubblicitario o di vendita diretta, ovvero per il com
pimento di ricerche di mercato o di comunicazione commerciale interattiva.
L’esercizio di tali diritti, a seconda del genere di rapporto contrattuale, è con
sentito anche quando gli Sms siano inviati nel quadro della fornitura “gratuita”
di servizi.
Alcune richieste come quelle di accesso ai dati personali o di conoscere
come questi sono stati raccolti, possono essere rivolte senza particolari for
malità, anche verbalmente, ad un servizio di call center documentando la pro
pria identità (art. 17, commi 1 e 2, d.P.R. n. 501/1998). Per queste e per altre
richieste si può consultare il fac-simile Formato PDF Formato Word ripor
tati sul predetto sito web .
6. CONSIDERAZIONI CONCLUSIVE
Sono in fase di definizione i singoli procedimenti per la contestazione di
specifiche violazioni amministrative anche in materia di informativa, ove ne ri
corrano i presupposti, e per trasmettere, se del caso, gli atti all’autorità giudi
ziaria penale, per la violazione dei richiamati obblighi in materia di informativa
e consenso, in relazione a trattamenti illeciti di cui va altresì disposto, in que
sta sede, un generale divieto ai sensi della disposizione citata nel dispositivo
Pag. 58
che segue.
Il Garante si riserva di segnalare altri profili una volta completata, a breve
termine, l’attuazione della disciplina in itinere sulla formazione degli elenchi
della telefonia mobile e per l’esercizio dei diritti degli interessati, nonché
quando sarà recepita la direttiva n. 2002/58/CE del Parlamento europeo e
del Consiglio, la quale si occupa specificamente degli Sms pubblicitari e inter
viene su altri aspetti relativi alle chiamate e alle comunicazioni, permettendo
peraltro ad alcuni fornitori di adottare un sistema parzialmente diverso limita
tamente all’offerta a propri clienti di prodotti o servizi analoghi a quelli già pre
stati.
Nel frattempo, tutti i titolari del trattamento interessati devono continuare
ad attenersi ai principi richiamati nel presente provvedimento, il cui rispetto è
doveroso anche alla luce delle sanzioni amministrative e penali in materia.
TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 31, comma 1, lett. c) della legge 31 dicembre 1996,
n. 675, segnala ai fornitori di servizi di telecomunicazione indicati in atti le mo
dificazioni necessarie indicate in motivazione, al fine di conformare il tratta
mento dei dati personali ai principi richiamati nel presente provvedimento;
b) ai sensi dell’art. 31, comma 1, lett. l) della legge 31 dicembre 1996,
n. 675, vieta ogni ulteriore trattamento illecito di dati personali realizzato ai fini
di invio di Sms pubblicitari in violazione dei principi medesimi.
Roma, 10 giugno 2003
IL PRESIDENTE
Rodotà
IL RELATORE
Paissan
Buttarelli
Pag. 59
Provvedimento 24 febbraio 2005, Fidelity card e garanzie per i

consumatori. Le regole del Garante per i programmi di fidelizzazione
In data odierna, in presenza del prof. Stefano Rodotà, presidente, del
prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott.
Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario genera
le;
Esaminati i reclami e le segnalazioni pervenuti in ordine al trattamento di
dati personali raccolti attraverso carte o tessere di "fidelizzazione";
Ritenuta la necessità di prescrivere alcune misure necessarie ed oppor
tune al fine di rendere il trattamento conforme alle disposizioni vigenti (art.
154, comma 1, lett. c), del Codice in materia di protezione dei dati personali);
Vista la documentazione acquisita a seguito degli accertamenti avviati e
della consultazione pubblica effettuata;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art.
15 del regolamento del Garante n. 1/2000;
Relatore il prof. Gaetano Rasi;
PREMESSO
1. La "fidelizzazione" nell'ambito della grande distribuzione
Il Garante ha ricevuto reclami e segnalazioni su trattamenti di dati effet
tuati nell'ambito della crescente utilizzazione di carte o tessere di "fidelizzazio
ne" volte a creare un rapporto duraturo con la clientela per acquisti e servizi.
Gli intestatari delle "carte" usufruiscono di alcuni vantaggi per effetto del
la titolarità della carta, oppure del genere o volume di spesa o delle prestazio
ni richieste (ad es., sconti per l'acquisto di prodotti; premi o bonus correlati;
priorità; servizi accessori; facilitazioni di pagamento).
Le prescrizioni contenute nel presente provvedimento riguardano in ter
mini generali tutti i tipi di "carte" nel settore della c.d. grande distribuzione,
siano esse rilasciate o meno gratuitamente, su supporto cartaceo o elettroni
co, presso punti-vendita oppure on line, nominativamente ovvero assegnando
un codice identificativo, accumulando o meno punti rapportati a spese e ser
vizi.
Il fenomeno ha assunto ampia portata interessando, oltre alla commer
cializzazione di beni di consumo, la prestazione di servizi nei trasporti, nel
credito, nella telefonia, nell'editoria, nel noleggio, ecc. I principi normativi ri
chiamati in questa sede per la grande distribuzione hanno carattere generale
e sono già applicabili in diversi ambiti.
Il Garante esamina in questa sede i profili di competenza rilevanti per il
trattamento dei dati personali, senza valutare specificamente requisiti pre
Pag. 60
scritti da leggi o regolamenti in altri ambiti (ad es., dal d.P.R. 26 ottobre 2001,
n. 430, in materia di concorsi, operazioni a premio e manifestazioni di sorte).
Il rilascio delle carte (spesso preceduto dalla compilazione di un modulo
di adesione e di un questionario), e la loro utilizzazione (che determina la re
gistrazione di acquisti di beni e servizi), comportano un trattamento dei dati
personali dei clienti e, a volte, dei loro familiari.
Accanto a dati anagrafici e recapiti anche di posta elettronica, sono spes
so raccolte altre informazioni relative al cliente o a suoi familiari, non neces
sarie per attribuire i vantaggi collegati alla carta (titolo di studio, professione,
interessi, abitudini, preferenze, modalità di acquisti, ecc.).
Tali informazioni vengono di frequente trattate unitariamente, per finalità
diverse che richiedono quindi modalità differenziate; non di rado, è fornita
solo un'informativa generica che descrive i trattamenti in modo non adeguata
mente distinto.
Le analisi svolte sulle abitudini e scelte di consumo presentano rischi per
gli interessati, anche quando i dati non sono comunicati a terzi.
Consumatori, relativi nuclei familiari ed altre persone da essi indicati, ri
cevendo i vantaggi legati alla fidelizzazione, sono monitorati in dettaglio nei
loro comportamenti, vengono profilati anche all'interno di specifiche banche
dati centrali o locali e fatti oggetto di raffronto con altri clienti, senza esserne
peraltro consapevoli non avendo ricevuto un'adeguata informativa.
Si definiscono anche profili individuali o di gruppo (segmenti di clientela
con caratteristiche omogenee, c.d. cluster), ovvero propensioni al consumo,
senza che gli interessati vi abbiano potuto acconsentire sulla base di informa
zioni chiare e specifiche. L'acquisto di beni e di servizi può persino determina
re, in talune circostanze particolari, la raccolta di dati di natura sensibile, il cui
trattamento non è di regola consentito per le finalità in esame.
A ciò si aggiungono eventuali contatti diretti con la clientela per operazio
ni di marketing, comunicazioni commerciali o pubblicitarie, vendite dirette o
per ricerche di mercato, effettuati da chi rilascia la carta o da terzi.
Attesa la crescente diffusione del fenomeno, e a garanzia degli interessa
ti, il Garante prescrive ai titolari del trattamento di adottare alcune misure ne
cessarie od opportune al fine di conformare i trattamenti alle vigenti disposi
zioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del
Codice).
2. Necessità e proporzionalità
Le seguenti prescrizioni sono impartite tenendo conto delle distinzioni re
lative alle tre principali finalità indicate (fidelizzazione in senso stretto, realiz
zata attribuendo i vantaggi cui si è fatto cenno; profilazione mediante analisi
di abitudini e scelte di consumo; marketing diretto), che rendono necessario
diversificare le modalità del trattamento, in particolare per quanto riguarda le
Pag. 61
tipologie di dati e la loro conservazione.

I trattamenti devono svolgersi rispettando i principi di necessità, liceità,
correttezza, qualità dei dati e di proporzionalità (artt. 3 e 11 del Codice).
In particolare:
• in applicazione del principio di necessità (art. 3 del Codice), i sistemi
informativi e i programmi informatici devono essere configurati, già in ori
gine, in modo da ridurre al minimo l'utilizzo di informazioni relative a
clienti identificabili. Il trattamento di dati personali relativi a clienti non è
lecito se le finalità del trattamento, in particolare di profilazione, possono
essere perseguite con dati anonimi o solo indirettamente identificativi;
• nel rispetto del principio di proporzionalità nel trattamento (art. 11,
comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del
loro trattamento devono essere pertinenti e non eccedenti rispetto alle fi
nalità perseguite.
Come premesso, l'utilizzazione di dati sensibili (art. 4, comma 1, lett. d),
del Codice) non è di regola ammessa per alcuna delle finalità indicate, fatta
salva l'ipotesi eccezionale nella quale il trattamento di dati sia realmente indi
spensabile in rapporto allo specifico bene o servizio richiesto e sia stato auto
rizzato dal Garante, oltre che acconsentito per iscritto dall'interessato. Ciò,
vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche cam
pionarie (cfr. aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n.
190).
Vanno a questo punto indicate le modalità di attuazione di questi principi
in rapporto alle diverse finalità.
3. Finalità di "fidelizzazione" in senso stretto
Possono essere trattati esclusivamente i dati necessari per attribuire i
vantaggi connessi all'utilizzo della carta.
Si tratta:
• dei dati direttamente correlati all'identificazione dell'intestatario del
la carta, quali le informazioni anagrafiche;
• dei dati eventualmente relativi al volume di spesa globale progres
sivamente realizzato (senza, cioè, riferimenti di dettaglio ai singoli pro
dotti), nella misura in cui sia realmente necessario trattarli -e in partico
lare conservarli- per attribuire i vantaggi medesimi, e per il tempo a ciò
strettamente necessario. L'eventuale conservazione di dati di dettaglio
relativi alle particolari tipologie di beni e servizi acquistati, o ai vantaggi
conseguiti (punti, premi, bonus, ecc.), non è di regola necessaria spe
cie se si persegue la sola finalità di "fidelizzazione"; nei casi particolari
in cui essa è lecita, deve essere rispettato il principio di proporzionali
tà.
Pag. 62
4. Finalità di "profilazione" della clientela

L'attività di profilazione riguardante singoli individui o gruppi può essere
svolta, in diversi casi, disponendo solo di dati anonimi o non identificativi (ad
esempio, un codice numerico), senza una relazione tra i dati che permettono
di individuare gli interessati e le indicazioni analitiche relative alla loro sfera
personale (gusti, preferenze, abitudini, bisogni e scelte di consumo). Se la fi
nalità può essere perseguita con tali modalità (specie per quanto riguarda la
profilazione della clientela per categorie omogenee), non è lecito utilizzare -e
tanto meno conservare- dati personali o identificativi.
Negli altri casi, le informazioni che si intende acquisire (sia all'atto dell'a
desione del cliente all'iniziativa, sia per effetto dell'eventuale registrazione di
singoli beni e servizi accessori), e le modalità del loro trattamento, devono es
sere pertinenti e non eccedenti rispetto alla tipologia dei beni commercializzati
o dei servizi resi.
Il principio di proporzionalità va osservato anche per quanto riguarda l'e
ventuale intenzione di registrare le informazioni in banche di dati, tanto più se
centrali. Inoltre, queste ultime non devono essere interconnesse -o fonte di
intrecci e raffronti di dati- con quelle utilizzate per la fidelizzazione in senso
stretto.
Per quanto concerne i dati sensibili va rilevato, oltre a quanto già richia
mato, che non è lecito utilizzare a fine di profilazione dati idonei a rivelare la
stato di salute e la vita sessuale (cfr. autorizzazioni generali del Garante nn. 2
e 5/2004, in G.U. 14 agosto 2004, n. 190).
5. Finalità di "marketing" diretto
Possono essere raccolti ed utilizzati i dati pertinenti e non eccedenti per
l'invio di materiale pubblicitario -anche attraverso riviste di settore- o di comu
nicazioni commerciali o per la vendita diretta. Si tratta, di regola, dei soli dati
direttamente correlati all'identificazione dell'intestatario della carta o di suoi fa
miliari, ovvero di persone da esso indicate. L'eventuale utilizzazione di dati
personali derivanti dalla profilazione deve essere oggetto di un consenso dif
ferenziato dei diretti interessati.
6. Informativa agli interessati
Prima del conferimento dei dati e del rilascio della carta deve essere for
nita al cliente un'informativa chiara e completa, al fine di consentire un'ade
sione pienamente consapevole alle iniziative proposte.
Nel rispetto del principio di correttezza (art. 11, comma 1, lett. a), del Co
dice), non sono consentiti comportamenti suscettibili di incidere sulle scelte li
bere e consapevoli del cliente nell'adesione ai "programmi di fidelizzazione".
Nello svolgimento delle operazioni preordinate al rilascio della "carta",
non è corretto indurre il cliente ad aderire al programma senza aver avuto le
Pag. 63
spiegazioni e il tempo necessari per essere previamente informati e maturare

un consenso consapevole riguardo ai dati da fornire, specie in ordine alla pro
filazione o al marketing (come potrebbe ad esempio accadere sollecitando
una rapida sottoscrizione mentre il cliente è in fila alla cassa senza un esame
preventivo di un'informativa).
L'informativa può utilizzare formule sintetiche e colloquiali, purché chiare
e inequivoche; deve contenere comunque tutti gli elementi richiesti dal Codi
ce (art. 13, comma 1).
Non sono consentiti generici rinvii a regolamenti di servizio non acclusi
per le parti di riferimento. L'informativa inserita all'interno di moduli deve esse
re adeguatamente evidenziata e collocata in modo autonomo e unitario in un
apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre
clausole del regolamento di servizio eventualmente riportato in calce o a mar
gine.
In particolare, devono essere poste in distinta e specifica evidenza le ca
ratteristiche dell'eventuale attività di profilazione e/o di marketing, come pure
l'intenzione di cedere a terzi specificamente individuati i dati per finalità da in
dicare puntualmente.
Deve risultare parimenti chiara la circostanza che, per questi scopi, il
conferimento dei dati e il consenso sono liberi e facoltativi rispetto alle ordina
rie attività legate alla fidelizzazione in senso stretto.
7. Adesione al "programma di fidelizzazione" e consenso al trattamento
Per ottenere la carta di fidelizzazione e fruire dei relativi vantaggi occorre
di regola accettare condizioni generali di contratto predisposte dal titolare del
trattamento (di regola, lo stesso emittente della "carta").
Poiché il trattamento di dati preordinato alla fidelizzazione in senso stretto
è "necessario per eseguire obblighi derivanti da un contratto del quale è parte
l'interessato" non è corretto, in questo caso, sollecitare il consenso al tratta
mento dei dati (art. 24, comma 1, lett. b), del Codice).
Ogni altra finalità di trattamento (profilazione e ricerche di mercato da un
lato; marketing dall'altro) che comporti l'identificabilità degli interessati neces
sita, invece, del loro consenso specifico, informato e distinto per ciascuna di
esse (art. 23 del Codice). Il consenso deve essere quantomeno documentato
per iscritto a cura del titolare del trattamento, ovvero reso necessariamente
per iscritto dall'interessato nel caso di dati sensibili.
L'eventuale accettazione per iscritto delle clausole del regolamento di
servizio deve essere distinta dalle formule utilizzate per ciascuna di queste
due manifestazioni di libero consenso. L'adesione all'iniziativa di fidelizzazio
ne non può essere condizionata alla manifestazione di tale consenso.
Non è quindi lecito raccogliere un consenso generale ricorrendo ad una
generica dichiarazione, comprendendo anche i casi in cui il consenso non è
Pag. 64
necessario o a prescindere dalle finalità perseguite.

Per alcune forme di comunicazione mediante posta elettronica, fax, siste
mi automatizzati di chiamata e messaggi del tipo Mms o Sms o di altro tipo, la
necessità del consenso deriva anche da apposite disposizioni in tema di co
municazioni indesiderate o di vendite a distanza, le quali prevedono, altresì,
regole particolari per l'offerta di servizi analoghi tramite posta elettronica (art.
130 del Codice; art. 10 d.lg. n. 185/1999). E' opportuno che copia della docu
mentazione attestante l'informativa fornita e il consenso eventualmente pre
stato sia rilasciata all'interessato, per consentirgli di verificare in ogni momen
to le proprie scelte e di modificarle.
8. Tempi di conservazione
In applicazione del menzionato principio di proporzionalità, va prescritta
ai titolari del trattamento l'identificazione di termini massimi di conservazione
dei dati da osservare presso banche dati sia centrali, sia locali.
Tale identificazione va effettuata dopo aver esaminato la possibilità di
raccogliere e conservare dati nei termini consentiti per ciascuna delle finalità
sopradescritte, tenendo conto di eventuali scelte degli interessati sopravve
nute.
Il principio da osservare è quello secondo cui i dati personali dei quali
non è necessaria la conservazione in relazione agli scopi per i quali sono stati
trattati devono essere cancellati o trasformati in forma anonima (art. 11, com
ma 1, lett. e), del Codice).
In ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a
clienti individuabili possono essere conservati per finalità di profilazione o di
marketing per un periodo non superiore, rispettivamente, a dodici e a venti
quattro mesi dalla loro registrazione, salva la reale trasformazione in forma
anonima che non permetta, anche indirettamente o collegando altre banche
di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre
tali termini potranno essere attuate solo previa valutazione di questa Autorità
ai sensi dell'art. 17 del Codice.
Nel caso di eventuale ritiro, disabilitazione per mancato utilizzo entro un
determinato arco temporale, scadenza o restituzione della carta, deve essere
individuato un termine di conservazione dei dati personali per esclusive finali
tà amministrative (e non anche di profilazione o di marketing), non superiore
ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conserva
zione di documentazione contabile). Occorre specificare questi aspetti nell'in
formativa e predisporre idonei meccanismi di cancellazione automatica dei
dati anche da parte di terzi cui gli stessi siano stati eventualmente comunicati
(specie per la profilazione o di marketing).
9. Notificazione del trattamento e misure di sicurezza
Pag. 65
Restano fermi, in aggiunta alle prescrizioni del presente provvedimento,

gli obblighi che il Codice detta ai titolari del trattamento.
Ci si riferisce, in particolare:
a) all'obbligo di notificazione al Garante dei trattamenti effettuati me
diante l'ausilio di strumenti elettronici volti a definire profili di consumatori o ad
analizzarne abitudini e scelte in ordine ai prodotti acquistati (artt. 37, comma
1, lett. d), e 163 del Codice);
b) agli obblighi relativi all'adozione delle misure anche minime di sicu
rezza (artt. 31-35 e Allegato B) del Codice;
c) alla selezione dei soggetti che, in qualità di incaricati o responsabili
del trattamento, sono autorizzati a compiere operazioni di trattamento sulla
base dei compiti assegnati e delle istruzioni impartite (artt. 29 e 30 del Codi
ce);
d) all'obbligo dei titolari del trattamento di adottare le misure necessa
rie per agevolare l'esercizio dei diritti degli interessati e il relativo riscontro
tempestivo (art. 10, comma 1, del Codice), con particolare riferimento alle
concrete notizie da fornire in caso di richiesta di spiegazioni sulle finalità e
modalità del trattamento (art. 7, comma 2, lett. b)) o di opposizione al tratta
mento.
In questo quadro, è necessario che:
1. i dati eventualmente trattati a fini di profilazione o di ricerche di
mercato siano conservati con adeguate modalità che portino a limitare
l'ambito di circolazione dei dati allo stretto indispensabile, circoscriven
do qualitativamente e quantitativamente il numero di addetti aventi
eventuale accesso alle informazioni;
2. sia escluso l'uso di sistemi e programmi che permettano, fuori dei
casi consentiti, una ricostruzione organica di scelte, comportamenti e profili di
interessati identificabili non soggetta alle previe valutazioni di questa Autorità
ai sensi dell'art. 17 del Codice;
3. non si eludano, attraverso la preposizione di soggetti esterni quali re
sponsabili del trattamento, le richiamate garanzie in tema di comunicazione e
conservazione dei dati e di trasparenza nell'informativa riguardo alle finalità e
ai soggetti che le perseguono;
4. si pongano a disposizione degli interessati, anche nell'informativa,
specifici recapiti, anche di posta elettronica, per un agevole esercizio dei dirit
ti.
10. Informazioni al Garante
Ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, i titolari
del trattamento indicati negli atti di procedimenti pendenti presso l'Ufficio sono
invitati a confermare al Garante, entro e non oltre il 15 maggio 2005, che i
Pag. 66
trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presen
te provvedimento, indicando ogni informazione utile al riguardo ed allegando
la pertinente documentazione.
TUTTO CIÒ PREMESSO, IL GARANTE
prescrive ai titolari di trattamenti di dati personali oggetto del presente
provvedimento, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adotta
re le misure necessarie ed opportune ivi indicate al fine di rendere i tratta
menti medesimi conformi alle disposizioni vigenti.
Roma, 24 febbraio 2005
IL PRESIDENTE
Rodotà
IL RELATORE
Rasi
Buttarelli
Pag. 67
Provvedimento 12 ottobre 2005, Informativa e consenso – Biglietti online

e marketing: indicazione del garante
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi
dente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Pais
san e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarel
li, segretario generale;
ESAMINATA la segnalazione presentata da Enrico Aliberti nei confronti
di "Torino Organising Commitee XX Olympic Winter Games" (Toroc);
ESAMINATE le deduzioni svolte da Toroc nelle comunicazioni del 12
maggio 2005 e 22 settembre 2005;
VISTA la documentazione in atti;
VISTO l'art. 154, comma 1, lett. b) e c), del Codice in materia di protezio
ne dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
PREMESSO
1. Dopo aver prenotato l'acquisto di biglietti per assistere agli eventi "Gio
chi Torino 2006", il sig. Enrico Aliberti ha sottoposto all'attenzione del Garante
la circostanza di aver dovuto prestare il proprio consenso al trattamento dei
dati personali a sé riferiti, con un'unica dichiarazione atta non solo a renderne
possibile l'utilizzazione ai fini dell'esecuzione del contratto (in particolare, l'ac
quisto e il recapito dei biglietti), ma altresì idonea ad autorizzare il persegui
mento della diversa finalità di marketing.
A seguito di tale segnalazione questa Autorità ha svolto autonomi accer
tamenti ed ha richiesto ulteriori informazioni a "Torino Organising Commitee
XX Olympic Winter Games" (Toroc) –operando detto soggetto in qualità di ti
tolare del trattamento (sia con riguardo alla vendita operata grazie alla socie
tà Ticketone, sia rispetto a quella realizzata tramite il sito web all'indiriz
zo http://www.torino2006.org)– in relazione alle operazioni di trattamento
svolte nell'ambito del servizio di biglietteria per la partecipazione agli eventi
"Giochi Torino 2006", con particolare riferimento ai profili relativi all'acquisizio
ne del consenso e all'informativa resa agli interessati.
2. Le risultanze istruttorie hanno confermato la qualità di titolare del trat
tamento in capo a Toroc per quanto attiene allo svolgimento dei servizi di bi
glietteria: ciò si evince dai modelli nei quali era resa l'informativa unitamente
alla raccolta del consenso e non è contestato nelle comunicazioni del Toroc.
Pag. 68
È altresì emerso che sia nei modelli utilizzati dalla società Ticketone, sia
in quelli resi disponibili nel sito web sopra richiamato, viene richiesto il con
senso dell'interessato per "l'adempimento della Sua richiesta scritta di preno
tazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei Giochi
Torino 2006".
Inoltre, nel modello di raccolta del consenso utilizzato da Ticketone, alla
formula appena indicata viene associata, sottoponendola ad un'unica accetta
zione da parte dell'interessato, anche l'autorizzazione al compimento di attivi
tà pubblicitarie o comunque promozionali da parte del Toroc. La relativa infor
mativa, resa succintamente, può essere visionata nella sua versione integrale
solo accedendo ad un testo disponibile on-line all'indirizzo web www.tori
no2006.org/tickets al quale è fatto espressamente rinvio nel modello utilizzato
dal rivenditore (che peraltro "viene trattenuto presso il punto vendita").
In relazione, invece, al modello di raccolta dei dati presente nel sito web
da compilarsi in occasione della prenotazione/acquisto del biglietto, gli accer
tamenti effettuati evidenziano la "preselezione" (che appare automaticamente
in occasione della compilazione del form) delle caselle nelle quali viene reso il
consenso non solo per l'esecuzione degli obblighi contrattuali, ma anche per
finalità ulteriori e distinte rispetto a questa, ed in particolare per le finalità pub
blicitarie o comunque promozionali.
In entrambi i modelli sopra richiamati è altresì prevista la possibilità di
fare uso di particolari tecniche di comunicazione, quali la posta elettronica o
l'utenza di telefonia mobile, ai fini di invio di materiale pubblicitario o promo
zionale da parte del Toroc (o di terzi).
3. Alla luce della documentazione acquisita e tenuto conto delle osserva
zioni formulate dal Toroc (nelle comunicazioni del 12 maggio 2005 e 22 set
tembre 2005), questa Autorità ravvisa taluni profili di violazione della discipli
na vigente in relazione al trattamento dei dati personali effettuato nell'ambito
del servizio di biglietteria e pertanto, ai sensi dell'art. 154, comma 1, lett. c),
del Codice intende prescrivere con il presente provvedimento le misure ne
cessarie al fine di rendere i trattamenti di seguito indicati conformi alle dispo
sizioni contenute nel Codice.
In particolare, al di là della possibilità di prescindere dalla richiesta del
consenso nella modellistica della quale Toroc si avvale per la
"prenotazione/acquisto dei biglietti relativi agli eventi previsti nell'ambito dei
Giochi Torino 2006" –atteso il contenuto dell'art. 24, comma 1, lett. b) del Co
dice–, profili di illiceità emergono, per ragioni diverse, rispetto alla formulazio
ne del consenso e della connessa informativa (aspetti non di rado strettamen
te collegati, come pure si è evidenziato nel provvedimento a carattere gene
rale del 13 gennaio 2000, in Boll. n. 11-12/2000, p. 39, 43, con riferimento al
l'effetto di un'informativa incompleta sul consenso).
Pag. 69
3.1. Con specifico riguardo al modello di raccolta del consenso utilizzato

da Ticketone, diversamente da quanto sostenuto dal Toroc –secondo cui
"solo previa espressione di uno specifico consenso da parte [dell'utente] i dati
potranno essere utilizzati per finalità di comunicazioni commerciali […]" (co
municazione del 12.5.05, p. 4; analogamente nella comunicazione del
22.9.05, p. 5, punto c)–, il consenso per il perseguimento di finalità di marke
ting non è distinto (come si è fatto rilevare sopra al punto 2) da quello (pur
non necessario, come si è appena precisato) prestato per il conferimento dei
dati necessari a dare esecuzione al rapporto contrattuale.
Ne deriva che l'autorizzazione al trattamento dei dati per finalità di marke
ting non soddisfa i requisiti posti dal legislatore, secondo il quale il "consenso
è validamente prestato solo se è espresso liberamente e specificamente in ri
ferimento ad un trattamento chiaramente individuato" (art. 23, comma 3, del
Codice): nel caso di specie, infatti, non può definirsi "libero", ma necessitato,
il consenso al trattamento dei dati personali che l'interessato "deve" prestare
(aderendo a un testo predisposto unilateralmente dalla controparte contrat
tuale) quale condizione per il conseguimento della prestazione richiesta. In tal
modo, infatti, i dati personali, lecitamente raccolti dal titolare (e conferiti dal
l'interessato) per il perseguimento di una determinata finalità (l'esecuzione del
rapporto contrattuale), vengono di fatto piegati ad un utilizzo diverso dallo
scopo originario che ne aveva giustificato la raccolta, in violazione del princi
pio di finalità (art. 11, comma 1, lett. b), del Codice).
A questo proposito merita rilevare in via incidentale che, nel corso del
procedimento, Toroc ha rappresentato l'intenzione (chiaramente desumibile
dall'affermazione riportata in calce all'allegato II, comunicazione Toroc del
12 maggio 2005) di apportare alcune modifiche al testo dell'informativa attual
mente resa alla clientela, con l'inserimento della seguente frase: "Il mancato
consenso al trattamento dei dati per fini commerciali o un rifiuto di rispondere
non avrà alcuna conseguenza sul suo acquisto".
Con riguardo, poi, all'informativa resa, è altresì preferibile (come già so
stenuto nel Provv. 13 gennaio 2000, in Boll. n. 11-12/2000, p. 42) che gli ele
menti della stessa compaiano in un unico contesto –salvo che, anche ai sensi
e per gli effetti della disposizione contenuta nell'art. 13, comma 3 del Codice,
esigenze di spazio consiglino o impongano di ricorrere a soluzioni alternative
(quale, ad esempio, quella prefigurata dal Toroc di affiggerne il testo presso il
punto vendita: cfr. allegato II, comunicazione 12 maggio 2005)– evitando, in
armonia con il principio di correttezza (art. 11, comma 1, lett. a) del Codice),
un'eccessiva frammentazione dei vari elementi della medesima, come attual
mente risultanti dal descritto rinvio ad un testo presente all'indirizzo
web www.torino2006.org/tickets.
Ulteriori profili di difformità rispetto alla disciplina di protezione dei dati
personali emergono, poi, in relazione alla mancata informativa resa alla clien
tela circa la "natura obbligatoria o facoltativa del conferimento dei dati" (dovu
Pag. 70
ta ai sensi dell'art. 13, comma 1, lett. b) del Codice), in grado di inficiare an
che da questo punto di vista il consenso dell'interessato (per analogo rilievo
v. già Provv. 28 maggio 1997, in Boll. 1/1997, p. 11, 12).
Affinché il trattamento di dati personali sia legittimo è quindi necessario –
salvo che ricorrano le circostanze previste dall'art. 24 del Codice– che il con
senso dell'interessato possa essere autonomamente prestato per ciascuna
distinta finalità perseguita dal titolare del trattamento (come peraltro già affer
mato, con riguardo ai trattamenti di dati personali effettuati nell'ambito dei
programmi di fidelizzazione, nel Provv. del 24 febbraio 2005, consultabile in
http://www.garanteprivacy.it) e che l'informativa, resa in un unico contesto,
contenga tutte le informazioni previste dall'art. 13 del Codice.
3.2. Con specifico riguardo al modello di raccolta del consenso reso di
sponibile sul sito web, per quanto (diversamente dal caso appena esaminato)
siano chiaramente distinte le finalità per le quali il trattamento dei dati perso
nali viene effettuato (segnatamente, quelle relative all'esecuzione del contrat
to e quelle relative alla finalità di marketing), il consenso dell'interessato non è
prestato "liberamente", atteso che (come descritto sopra e confermato nel te
sto inviato dal Toroc nell'allegato 2, comunicazione del 22 settembre 2005)
sono "preselezionate", anziché lasciate alla libera scelta dell'utente, le distinte
opzioni relative al trattamento di dati personali connesse all'esecuzione del
rapporto contrattuale e allo svolgimento di attività di comunicazione commer
ciale.
È dunque necessario che i sistemi informativi del sito web vengano confi
gurati in modo da consentire all'interessato di esplicare pienamente il proprio
diritto all'autodeterminazione informativa, prevedendo opzioni di tipo "positivo"
(mediante l'inserimento di caselle da selezionare e non preselezionate su una
delle possibili scelte), sì da consentire all'utente di esprimere liberamente la
propria scelta in ordine alle finalità legittimamente perseguibili da parte del ti
tolare del trattamento (cfr. pure Provv. 13 gennaio 2000, in Boll. n. 11-
12/2000, p. 43).
3.3. Entrambi i modelli prevedono altresì, a vantaggio del Toroc, la possi
bilità di fare uso anche di particolari canali per veicolare le comunicazioni
commerciali, quali la posta elettronica o l'utenza del telefono cellulare. Preci
sato che, qualora si intenda fare uso di tali forme di comunicazione –salvo
quanto previsto all'art. 130, comma 4 del Codice, che contiene regole partico
lari per l'offerta di taluni servizi tramite posta elettronica– è posto in capo al ti
tolare del trattamento l'obbligo di acquisire il preventivo consenso dell'interes
sato (artt. 130 del Codice e 10 d.lg. 22 maggio 1999, n. 185), il medesimo art.
130, comma 4, richiede che questi, al momento della raccolta dei dati (e in
occasione dell'invio di ogni comunicazione effettuata per le menzionate finali
tà), sia "informato della possibilità di opporsi in ogni momento al trattamento,
in maniera agevole e gratuitamente". Tale avviso non ricorre nei modelli utiliz
zati dal Toroc: è dunque necessario che questi ultimi vengano integrati con
Pag. 71
tale avvertenza.
4. Anche con riguardo ai dati personali raccolti nel sito web www.tori
no2006.org, per una diversa finalità, vale a dire l'invio di una o più newsletter,
l'informativa resa ("I dati saranno trattati secondo quanto previsto dalla legge
675/96 a tutela della riservatezza dei dati personali") evidenzia, sotto diversi
aspetti, profonde carenze: al di là dell'erroneo riferimento alla disciplina di
protezione dei dati personali ormai abrogata, la formulazione utilizzata si at
teggia a mera clausola di stile nella quale larga parte delle informazioni richie
ste dall'art. 13 del Codice risultano mancanti (eccettuata la finalità del tratta
mento, consistente nell'invio della newsletter, che si evince indirettamente dal
contesto nel quale i dati vengono raccolti).
Anche a questo proposito è infine necessario che l'informativa (e la relati
va manifestazione di consenso dell'interessato) vengano integrate in confor
mità alla previsione contenuta nell'art. 13 del Codice.
PER QUESTI MOTIVI IL GARANTE:
• prescrive al Toroc, ai sensi dell'art. 154, comma 1, lett. c), del Co
dice, di adottare le misure necessarie ed opportune indicate nel pre
sente provvedimento al fine di rendere i trattamenti di dati personali
conformi alle disposizioni vigenti, apportando le necessarie modifiche
alla documentazione descritta e tenendo conto del fatto che, limitata
mente al perseguimento delle finalità di comunicazione pubblicitaria o
promozionale, non potranno essere utilizzate, ai sensi dell'art. 11, com
ma 2 del Codice, le dichiarazioni di consenso al trattamento dei dati
già formulate dagli interessati, ferma restando, quindi, l'utilizzabilità dei
dati per la finalità di acquisto e recapito dei biglietti;
• prescrive, altresì, ai sensi degli artt. 154, comma 1, lett. c), e 157
del Codice di trasmettere al Garante un esemplare dei modelli riformu
lati in conformità delle predette prescrizioni entro il 30 novembre 2005.
Roma, 12 ottobre 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
Buttarelli
Pag. 72
Provvedimento 23 novembre 2006, Fax promozionali senza il preventivo

consenso dell'interessato
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giu
gno 2003, n. 196, di seguito "Codice");
VISTA la segnalazione del 13 settembre 2005, con la quale i signori Luigi
Michelini, Luigi Compagnoni e Giuseppe Greco, in qualità di legali rappresen
tanti degli studi di consulenza per il trasporto Michelini s.r.l., Agenzia Credit e
Agenzia Upam, hanno lamentato la ricezione di numerosi fax indesiderati pro
venienti dal consorzio I.S.A.Co., allegati alla segnalazione medesima;
RILEVATO dagli atti che il consorzio I.S.A.Co. pubblicizza in tali fax pro
pri servizi e iniziative a studi di consulenza per il trasporto, e propone loro di
associarsi al consorzio medesimo;
RILEVATO che allo stato non risulta (sia dalla segnalazione, sia dal ri
scontro che il consorzio ha fornito alle richieste degli interessati, nonché dalla
nota del 17 gennaio 2006 che il consorzio stesso ha inviato all'Autorità in ri
sposta ad una richiesta di elementi ai sensi dell'art. 157 del Codice) che l'inol
tro dei reiterati messaggi promozionali mediante telefax sia basato sul previo
consenso specifico dei relativi destinatari;
VISTA, altresì, l'ulteriore segnalazione del 27 ottobre 2006 con la quale i
predetti signori Michelini e Compagnoni hanno lamentato nuovamente la rice
zione di ulteriori fax promozionali da parte del consorzio I.S.A.Co. in data 17
ottobre 2006, aventi analogo contenuto promozionale;
RILEVATO che l'art. 130, comma 2, del Codice prescrive, per l'invio di
materiale pubblicitario mediante telefax, l'acquisizione di un consenso infor
mato, specifico e preventivo dell'interessato (v., in applicazione della medesi
ma disposizione, i provvedimenti del Garante del 29 maggio 2003 -relativo
allo spamming- e del 10 giugno 2003 -relativo agli sms promozionali- in
www.garanteprivacy.it, doc. web. nn. 29840 e 29836);
CONSIDERATO che l'invio di messaggi promozionali mediante telefax
senza il prescritto consenso configura, quindi, un trattamento illecito di dati;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c)
e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il
trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare,
altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento
dei dati personali;
Pag. 73
RILEVATA la necessità di vietare il trattamento ai sensi degli artt. 143,

comma 1, lett. c) e 154, comma 1, lett. d), del Codice, considerato che l'invio
di messaggi promozionali per mezzo del telefax in assenza del necessario
consenso dei destinatari degli stessi risulta, dagli atti, reiterato dal consorzio
I.S.A.Co., contrariamente a quanto dallo stesso dichiarato al Garante nella ri
sposta alla menzionata richiesta di elementi ai sensi dell'art. 157 del Codice;
RISERVATA, con autonomo provvedimento, la contestazione in separata
sede della violazione amministrativa concernente l'informativa agli interessati
(artt. 13, comma 4 e 161 del Codice);
RISERVATA, altresì, l'adozione di ogni altro atto e provvedimento all'esi
to di ulteriori accertamenti preliminari;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice, chiunque, es
sendovi tenuto, non osserva il presente provvedimento è punito con la reclu
sione da tre mesi a due anni;
CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati
personali trattati in violazione della disciplina rilevante in materia di dati perso
nali non possono essere utilizzati;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il dott. Giuseppe Chiaravalloti;
TUTTO CIÒ PREMESSO IL GARANTE:
ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del
Codice, vieta il trattamento dei dati personali effettuato mediante utilizzo del
telefax per inviare comunicazioni pubblicitarie senza il preventivo consenso
specifico ed informato degli interessati, nei confronti del consorzio I.S.A.Co. e
di ogni altro soggetto che, in sede di comunicazione del presente provvedi
mento e di correlati accertamenti preliminari risulti eventualmente titolare o
contitolare del trattamento dei dati in questione. Ciò, con effetto dalla data di
notificazione del presente atto presso la sede, residenza o domicilio risultanti
dagli atti o comunque accertati dall'organo notificante.
Roma, 23 novembre 2006
IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
Pag. 74
Buttarelli
Pag. 75
Provvedimento 7 dicembre 2006, Raccolta di dati personali in strutture

neonatali a fini di marketing
VISTA la normativa comunitaria e nazionale in materia di protezione dei
dati personali (Codice in materia di protezione dei dati personali approvato
con d.lg. n. 30 giugno 1996, n. 196; direttiva comunitaria 95/46/Ce del 24 ot
tobre 1995), anche previgente (l. 31 dicembre 1996, n. 675; d.lg. 28 dicembre
2001, n. 467);
VISTE le segnalazioni dei coniugi YX relative all'utilizzo dei dati personali
di uno di essi e dei figli neonati, al fine dell'invio di materiale editoriale da par
te di Sfera Editore S.p.a.;
VISTI gli elementi acquisiti a seguito degli accertamenti avviati presso
Sfera Editore S.p.a. e delle successive deduzioni formulate dalla stessa, non
ché degli ulteriori accertamenti effettuati nei confronti dei c.d. "promotori" che
collaborano con tale società;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Fortunato;
PREMESSO
1. Raccolta di dati personali per finalità di marketing presso strutture sa
nitarie neonatali
1.1. Con nota inviata a Prenatal S.p.a. e Sfera Editore S.p.a. (di seguito,
"Prenatal" e "Sfera"), e per conoscenza al Garante, YX ha contestato l'invio
della pubblicazione "Nuova generazione" edita da Sfera (che invita a visitare
il sito web dell'altra società), affermando che non era stato prestato alcun
consenso alla società in ordine al trattamento dei dati dei componenti della
propria famiglia. Contestualmente, il segnalante ha esercitato nei confronti
delle menzionate società i diritti di cui all'art. 13 della legge n. 675/1996 chie
dendo, in particolare, di conoscere la natura, la tipologia e l'origine dei dati
raccolti, nonché la loro cancellazione.
In riscontro a tali richieste del 30 giugno 2000, le società hanno comuni
cato al segnalante (Sfera, con comunicazione del 27 luglio 2000; Prenatal,
con nota del 9 agosto 2000), e per conoscenza al Garante, di aver detenuto
nei propri data-base, e poi cancellato, i dati relativi alla sig.a YW, moglie del
segnalante, e quelli del figlio YZ.
Pag. 76
In presenza di ulteriori istanze del segnalante e della richiesta di informa

zioni dell'Autorità dell'11 aprile 2001 (ai sensi dell'art. 32, comma 1, l. n.
675/1996), con proprie comunicazioni dell'11 maggio 2001 e del 18 maggio
2001, Sfera dichiarava al Garante di aver:
a) cancellato i dati relativi alla sig.a YW e al figlio YZ, nato il YK, con
cernenti l'abbonamento gratuito alla rivista "Io e il mio bambino" edita da Sfe
ra;
b) acquisito tali dati attraverso una cartolina postale ricevuta e regi
strata il 1° agosto 1999 (comunicata in copia all'Autorità), contenente un mo
dello di informativa ai sensi dell'art. 10 della legge n. 675/1996 e una richiesta
di consenso dell'interessato del seguente tenore: "se non desideri ricevere
successivi invii di campioni gratuiti e di informazioni scientifiche o commercia
li, contrassegna con X la casella";
c) comunicato i dati a Prenatal, quale inserzionista della rivista, non
ché ad altre società designate quali responsabili del trattamento.
1.2. Il 18 gennaio 2002, in occasione della nascita del secondo figlio, i
coniugi YX hanno segnalato al Garante di aver ricevuto ulteriore materiale
editoriale proveniente da Sfera, rinnovando le proprie richieste volte a cono
scere la natura, la tipologia e l'origine dei dati e chiedendone nuovamente la
cancellazione.
Nella risposta del 29 gennaio 2002 inviata ai segnalanti e per conoscen
za al Garante, Sfera dichiara di aver utilizzato per l'invio del materiale promo
zionale di cui sopra i dati precedentemente raccolti in quanto, "pur essendo
stati cancellati, [i medesimi] sono presenti nel […] data base storico con l'an
notazione della […] volontà [dei segnalanti] di non essere contattati".
Nella medesima comunicazione Sfera, con l'intento di giustificare il pro
prio comportamento, sosteneva che "la nascita di un figlio è un fatto inevita
bilmente pubblico" e che a tale pubblicità contribuiscono gli stessi genitori che
"annunciano l'evento ponendo un fiocco sulla porta di casa" o diffondono il
nome del nato attraverso la stampa locale, asserendo così che, "salvo casi
particolari, la nascita non è pertanto un dato personale sul quale possa pre
sumersi una situazione di segretezza o di riservatezza tale da inibirne in
modo assoluto la comunicazione e, addirittura, la diffusione". La società affer
mava di voler svolgere indagini più approfondite sull'invio del materiale non ri
chiesto, ma l'esito di tali asseriti accertamenti non è stato comunicato al Ga
rante.
1.3. Considerata l'inidoneità degli elementi forniti da Sfera in ordine alla li
ceità del trattamento, il Garante ha disposto, con deliberazione 24 giugno
2003, n. 13, ulteriori accertamenti ai sensi dell'art. 32, comma 2, della legge
n. 675/1996 in ordine al trattamento effettuato da Sfera dei dati relativi a don
Pag. 77
ne in stato di gravidanza e a puerpere, raccolti tramite coupon distribuiti all'in

terno di strutture sanitarie neonatali, la cui compilazione consente agli interes
sati di ricevere gratuitamente una rivista in abbonamento.
Tali accertamenti, effettuati presso gli uffici di Sfera in Milano e, successi
vamente, presso altri soggetti (Anna Guglielmi – Bari; Gianfranco Brescia –
Foggia; Se.E.Con. s.c.a.r.l. – Alcamo (TP); Antonio Saglimbene – Siracusa;
Giuseppe Carollo – Palermo; Paolo Milocco – Brindisi), individuati dalla socie
tà come "promotori" operanti su tutto il territorio nazionale per acquisire i dati
personali di donne che frequentano strutture sanitarie neonatali o consultori,
hanno riguardato:
a) le modalità di acquisizione dei dati da parte della società;
b) le procedure attuate per verificare il rispetto delle norme sull'infor
mativa e la genuinità del consenso;
c) il sistema di registrazione dei dati su supporti elettronici;
d) le procedure previste per cancellare i dati e per rispettare l'opposi
zione al trattamento da parte degli interessati;
e) la verifica della veridicità delle dichiarazioni rese da Sfera al Garan
te nell'ambito del procedimento instaurato a seguito delle segnalazioni dei co
niugi YX.
2. L'attività di Sfera
2.1. Nel corso delle verifiche è emerso che Sfera, società editoriale del
gruppo "Rcs Media Group", svolge la propria attività mediante l'invio di riviste,
pubblicazioni e prodotti destinati a neo-genitori.
Tale attività viene realizzata anche mediante le società controllate risul
tanti in atti e si articola sostanzialmente in tre fasi:
I) raccolta dei dati personali degli interessati;
II) gestione del data-base nel quale i dati sono registrati;
III) promozione del proprio materiale editoriale e di altri prodotti.
2.2. Con riguardo alla prima di tali fasi è emerso che la fonte primaria di
raccolta dei dati da parte di Sfera consiste nella compilazione, per lo più ad
opera di donne in stato di gravidanza o puerpere, di coupon resi disponibili
presso strutture neonatali, consultori, studi ginecologici e pediatrici, farmacie
e negozi per la prima infanzia.
Mediante i coupon viene chiesto agli interessati di conferire alcuni dati (in
particolare, quelli anagrafici propri e dei figli, o relativi a recapiti, anche telefo
nici e di posta elettronica, o concernenti la professione) al fine di invio di ma
teriale editoriale e/o di altri prodotti. Sfera cura la distribuzione dei coupon e
la raccolta di quelli compilati, in larga misura tramite una rete di circa trenta
"promotori" operanti per aree geografiche (con modalità descritte nei punti 3 e
Pag. 78
4).
2.3. I dati raccolti da Sfera confluiscono in tre data-base denominati:
a) "prima infanzia", contenente i dati acquisiti mediante le procedure
appena descritte;
b) "rivista Cipria", relativo a dati acquisiti attraverso coupon pubblicati
sulla omonima rivista;
c) "vendite dirette", concernente i dati acquisiti sulla base di vendite di
rette.
Nel data-base "prima infanzia" –rispetto al quale sono stati effettuati gli
accertamenti sopra menzionati, anche al fine di verificare la presenza di dati
riferiti ai segnalanti– sono registrate le informazioni raccolte mediante la distri
buzione dei coupon ad opera dei promotori; esso consta di circa 2.700.000
anagrafiche di soggetti i cui dati sono stati registrati a partire dall'anno 1992.
3. Le attività svolte dai "promotori"
3.1. I "promotori" sono collaboratori professionali di Sfera legati alla so
cietà da un contratto che prevede una remunerazione in parte fissa e in parte
legata al numero dei coupon compilati e delle strutture sanitarie contattate.
Con riferimento ai compiti attribuiti da Sfera alla figura del "promotore", dai
predetti accertamenti è emerso che le attività da questi poste in essere consi
stono:
• nell'individuazione, tra il personale operante presso le strutture sa
nitarie, di persone denominate "referenti";
• nella consegna ai "referenti" di coupon con i quali gli interessati
(come detto, per lo più donne in stato di gravidanza e puerpere) pos
sono richiedere l'abbonamento gratuito alla rivista "Io e il mio
bambino";
• nell'illustrazione ai "referenti" della condotta da tenere nei confronti
dei soggetti chiamati a compilare i coupon;
• nel "vigilare per evitare, per quanto possibile, la compilazione delle
cartoline per la sottoscrizione di abbonamenti trimestrali gratuiti da par
te di persone che vogliano approfittare delle offerte gratuite della so
cietà o vogliano effettuare scherzi a danni di inconsapevoli soggetti di
loro conoscenza" (v. memoria integrativa contenente dichiarazioni
spontanee di Sfera, dell'11 febbraio 2004, p. 3);
• nella verifica in ordine alla corretta distribuzione, presso le struttu
re sanitarie di propria "competenza", del materiale sopra menzionato e
dell'ulteriore materiale promozionale (ad esempio "cofanetti" e guide)
distribuito direttamente da Sfera;
Pag. 79
• nel ritiro delle cartoline compilate (di regola, il mese successivo

alla loro distribuzione);
• nella verifica della congruità del numero delle cartoline compilate
rispetto alla media mensile delle nascite nelle strutture neonatali;
• nella compilazione (ed invio, unitamente alle cartoline raccolte) di
una scheda dedicata ad ogni struttura ospedaliera coinvolta (denomi
nata "scheda di passaggio" nelle dichiarazioni rese dai "promotori"),
suddivisa in due sezioni: l'una, pre-compilata da Sfera, contenente i
dati relativi alla struttura sanitaria, al "promotore" e ai "referenti" della
struttura medesima (comprendenti tipologicamente il primario e altro
personale sanitario), un "campo note" con indicazioni per i promotori,
un riquadro denominato "regali", con l'indicazione dei premi eventual
mente richiesti dai "referenti" in relazione ai punti maturati dai medesi
mi (in ordine al funzionamento di tale sistema premiale, v. il punto
4.2.); tale sezione contiene altresì l'indicazione, per mese, del numero
di cartoline raccolte, il numero di riviste e di "cofanetti" distribuiti, e l'in
dirizzo della struttura sanitaria presso la quale questi ultimi vengono
spediti; la seconda sezione viene compilata direttamente dai "promoto
ri" e riporta il numero delle cartoline, l'eventuale motivo del loro manca
to ritiro, il nome del "referente" a cui queste ultime sono state conse
gnate, il numero delle riviste rilasciate e il totale delle nascite (per inter
valli temporali), un campo libero per annotazioni, la data di passaggio
e la sottoscrizione del "promotore";
• nella consegna delle cartoline a Sfera, unitamente alla corrispon
dente scheda di passaggio.
Dall'analisi dei compiti svolti (v., in tal senso, anche le dichiarazioni rese
da Paolo Milocco nel verbale in atti del 6 ottobre 2004, p. 2) emerge che il
"promotore" non effettua alcuna attività di raccolta diretta dei dati, non aven
do tra l'altro accesso ai reparti ospedalieri (e non potendo quindi interloquire
con le persone ricoverate).
3.2. L'attività descritta al punto precedente è svolta dal "promotore" in vir
tù di un contratto di collaborazione professionale ai sensi dell'art. 2222 del co
dice civile stipulato con la società, il quale prevede che:
a) l'incarico è svolto in autonomia;
b) il promotore non è assoggettato a vincoli di subordinazione nei con
fronti di Sfera, né è tenuto a rispettare direttive (fatta salva l'osservanza, con
riguardo ai profili di protezione dei dati personali, delle "Linee guida che rego
lano la raccolta dei dati personali da parte della società Sfera Editore s.p.a.",
allegate al contratto); il controllo da parte di Sfera riguarda il risultato finale;
c) in caso di necessità, il promotore può farsi sostituire da persone da
lui designate, comunicandone il nominativo alla società;
Pag. 80
d) con la sottoscrizione del contratto, il promotore "dichiara di essere

informato delle modalità di trattamento dati delle potenziali lettrici delle pubbli
cazioni di Sfera che egli raccoglierà durante lo svolgimento della sua attività"
e dichiara contestualmente "di accettare la nomina di incaricato del trattamen
to" (clausola 10 del modello di contratto di collaborazione professionale ex
art. 2222 c.c. di Sfera, in atti).
4. Il ruolo del personale ospedaliero
4.1. Come già accennato, gli accertamenti svolti hanno messo in eviden
za che i "promotori", non avendo accesso ai reparti ospedalieri, né, più in ge
nerale, contatti diretti con gli interessati, non sono in grado di raccogliere da
soli i dati per Sfera, la quale si avvale a tal fine di un anello di collegamento
rappresentato dal personale ospedaliero.
Dalle dichiarazioni rese e dalla documentazione acquisita presso i "pro
motori" risulta che la messa a disposizione delle cartoline avviene da parte
dei summenzionati "referenti", "reclutati" tra il personale medico e paramedico
impiegato presso le strutture sanitarie di riferimento; questi ultimi provvedono
alla raccolta e alla custodia dei coupon fino alla loro riconsegna al "promoto
re". Tale procedura –che evidenzia un ruolo attivo del personale sanitario nel
le descritte operazioni di trattamento dei dati– risulta essere stata seguita abi
tualmente in luogo di altre possibili modalità curate direttamente da Sfera (in
vio dei coupon agli interessati mediante comunicazione postale della società
–cfr. memoria integrativa di Sfera, cit., p. 3–; coinvolgimento diretto da parte
di Sfera del personale sanitario).
Peraltro, il ruolo dei "referenti" ospedalieri non è limitato alla trasmissione
dei coupon: agli stessi viene chiesto infatti di richiamare l'attenzione degli in
teressati sull'informativa resa da Sfera e di facilitarne la compilazione (cfr.
memoria integrativa di Sfera, cit., p. 4; dichiarazioni rese da Paolo Milocco nel
verbale del 6 ottobre 2004, p. 2).
4.2. L'attività dei "referenti" viene gratificata da Sfera con regali e altre
utilità da destinarsi ai "referenti" medesimi o alle strutture presso cui essi ope
rano (cfr. dichiarazioni contenute nei verbali in atti rese da Gianfranco Brescia
il 6 ottobre 2004, p. 3; da Paolo Milocco il 6 ottobre 2004, p. 3; da Giuseppe
Carollo l'8 ottobre 2004, p. 2; da Antonio Saglimbene l'8 ottobre 2004, p. 3;
da Vincenzo Cottone, per Se.E.Con. s.c.a.r.l. di Trapani, l'8 ottobre 2004, p.
3; da Anna Guglielmi il 6 ottobre 2004, p. 3).
Regali e utilità vengono assegnati sulla base di un sistema a punti in virtù
del quale a ciascun "referente" è attribuito un punto per ogni cartolina compi
lata. In base ai punti accumulati il "referente" può scegliere, utilizzando una
modulistica predisposta da Sfera, premi compresi in un catalogo costante
mente aggiornato dalla società.
La tipologia dei premi offerti è variegata, comprendendo oggetti di marca
ad uso personale (collier d'oro, orologi, depilatori, macchine fotografiche digi
Pag. 81
tali, telefoni cellulari, piastre arricciacapelli a vapore, beauty case ), domesti

co (copripiumone matrimoniale, friggitrici da cucina, bistecchiere grill con dop
pia piastra, folletto aspirabriciole, tostapane, tovaglie) o destinati al tempo li
bero (abbonamenti a riviste, apparecchiature di riproduzione musicale, televi
sori, borse da viaggio), peraltro di dubbia attinenza con i ruoli sanitari ricoper
ti.
È stato accertato, mediante annotazioni contenute nelle "schede di pas
saggio", che vengono talora richiesti beni non compresi nel catalogo (cfr.
scheda di un ospedale acquisita negli accertamenti effettuati presso il sig. Sa
glimbene, nella quale si legge: "La professoressa XY contattata telefonica
mente dice che per questo lavoro vuole almeno un'incubatrice, paragona
questa attività di propaganda ad uno spot televisivo e ritiene giusto applicare
le stesse tariffe"); altri, subordinano la propria collaborazione alla concessio
ne di "spazi" su riviste (cfr. scheda di un ospedale acquisita negli accerta
menti effettuati presso il sig. Carollo, nella quale si legge: "Il primario pediatria
dottoressa VZ vieta qualsiasi tipo di promozione, salvo disponibilità da parte
di Eurotrend a dedicarle uno spazio sulla rivista" e nella quale si legge, quale
annotazione ulteriore, "Attenzione! L'incaricata collabora di nascosto" ).
5. I coupon c.d. " non spontanei"
5.1. Nel corso delle verifiche Sfera ha dichiarato che "può accadere che il
coupon non venga compilato direttamente dall'interessata, ma tramite la me
diazione di persone operanti all'interno della struttura ospedaliera, le quali a
titolo di cortesia e avendone informato l'interessata, provvedono a completare
la cartolina" (memoria integrativa di Sfera, cit., p. 3).
Tali cartoline, prive di sottoscrizione (ed eventualmente del numero di te
lefono degli interessati), vengono contrassegnate dai promotori con la dizione
"da verificare", oppure "non spontanee" (cfr. dichiarazioni di Anna Guglielmi,
verbale 6 ottobre 2004, p. 3). Al riguardo, la società ha affermato che la clas
sificazione delle cartoline come "non spontanee" (termine con il quale si quali
ficano "dati che sono il risultato di una mediazione, non pianificata, nella fase
di compilazione della cartolina stessa") è attribuita non solo ai coupon "che
presentano un'analoga grafia, ma anche alle cartoline incomplete, con dati
mancanti o contraddittori" (memoria integrativa di Sfera, cit., p. 6).
In tale contesto, sembrerebbe doversi ricomprendere anche la cartolina
(riprodotta in copia da Sfera) da cui sono stati ricavati i dati relativi a YW, pri
va anch'essa di sottoscrizione e del numero di telefono, che i segnalanti so
stengono di non aver mai compilato (cfr. note del sig. YX del 28 agosto 2000
e del 16 gennaio 2002 inviate a Sfera e trasmesse per conoscenza a questa
Autorità).
5.2. Presso i "promotori", per trovare un'ulteriore conferma della prassi
sopra descritta e della circostanza che la stessa fosse nota a Sfera, sono sta
ti successivamente acquisiti i seguenti documenti:
Pag. 82
a) una missiva del 30 gennaio 2003 (prodotta nel corso dell'ispezione

presso Gianfranco Brescia) a firma del responsabile dell'Area logistica di Sfe
ra, sig. Maurizio Santandrea, che in un passo evidenzia che "alcuni ospedali
[…] consegnano cartoline non spontanee. Nell'ottimizzare la vostra raccolta e
il vostro rendimento economico, abbiamo inserito nel pacco di questo mese la
"dichiarazione informativa sulla privacy" che se compilata dall'incaricata per
mette alla cartolina non spontanea di acquisire gli stessi vantaggi di quella
spontanea, ottimizzando così tempi e costi";
b) una nota a firma di Maurizio Santandrea e del coordinatore dell'area
"Field" Antonio Saracino, in cui si ribadisce al "promotore" Brascia la possibi
lità di ricorrere all'informativa sottoscritta dai "referenti" ospedalieri per acqui
sire (in termini di incentivi e premi) gli stessi vantaggi delle cartoline sponta
nee anche da quelle non spontanee e si invia un prospetto degli enti che,
"confrontati con l'aprile 2002, sono notevolmente calati nella raccolta delle
cartoline". La missiva prosegue invitando il Brescia a riferire i motivi del de
cremento e a prospettare rimedi;
c) una terza missiva indirizzata al Brescia dall'Area logistica di Sfera,
nella quale si evidenzia che le cartoline provenienti da taluni enti "ci risultano
essere non spontanee" ed esorta il "promotore" a incentivare la distribuzione
delle informative ai referenti "anche regalando dei punti piuttosto che dei re
gali";
d) in altra missiva, indirizzata anch'essa al Brescia da parte dell'Area
logistica di Sfera, si affronta nuovamente la questione della "trasformazione"
delle cartoline non spontanee tramite la sottoscrizione dell'informativa da par
te dei "referenti" ospedalieri, osservando che "per questi enti c'è sempre il ca
talogo premi, l'articolo sulla rivista, qualche donazione, convegno, pertanto
dia il massimo affinché possa convertirli".
Il fatto che la società sia a conoscenza che molti coupon non sono com
pilati dalle interessate risulta anche dall'analisi delle annotazioni (dal seguen
te tenore: "cartoline compilate dall'incaricata"; "cartoline compilate dall'ostetri
ca") riportate nel "campo note" di talune delle schede riassuntive in atti che,
come detto, il "promotore" è tenuto ad inviare a Sfera.
5.3. Nel corso degli accertamenti, anche in relazione al rinvenimento ne
gli archivi cartacei di Sfera di diverse cartoline provenienti dagli ospedali di
Taranto e San Giuseppe di Nardò (in atti), apparentemente compilate da un
unico soggetto (cfr. dichiarazione di Anna Guglielmi nel verbale del 6 ottobre
2004, p. 3), è stato chiesto al responsabile dell'Area logistica se la società
avesse contestato ai "promotori" comportamenti irregolari in ordine al feno
meno delle cartoline c.d. non spontanee. Dalle dichiarazioni rese per conto
della società è emerso che: "in ogni circostanza in cui la società abbia nutrito
dubbi circa la spontaneità dell'acquisizione delle informazioni, ha proceduto a
classificare le stesse con la sigla "NS" (…) e che non sono state fatte specifi
che contestazioni ma che, comunque, a partire dal 2003, il contratto dei pro
Pag. 83
motori è stato integrato con le linee-guida per il trattamento" (cfr. verbale del
22 dicembre 2003, p. 5).
La società ha precisato che "i dati definiti come non spontanei vengono
trattati con cautele aggiuntive che portano a chiedere all'interessata di confer
mare il suo interesse a ricevere il materiale editoriale e, in caso di risposta
negativa o anche semplicemente di mancata risposta la società, nel pieno ri
spetto del principio del consenso espresso dall'interessato su cui si fonda
questa attività in base alla normativa, sospende precauzionalmente qualsiasi
trattamento dei dati stessi" (memoria integrativa di Sfera, cit., p. 6; cfr. anche
la nota di riscontro di Sfera del 18 maggio 2001, cit.).
6. Archiviazione e attività di tele-marketing per i dati contenuti nei coupon
c.d. "non spontanei"
6.1. Sulla base di quanto dichiarato da Sfera in sede ispettiva, è emerso
che i coupon, una volta riconsegnati dai "promotori", vengono affidati a Kality
pe s.n.c. e D.S.Z. s.a.s. di Milano per le operazioni di data-entry nel data-
base principale di Sfera.
A seguito di un esame sommario dei coupon così raccolti, volto a verifi
care la completezza dei dati, vengono registrati nel data-base soltanto i dati
riportati nelle cartoline contenenti il numero telefonico e la sottoscrizione del
l'interessato.
Le cartoline classificate come "non spontanee" sono invece trasmesse a
Telecontatto S.p.a., che provvede a reperire i numeri telefonici degli interes
sati per rendere possibile la successiva attività di tele-marketing da parte di
Sfera. A questo proposito Sfera ha dichiarato che al momento del contatto te
lefonico l'operatore incaricato "provvede ad acquisire il consenso al tratta
mento dei dati personali […] con lettura integrale, all'interessato, dell'informa
tiva".
7. Le istanze ex art. 7 del Codice e le verifiche in ordine a YW
Negli accertamenti presso Sfera si è anche verificato il trattamento dei
dati personali relativi ai componenti della famiglia YX, in relazione alla proce
dura seguita per dare corso alle richieste di cancellazione dei dati relativi a
coloro che revocano il consenso o che si oppongono al trattamento.
I predetti dati risultano presenti nel data-base sotto il nominativo della
sig.a "YW" (sebbene il nominativo risulti errato, come evidenziato nel coupon
a suo tempo esibito dalla società). In relazione a tale nominativo è presente
un c.d. "vincolo di utilizzo" denominato "blocco permanente su richiesta per
sona". I dati della sig.a YW risultano essere stati acquisiti in due circostanze,
"rispettivamente in data 2 agosto 1999, attraverso il coupon della rivista "Io &
il mio bambino" […] e in data 1° giugno 2001, attraverso un coupon "Ospeda
li"" (cfr. verbale del 22 dicembre 2003, p. 5).
Pag. 84
Con riguardo poi alle richieste di cancellazione dei dati o alle opposizioni
al trattamento, la società ha dichiarato di aver modificato la relativa procedura
(che in una prima fase prevedeva la estromissione del relativo record dal
data-base) creando un'apposita black list formata dai nominativi e dai codici
di avviamento postale di residenza degli interessati che non desiderano rice
vere comunicazioni da Sfera.
8. Trattamenti effettuati da Sfera e protezione dei dati: in particolare, la
mancata designazione di responsabili e incaricati
8.1. La complessa vicenda descritta è di seguito esaminata per ciò che
concerne la liceità e la correttezza del trattamento dei dati, profili questi di
competenza del Garante.
Vanno preliminarmente qualificate dal punto di vista della protezione dei
dati le attività svolte da "promotori" e "referenti" nell'interesse di Sfera, titolare
del trattamento sopra descritto.
Dalla ricostruzione delle attività svolte e degli impegni contrattualmente
assunti da soggetti esterni quali i "promotori", la figura di questi ultimi (che pe
raltro non sono sempre persone fisiche) non risulta qualificabile alla mera
stregua di semplici "incaricati del trattamento".
Il grado di autonomia del "promotore" in ordine alle modalità da osservare
nel trattamento dei dati, così come prefigurata dalle clausole contrattuali che
regolano il rapporto di collaborazione coordinata e continuativa con la società,
risulta infatti alquanto ampio ancorché all'interno delle direttive impartite da
Sfera ("Sintesi delle linee guida che regolano la raccolta dei dati personali da
parte della società Sfera Editore s.p.a.", allegata al contratto di collaborazio
ne).
Va pertanto prescritto a Sfera, ai sensi dell'art. 154, comma 1, lett. c ),
del Codice, di provvedere alla necessaria designazione dei promotori di cui
intenda continuare ad avvalersi quali "responsabili", anziché "incaricati" del
trattamento, in conformità a quanto previsto dagli artt. 4 e 29 del Codice.
8.2. Dagli atti non risulta che Sfera, pur sussistendone i presupposti e la
necessità, abbia designato quale "responsabile del trattamento", salva la so
cietà Kalitype –la quale comunque non risulta aver provveduto a designare
quali incaricati del relativo trattamento i propri dipendenti (cfr. verbale del 22
dicembre 2003, p. 4)– le società Telecontatto e D.S.Z., né tale designazione
è stata a tutt'oggi comunicata al Garante.
Il trattamento dei dati presso tali società non risulta quindi dagli atti effet
tuato in conformità ai necessari requisiti di liceità (artt. 4, 30, 33 e All. B del
Codice).
La prescrizione di cui al punto 8.1. va quindi impartita dal Garante anche
in relazione all'attività di tali società, oltre alla trasmissione degli atti e di copia
del presente provvedimento all'autorità giudiziaria per le valutazioni di compe
Pag. 85
tenza in ordine alla non risultante adozione delle misure minime di sicurezza
previste dal predetto All. B al Codice (art. 169 del Codice).
8.3. Sono emersi profili critici anche in relazione alla qualificazione, dal
punto di vista della disciplina di protezione dei dati personali, dei comporta
menti materiali posti in essere dai "referenti" che, a titolo diverso, hanno con
sentito (o tollerato) o, ancora, effettuato direttamente un'attività di distribuzio
ne dei coupon e di loro raccolta e conservazione una volta compilati, con
eventuale partecipazione diretta anche alla loro redazione, prestando assi
stenza agli interessati, o finanche sostituendosi (a loro insaputa) ai medesimi.
Queste attività, basate su una distribuzione alquanto capillare dei "refe
renti" nell'ambito delle strutture sanitarie interessate agli accertamenti, sono
operazioni di trattamento di dati personali (art. 4, comma 1, lett. a ) del Codi
ce).
L'attività dei "referenti", per le modalità attraverso le quali trova regolare
attuazione, lungi dal caratterizzarsi per la saltuarietà e l'occasionalità dell'ap
porto fornito per il trattamento dei dati, denota infatti una continuità nell'impe
gno assunto dai "referenti" con i "promotori" (e la società), rappresentando un
elemento indefettibile ed imprescindibile per la buona riuscita delle operazioni
di raccolta dei dati finalizzate al marketing da parte di Sfera.
Né, tenendo conto dell'attribuzione dei benefici sopra descritti al punto
4.2., tale attività si caratterizza per disinteresse e spontaneità, come le dichia
razioni della società vorrebbero far intendere (cfr. memoria integrativa di Sfe
ra, cit., p. 4, secondo cui le cartoline possono anche "essere raccolte con
l'assistenza spontanea del personale ospedaliero […], che si premura di di
stribuire le cartoline. A tale riguardo va precisato […] che non è infrequente
che lo stesso personale ospedaliero agevoli la diffusione del materiale distri
buito e questo per un comprensibile elemento di carattere psicologico (risulta
infatti moralmente gratificante consentire alla neo-mamma di ricevere gratui
tamente materiale di pregio e di immediata utilità)".
Tali elementi, valutati nelle concrete modalità di svolgimento delle opera
zioni di raccolta, inducono a rinvenire nei "referenti" l'ultimo, ma vitale, anello
della catena di cui Sfera si avvale per la raccolta (e, talora, la "generazione",
nel caso delle c.d. cartoline non spontanee) delle informazioni personali.
I "referenti" non risultano aver assunto questo compito in termini leciti in
rapporto alle funzioni che i medesimi possono svolgere nelle strutture pubbli
che e private di appartenenza in corrispondenza dell'esecuzione della presta
zione lavorativa (non constando, dagli atti acquisiti, che l'attività svolta per
Sfera fosse prevista da convenzioni legittimamente sottoscritte dalle strutture
sanitarie o consentita da atti autorizzativi interni).
Oltre agli altri aspetti di illiceità e non correttezza del trattamento legati a
talune modalità di concreta informativa e compilazione dei coupon, non risulta
altresì che i "referenti" abbiano trattato legittimamente i dati nella qualità di
Pag. 86
"incaricati del trattamento" designati da Sfera o dai "promotori" (incarico di cui

è peraltro difficile configurare la liceità alla luce della disciplina vigente e del
l'anomalo sistema di collaborazione sinora instaurato, atteso che i "referenti"
sono generalmente dipendenti o collaboratori delle strutture sanitarie presso
le quali operano –e, quindi, già "incaricati" delle medesime– e che l'"incaricato
del trattamento" può essere designato come tale solo se opera "sotto la diret
ta autorità del titolare o del responsabile": art. 30 del Codice).
Va pertanto vietato a Sfera, ai sensi degli artt. 143, comma 1, lett. c),
154, comma 1, lett. d), e 170 del Codice, di effettuare ulteriori operazioni di
trattamento dei dati avvalendosi di "referenti" sprovvisti dei necessari presup
posti di legittimazione al trattamento.
La comunicazione all'autorità giudiziaria di cui al punto 8.2. viene dispo
sta dal Garante anche in relazione alla non risultante adozione delle predette
misure minime di sicurezza concernenti la descritta attività dei "referenti".
9. L'informativa e il consenso degli interessati
9.1. I coupon distribuiti dai promotori (di cui sono state acquisite alcune
copie nel corso degli accertamenti) sono di tenore parzialmente diverso in re
lazione all'informativa e alla dichiarazione di consenso al trattamento da parte
degli interessati riprodotte nei medesimi; contengono una sintetica informativa
ai sensi dell'art. 10 della legge n. 675/1996 e un apposito spazio per racco
gliere la manifestazione del consenso.
In taluni casi è previsto uno spazio per la sottoscrizione; in altri modelli,
per esplicitare il consenso, è inserita solo una casella da barrare. A tale ri
guardo la società ha asserito che le differenze "nelle formule di informativa e
consenso sono effetto di un processo in continuo divenire di adeguamento
alle indicazioni provenienti dal Garante e di suggerimenti dei consulenti dell'a
zienda" (v. verbale del 22 dicembre 2003, p. 2).
9.2. Ciò premesso, i diversi modelli di informativa esaminati non conten
gono una specifica e distinta indicazione in ordine alle finalità perseguite
(consistenti nell'utilizzo delle informazioni per l'invio dell'abbonamento gratuito
alla rivista e nell'invio di altro materiale promozionale da parte della società o
di terzi, anche appartenenti allo stesso gruppo societario) e alle relative mo
dalità di trattamento dei dati. Né viene indicata la finalità di profilazione degli
interessati, che è stata oggetto di notificazione al Garante da parte di Sfera.
I modelli, così come sono strutturati, non consentono agli interessati di
comprendere quali siano le informazioni che gli stessi dovrebbero conferire ai
fini dell'invio della rivista (tra i quali potrebbero ricomprendersi i dati identifica
tivi e i recapiti) e quelle, facoltative, utilizzate dalla società per compiere altre
attività (dati anagrafici propri e dei figli, sesso, professione, numeri telefonici e
indirizzi di posta elettronica).
Pag. 87
In alcuni casi non è prevista un'indicazione chiara delle categorie di sog

getti cui i dati possono essere comunicati. In particolare, in uno dei modelli di
informativa predisposto dalla società e acquisito agli atti, Sfera si limita ad
operare un mero riferimento, per di più a titolo esemplificativo, a "gli inserzio
nisti di "Io & il mio bambino" ed altre aziende di primaria importanza". Nelle al
tre cartoline esaminate, invece (con cui sembrerebbero essere state sostituite
a partire dal 2000 quelle appena descritte: v. la nota di riscontro di Sfera del
18 maggio 2001 alla richiesta di informazioni del Garante ex art. 32, comma
1, l. n. 675/1996), ai fini dell'individuazione delle categorie di soggetti cui i dati
possono essere comunicati, si rinvia, più genericamente, ad un elenco ag
giornato contenente tali indicazioni, che l'interessato può richiedere al respon
sabile del trattamento.
Oltre al divieto di cui al dispositivo per quanto riguarda i dati già trattati in
modo illecito e non corretto, va pertanto prescritto a Sfera, ai sensi dell'art.
154, comma 1, lett. c), del Codice, di riformulare l'informativa inserita nei cou
pon, in conformità alla previsione ora contenuta nell'art. 13 del Codice e ai
principi richiamati dal Garante in precedenti occasioni (Provv.24 febbraio
2005, punto 6, in www.garanteprivacy.it, doc. web n. 1109624; Provv.13 gen
naio 2000, ivi, doc. web n. 42276), integrandola in maniera tale da rendere
chiari e comprensibili tutti gli aspetti qualificanti del trattamento sopra rappre
sentati.
9.3. Con riguardo al profilo del consenso, le formule predisposte da Sfera
risultano differenziate. Ricorrono, infatti, le seguenti locuzioni:
a) "Se non desideri ricevere successivi invii di campioni gratuiti e di in
formazioni scientifiche o commerciali, contrassegna con X la casella". A que
sto proposito deve rilevarsi che tale formula, strutturata mediante l'inserimen
to di una casella da barrare, non consente all'interessato di esplicare piena
mente il proprio diritto all'autodeterminazione informativa, prevedendo solo
un'opzione di tipo "negativo" (c.d. opt out) e non è quindi conforme ai requisiti
già previsti dalla legge n. 675 e, ora, dal Codice (art. 23). Come già rilevato
(cfr. Provv. 13 gennaio 2000, cit., p. 42), la manifestazione del consenso (o la
sua documentazione) in forma negativa, ossia come mera possibilità di espri
mere un dissenso o di barrare una casella per la rinuncia o l'opposizione ad
ulteriori contatti o comunicazioni commerciali, anche se preceduta da una
corretta informativa, si pone infatti in contrasto con quanto stabilito dal citato
art. 23, comma 3, del Codice (già art. 11, comma 3, l. n. 675/1996), il quale
presuppone che il medesimo, per essere valido, sia "espresso liberamente" e
"in forma specifica";
b) "In mancanza del suo consenso l'Editore non potrà inviarle la rivista
ed informarla sulle iniziative commerciali". Ponendo riguardo a tale formula,
deve rilevarsi che il trattamento di dati preordinato all'invio della rivista è ne
cessario, in base a quanto previsto nell'art. 24, comma 1, lett. b), del Codice
(già art. 12, comma 1, lett. b), l. n. 675/1996), per eseguire obblighi derivanti
Pag. 88
da un contratto del quale è parte l'interessato (ossia l'esecuzione del contrat

to gratuito di abbonamento). Non è quindi corretto da parte di Sfera sollecita
re, come risulta avvenire nel caso di specie, il consenso a tale trattamento di
dati (cfr. Provv. 24 febbraio 2005, cit., punto 7; Provv. 3 novembre 2005, in
www.garanteprivacy.it, doc. web n. 1195215).
La raccolta dei dati degli interessati di cui al punto a) effettuata da parte
di Sfera per compiere successive attività di marketing configura pertanto una
violazione dei principi di liceità e correttezza ai sensi degli artt. 11, comma 1,
lett. a ), e 23 del Codice. Ai sensi dell'art. 11, comma 2, del Codice i dati così
raccolti sono inutilizzabili.
Oltre al divieto di cui al dispositivo per quanto riguarda i dati già trattati in
modo illecito e non corretto, va prescritto a Sfera, ai sensi dell'art. 154, com
ma 1, lett. c), del Codice, di:
• definire, nei coupon utilizzati, un modello uniforme di raccolta del con
senso utilizzando solo formule che permettano agli interessati di mani
festare validamente la propria volontà in termini "positivi";
• richiedere tale consenso solo in ordine ad ogni altra finalità di tratta
mento differente da quella relativa all'invio della rivista (ossia, la finalità
di profilazione e ricerche di mercato da un lato; e quella di marketing
dall'altro);
• acquisire, in base a quanto prescritto nell'art. 23 del Codice, solo mani
festazioni di consenso specifiche, informate e distinte per ciascuna
delle finalità perseguite dalla società attraverso il trattamento dei dati
raccolti con i predetti coupon (cfr. Provv. 24 febbraio 2005, cit., punto
7).
9.4. Con riferimento al trattamento dei dati effettuato mediante le c.d. car
toline "non spontanee" (descritto al punto 5) redatte in assenza della sotto
scrizione degli interessati, e comunque della prova (resa anche in altra forma)
che il consenso è stato previamente prestato dagli stessi per la cessione e la
successiva utilizzazione di dati personali per finalità di marketing, ricorre an
che in questo caso un'ipotesi di violazione dei principi di liceità e correttezza
ai sensi degli artt. 11, comma 1, lett. a ), e 23 del Codice.
Le "cautele aggiuntive" cui fa riferimento Sfera e le "procedure di control
lo" dalla medesima adottate (v. precedente punto 5.3.), consistenti nel contat
tare telefonicamente gli interessati (al fine di "chiedere di confermare il suo in
teresse a ricevere il materiale editoriale" e più in generale quelle descritte al
punto 6), comportano la realizzazione di operazioni di trattamento che non
possono ritenersi allo stato lecite, considerato che la raccolta dei dati da cui
hanno avuto origine tali operazioni è avvenuta in contrasto con le previsioni
normative sopra citate.
Pag. 89
Anche sotto questo profilo, oltre a quanto già affermato nel punto 8.3. ed
estendendo al punto in esame sia la prescrizione di cui al punto 9.3., sia il di
vieto di trattamento dei dati già trattati in modo illecito e non corretto, va rile
vato, ai sensi dell'art. 11, comma 2, del Codice, che i dati trattati sono inutiliz
zabili.
10. Procedure di cancellazione ed opposizione al trattamento
In ordine alle procedure adottate da Sfera per garantire un esatto adem
pimento alle istanze presentate dagli interessati ai sensi degli artt. 7 e 8 del
Codice (cfr. punto 7), la società, in caso di opposizione al trattamento ai sensi
dell'art. 7, comma 4, lett. b), del Codice, non è tenuta a cancellare i dati, es
sendo a tal fine sufficiente adottare un sistema (ad esempio mediante apposi
te black list ) che consenta di impedire l'ulteriore trattamento di tali dati per le
finalità oggetto dell'opposizione (invio di materiale pubblicitario, vendita diret
ta, compimento di ricerche di mercato, comunicazione commerciale).
Al contrario, diversamente da quanto risulta effettuato da Sfera, la richie
sta di cancellazione di dati dell'interessato comporta (quando sussistono i
presupposti previsti nell'art. 7, comma 3, lett. b), del Codice, ossia la violazio
ne di legge o l'esaurimento degli scopi per i quali sono stati raccolti) la neces
saria eliminazione definitiva dei medesimi dal data-base ove sono custoditi, in
maniera tale da escludere qualsiasi loro ulteriore trattamento, anche in forma
di conservazione.
Anche tale profilo deve pertanto formare oggetto di prescrizione a Sfera
per ulteriori trattamenti di dati, ai sensi del predetto art. 154, comma 1, lett.
c ), del Codice, nonché di divieto del trattamento per ciò che concerne i dati
già trattati in modo illecito e non corretto.
TUTTO CIÒ PREMESSO, IL GARANTE
1) vieta a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett. d ),
del Codice, di proseguire il trattamento dei dati personali che sono stati già
trattati in modo illecito e non corretto in violazione delle disposizioni e dei prin
cipi di cui ai punti 8, 9 e 10, a decorrere dalla data di ricezione del presente
provvedimento;
2) prescrive a Sfera Editore S.p.a., ai sensi dell'art. 154, comma 1, lett.
c ), del Codice, al fine di rendere il trattamento conforme alle disposizioni vi
genti, di adottare per eventuali altri trattamenti leciti di dati, nei termini di cui in
motivazione ed entro il 15 febbraio 2007, le misure necessarie per rispettare
l'obbligo di:
a. designare quali responsabili del trattamento ai sensi dell'art. 29
del Codice i soggetti di cui la società si avvale per effettuare attività di gestio
ne del data-base o per le attività di raccolta dei dati personali finalizzati allo
svolgimento di attività di marketing svolta dalla medesima (punti 8.1. e 8.2.);
Pag. 90
b. fornire un'idonea informativa agli interessati, completa di tutti gli

elementi di cui all'art. 13 del Codice (punto 9.2.);
c. acquisire e trattare i dati degli interessati in base ad un consenso
validamente prestato ai sensi dell'art. 23 del Codice (punto 9.3. e 9.4.);
d. adottare procedure idonee a garantire un esatto adempimento
alle istanze rivolte dagli interessati in base agli artt. 7 e 8 del Codice (punto
10);
e. dare conferma al Garante, entro e non oltre la medesima data del
15 febbraio 2007, in ottemperanza alla presente statuizione adottata anche ai
sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, che i tratta
menti di dati da essa effettuati sono conformi alle prescrizioni del presente
provvedimento, conformità che dovrà essere comprovata anche da ogni infor
mazione e documento utili da allegare alla comunicazione all'Autorità;
3) dispone la trasmissione degli atti e di copia del presente provvedi
mento all'autorità giudiziaria per le valutazioni di competenza in ordine alla
non risultante adozione delle misure minime di sicurezza previste dall'Allegato
B al Codice (art. 169 del Codice) (punti 8.2. e 8.3.).
Roma, 7 dicembre 2006
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
Buttarelli
Pag. 91
Provvedimento 31 gennaio 2008, Divieto di invio di fax promozionali

senza consenso
VISTO il provvedimento del 14 luglio 2005 (in www.garanteprivacy.it,
doc. web n. 1151640) con il quale questa Autorità ha individuato procedure
semplificate per la formazione degli elenchi telefonici organizzati per catego
rie merceologiche/professionali (c.d. elenchi "categorici"), prescrivendo anche
alcune misure che devono essere in riferimento alle modalità di acquisizione
e inserimento dei dati personali e all'informativa agli interessati;
RILEVATO che il quadro semplificato per gli operatori emergente da tale
provvedimento fa salve le peculiari garanzie operanti, anche nell'ambito degli
elenchi categorici, per le comunicazioni di carattere commerciale effettuate ai
sensi dell'art. 130 del Codice;
VISTA la segnalazione di Luigi Barzazi, in nome proprio e dello studio di
consulenza Bls, del 21 febbraio 2007 con la quale è stata contestata la rice
zione di e-mail e fax indesiderati inviati da Milano Meeting s.r.l. al fine di pro
muovere propri servizi;
RILEVATO che il segnalante ha lamentato anche che, malgrado i vari
tentativi volti a esercitare il diritto di opposizione di cui all'art. 7 del Codice,
sono pervenuti ulteriori messaggi indesiderati inviati tramite e-mail e telefax;
VISTA la nota inviata da Milano Meeting s.r.l.. in data 13 settembre 2007,
a seguito di una specifica richiesta di informazioni dell'Autorità, con la quale la
società ha affermato, riguardo alle modalità e forme di raccolta dei dati perso
nali, che questi "provengono dal pubblico elenco organizzato per categorie
(c.d. elenchi categorici)", "dal registro pubblico dell'Albo dell'Ordine dei com
mercialisti" e che essa non è in grado di riprodurre "il tabulato di conferma del
preventivo contatto telefonico per l'invio";
RILEVATO che nella medesima nota la società ha dichiarato di richiede
re il consenso "con e-mail preventive all'invio di messaggi di posta elettronica
ovvero, nell'ipotesi di invio via fax, con preventiva conferma telefonica";
RILEVATO che l'art. 130, comma 2 del Codice prevede per l'invio di
messaggi promozionali mediante posta elettronica e telefax il presupposto del
preventivo consenso informato e specifico dell'interessato;
Pag. 92
CONSIDERATO che tale garanzia non può essere elusa inviando una
prima e-mail che, nel richiedere il consenso, abbia già un contenuto promo
zionale o pubblicitario (v. Provv. 29 maggio 2003, relativo allo spamming, in
www.garanteprivacy.it doc. web n. 29840);
RILEVATO che dalla documentazione allo stato acquisita non risulta
comprovato che, nel caso di specie, sia stato richiesto preliminarmente uno
specifico consenso all'interessato per l'inoltro delle comunicazioni mediante
telefax ed e-mail, necessario ai sensi del predetto art. 130 in ragione della
specificità dei mezzi considerati;
CONSIDERATO che l'invio di materiale pubblicitario e di comunicazioni
commerciali mediante e-mail e telefax effettuato da Milano Meeting s.r.l. sen
za il prescritto consenso configura quindi un trattamento illecito di dati (art.
130 Codice);
CONSIDERATO che il titolare del trattamento, è tenuto a predisporre ido
nee misure al fine di agevolare l'esercizio dei diritti di cui all'art. 7 del Codice
da parte dell'interessato (art. 10, comma 1, del Codice);
RISERVATA, con autonomo provvedimento, la verifica dei presupposti
per contestare la violazione amministrativa concernente l'inidonea informativa
(artt. 13, comma 4 e 161 del Codice);
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c)
e 154, comma 1, lett. d), del Codice, ha il compito di vietare anche d'ufficio il
trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare,
altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento
dei dati personali;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. b)
e 154, comma 1, lett. c) del Codice ha il compito di prescrivere al titolare le
misure opportune o necessarie per rendere il trattamento conforme alle di
sposizioni vigenti;
RILEVATO che il trattamento di dati personali che non risulta effettuato in
modo lecito ha carattere sistematico;
RILEVATA la necessità di adottare nei confronti di Milano Meeting s.r.l.
un provvedimento di divieto del trattamento illecito di dati personali ai sensi
degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato
all'invio di materiale pubblicitario e di comunicazioni commerciali per mezzo di
e-mail e telefax senza che risulti comprovato il necessario consenso preventi
vo, specifico e informato del destinatario;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essen
dovi tenuto, non osserva il presente provvedimento di divieto è punito con la
reclusione da tre mesi a due anni;
CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati
personali trattati in violazione della disciplina rilevante in materia di dati perso
Pag. 93
nali non possono essere utilizzati;

CONSIDERATO che resta impregiudicata la facoltà per gli interessati di
far valere i propri diritti in sede civile in relazione alla condotta accertata (cfr.
anche art. 15 del Codice);
Relatore il prof. Francesco Pizzetti;
a) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del
Codice, vieta a Milano Meeting s.r.l. con sede legale in Milano, Via Cosimo
del Fante 10 l'ulteriore trattamento illecito dei dati personali effettuato tramite
l'utilizzo del telefax ed e-mail per l'invio di materiale pubblicitario e di comuni
cazioni commerciali senza che risulti comprovato un consenso preventivo,
specifico e informato degli interessati;
b) ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del
Codice prescrive a Milano Meeting s.r.l. di predisporre le misure idonee al fine
di rendere agevole ed effettivo l'esercizio dei diritti di cui all'art. 7 del Codice
da parte degli interessati. Ciò, entro e non oltre il 28 febbraio 2008, dando do
cumentato riscontro a questa Autorità entro lo stesso termine, ai sensi del
l'art. 157 del Codice, circa l'avvenuto adempimento.
Roma, 31 gennaio 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
Buttarelli
Pag. 94
Provvedimento del 12 marzo 2009 (G.U. 20 marzo 2009), Prescrizioni ai

titolari di banche dati costituite sulla base di elenchi telefonici formati
prima del 1° agosto 2005 a seguito della deroga introdotta dall'art. 44 d.l.
207/2008

san e del dott. Giuseppe Fortunato, componenti, e del cons. Filippo Patroni
Griffi, segretario generale;
VISTO l'art. 129, comma 2, del Codice che, in attuazione della disciplina
comunitaria e, in particolare, della direttiva 2002/58/Ce, ha individuato nella
"mera ricerca dell'abbonato per comunicazioni interpersonali" la finalità prima
ria degli elenchi telefonici realizzati in qualunque forma;
CONSIDERATO che tale disposizione ribadisce che il trattamento dei
dati inseriti negli elenchi, se realizzato per fini ulteriori tra cui rientrano quelli
pubblicitari, promozionali o commerciali, è lecito solo se è effettuato con il
consenso espresso liberamente e specificamente dagli interessati, documen
tato per iscritto e previa informativa;
doc. web n. 1032381) con il quale l'Autorità ha individuato le modalità di inse
rimento e di successivo utilizzo dei dati personali relativi agli abbonati e agli
acquirenti del traffico prepagato negli elenchi telefonici "alfabetici" del servizio
universale, realizzati in qualsiasi forma, in rapporto alle diverse finalità so
praindicate, anche in rapporto all'informativa;
doc. web n. 1151640) con il quale l'Autorità ha individuato procedure semplifi
cate per la redazione e l'utilizzo degli elenchi organizzati per categorie mer
ceologiche/professionali (c.d. elenchi "categorici");
RILEVATO che la disciplina in materia di protezione dei dati personali
prevede la possibilità di utilizzare, per attività di carattere promozionale, pub
blicitario o commerciale, alcune categorie di dati e, in particolare: a) quelli
presenti negli elenchi c.d. "alfabetici" per i quali l'interessato ha manifestato il
proprio consenso (Provv. 15 luglio 2004 cit.); b) quelli presenti negli elenchi
c.d. "categorici" (Provv. 14 luglio 2005 cit.); c) quelli presenti nelle banche
dati costituite utilizzando anche dati estratti da elenchi telefonici formati pre
cedentemente al 1° agosto 2005, sempre che il titolare del trattamento sia in
grado di dimostrare di aver fornito effettivamente, prima di tale data, l'informa
tiva agli interessati ai sensi dell'art. 13 del Codice;
Pag. 95
RILEVATO che resta impregiudicato quanto previsto dall'art. 130 del Co
dice riguardo alle attività promozionali effettuate attraverso sistemi automatiz
zati di chiamata senza l'intervento di un operatore, per le quali è sempre ne
cessario il consenso espresso dell'interessato;
VISTO l'art. 44, comma 1-bis del decreto legge 30 dicembre 2008, n.
207, convertito, con modificazioni, nella legge 27 febbraio 2009, n. 14 (in
G.U. n. 28L del 28 febbraio 2009), che ha stabilito che i dati personali presen
ti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati
prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali
sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del Codice, dai
soli titolari del trattamento che hanno provveduto a costituire dette banche
dati prima del 1° agosto 2005;
CONSIDERATO che la predetta previsione ha introdotto una deroga
temporanea ai principi generali della vigente disciplina sopra richiamata che,
in quanto tale, cessa alla scadenza del 31 dicembre 2009 e non istituisce, in
vece, un regime speciale applicabile anche successivamente a tale data;
CONSIDERATO che la deroga in questione è subordinata al contempo
raneo verificarsi di due condizioni, ossia che le banche dati siano state costi
tuite prima del 1° agosto 2005 e che i dati in esse presenti vengano utilizzati
per finalità promozionali esclusivamente dagli stessi titolari che le hanno a
suo tempo costituite;
CONSIDERATO che la stessa deroga ha posto quindi un vincolo di finali
tà e un vincolo di carattere temporale nell'utilizzo delle predette banche dati,
rappresentato dallo svolgimento di attività di carattere promozionale sino al
31 dicembre 2009 e che, quindi, i dati personali presenti nelle predette ban
che dati non possono essere utilizzati, in vigenza del regime derogatorio, per
finalità ulteriori e al di fuori dell'ambito temporale di operatività della deroga;
RITENUTO, pertanto, che rendere una informativa e acquisire un con
senso, nel predetto periodo, finalizzati alla costituzione di una banca dati da
utilizzare per attività promozionali anche in data successiva al 31 dicembre
2009, costituisce una attività ulteriore rispetto ai vincoli di finalità e di ordine
temporale indicati nella norma derogatoria e transitoria;
CONSIDERATO, inoltre, che l'informativa, ove resa agli interessati nel
corso del predetto periodo, non renderebbe lecita la costituzione di una banca
dati utilizzabile per attività di carattere promozionale, come avveniva anterior
mente al 1° agosto 2005;
CONSIDERATO, poi, in ragione del predetto vincolo di finalità introdotto
per il periodo transitorio, che il consenso, anche laddove fosse acquisito in vi
genza della deroga, non rileverebbe in alcun modo per lo svolgimento di atti
vità promozionali o per lo svolgimento di altre attività per le quali è necessario
acquisirlo, anche in data successiva al 31 dicembre 2009;
Pag. 96
CONSIDERATO, dunque, che una banca dati potrebbe essere utilizzata

per attività promozionali, successivamente al 31 dicembre 2009, solo se for
mata nel rispetto della disciplina ordinaria, atteso che la disciplina derogatoria
e transitoria cessa alla predetta data e, come già rilevato, costituisce una de
roga di carattere temporaneo alla disciplina generale e non istituisce un regi
me speciale applicabile anche successivamente alla scadenza indicata;
CONSIDERATO inoltre che, in ragione di quanto detto, i dati personali
presenti nelle banche dati considerate dalla norma derogatoria e transitoria,
non possono essere ceduti, a qualunque titolo, a terzi;
CONSIDERATO che, in relazione all'attuale utilizzo delle predette ban
che dati per finalità promozionali, resta comunque impregiudicata la disciplina
generale prevista dal Codice e, in particolare, quella relativa ai diritti degli in
teressati; e che, pertanto, le predette banche dati non possono contenere i
dati degli interessati che, nel corso del tempo, abbiano esercitato il diritto di
opposizione ai sensi dell'art. 7 del Codice;
RITENUTA la necessità di prescrivere ai titolari del trattamento, ai sensi
dell'art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c) del Codice, le mi
sure necessarie per rendere il trattamento conforme alle disposizioni vigenti,
anche in considerazione delle recenti modifiche normative;
TENUTO CONTO che, ai sensi dell'art. 162, comma 2-ter del Codice, in
caso di inosservanza del presente provvedimento prescrittivo, è applicata in
sede amministrativa, in ogni caso, la sanzione del pagamento di una somma
da trentamila euro a centottantamila euro;
TENUTO CONTO, inoltre, che, ai sensi dell'art. 164-bis, comma 2, del
Codice, in caso di più violazioni di un'unica o di più disposizioni relative a vio
lazioni amministrative, commesse anche in tempi diversi in relazione a ban
che di dati di particolare rilevanza o dimensioni, si applica la sanzione ammi
nistrativa del pagamento di una somma da cinquantamila euro a trecentomila
euro;
TENUTO CONTO, infine, che ai sensi dell'art. 168 del Codice, chiunque,
in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedi
mento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsa
mente notizie o circostanze o produce atti o documenti falsi, è punito, salvo
che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre
anni;
RELATORE il prof. Francesco Pizzetti;
Pag. 97

ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Co
dice, prescrive a tutti i titolari del trattamento che siano in possesso di banche
dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° ago
sto 2005 e che intendano utilizzarle per fini promozionali avvalendosi della
deroga introdotta dalla legge 27 febbraio 2009, n. 14, le seguenti misure ne
cessarie per rendere il trattamento conforme alle disposizioni vigenti:
a) documentare in modo adeguato l'avvenuta costituzione della ban
ca dati prima del 1° agosto 2005 e conservare la relativa documentazione
presso la sede legale del titolare;
b) trattare direttamente i dati personali presenti nelle banche dati
oggetto del presente provvedimento, senza possibilità di cederli, a qualunque
titolo, a terzi;
c) specificare, in occasione di ogni contatto con gli interessati, chi ri
vesta la qualifica di titolare del trattamento dei dati, anche nel caso in cui que
sti operi per conto di terzi e fare presente agli interessati stessi che hanno il
diritto di opporsi ai sensi dell'art. 7 del Codice;
d) registrare in via immediata l'eventuale opposizione dell'interessa
to al trattamento dei suoi dati personali effettuato dal titolare (art. 7, comma 4,
del Codice), con effetto anche nei confronti dei terzi per conto dei quali que
sto operi, anche qualora ciò avvenga telefonicamente, e fornire altresì all'inte
ressato l'identificativo dell'operatore o dell'operazione compiuta;
e) utilizzare i dati personali presenti nelle banche dati di cui alla lett.
a) esclusivamente per finalità promozionali e sino al 31 dicembre 2009, non
potendo i titolari rendere un'informativa agli interessati e richiedere agli stessi
un consenso per l'uso dei loro dati per attività di carattere promozionale da ef
fettuare in data successiva al 31 dicembre 2009;
f) comunicare al Garante, entro quindici giorni dalla pubblicazione in
Gazzetta Ufficiale del presente provvedimento, di essere in possesso di ban
che dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare
per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento
dei dati personali venga effettuato anche per conto di terzi.
Si dispone la trasmissione di copia del presente provvedimento al Mi
nistero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubbli
cazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 marzo 2009
IL PRESIDENTE
Pag. 98
Pizzetti
IL RELATORE
Pizzetti
Patroni Griffi
Pag. 99

La Tutela Della Privacy Nelle Attività Di Marketing e Promozionali

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

La Tutela Della Privacy Nelle Attività Di Marketing e Promozionali

Caricato da

Copyright:

Formati disponibili

La tutela della

Art. 8 – Esercizio dei diritti..........................................................................................34

La raccolta ed il trattamento dei dati

Le ipotesi di trattamento senza consenso

Si tratta di una serie di deroghe giustificabili sia in relazione alla prove­

ceità di queste forme di comunicazione, l'esistenza di un consenso specifico,

I diritti degli interessati e le modalità di esercizio

possono essere classificati nel seguente modo:

Al contrario, nell'ipotesi specifica di trattamento per scopi commerciali il

Le comunicazioni elettroniche indesiderate

La necessità del consenso specifico

Le comunicazioni mediante posta elettronica

selle da selezionare piuttosto che già preselezionate - poiché, soltanto in que­

Le comunicazioni mediante SMS ed MMS

Le comunicazioni mediante fax

registri non implica automaticamente, né deve far presumere, il consenso alla

Il marketing telefonico o teleselling

La deroga nel marketing telefonico prevista dalla legge 14/2009

possesso di banche dati costituite anteriormente al 1° agosto 2005

La comunicazione di servizi e prodotti analoghi

Il marketing di prossimità ed il bluetooth advertising

31 Alfredo Martinelli, Definizione Marketing di prossimità, su http://www.alfredomartinelli.info/viewart.php?

L'espressione "mezzi diversi da quelli indicati" sembrerebbe legittimare

L'acquisto di banche dati e le comunicazioni per conto

Sulla base della normativa vigente e dell'orientamento espresso dall'auto­

34 Cfr. Provvedimento generale del Garante del 29 maggio 2003, cit.

L'analisi dei dati raccolti online

Per quanto riguarda invece la conservazione, i dati personali relativi al

I servizi basati sulla localizzazione

Dalla premessa si evince, quindi, che i dati relativi all'ubicazione43 hanno

Il consenso deve essere manifestato specificamente47 e devono essere

valore aggiunto debba:

Art. 3 – Principio di necessità nel trattamento dei dati

i) "interessato", la persona fisica, la persona giuridica, l'ente o l'as­

e) "servizio di comunicazione elettronica", i servizi consistenti esclu­

utilizzati per l'autenticazione informatica;

c) "scopi scientifici", le finalità di studio e di indagine sistematica fina­

Art. 7 – Diritto di accesso ai dati personali ed altri diritti

Art. 8 – Esercizio dei diritti

l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinio­

Art. 9 – Modalità di esercizio

Art. 10 – Riscontro all'interessato

Art. 11 – Modalità del trattamento e requisiti dei dati

ispettive o di controllo svolte per finalità di difesa o sicurezza dello

Art. 24 – Casi nei quali può essere effettuato il trattamento senza

a) è necessario per adempiere ad un obbligo previsto dalla legge,

scopi storici presso archivi privati dichiarati di notevole interesse storico ai

Art. 37 – Notificazione del trattamento

eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto

Art. 126 – Dati relativi all'ubicazione

Art. 129 – Elenchi di abbonati

Art. 130 – Comunicazioni indesiderate

quale l'interessato possa esercitare i diritti di cui all'articolo 7.

Art. 161 – Omessa o inidonea informativa all'interessato

Decreto legislativo 6 settembre 2005, n. 206 (Codice del consumo)

Art. 58 – Limiti all'impiego di talune tecniche di comunicazione a distanza

Autorità garante della privacy

Provvedimento generale del 29 maggio 2003, Spamming: regole per un

In altri casi i messaggi sono inviati da imprese -anche in questo caso

Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si veri­

4. MESSAGGI PUBBLICITARI A PROPRI CLIENTI

In alcuni casi portati all’attenzione del Garante, l’invio di messaggi pubblicitari

Indipendentemente dal rapporto esistente tra i mittenti ed i destinatari dei

Si tratta di una serie di deroghe giustificabili sia in relazione alla prove

selle da selezionare piuttosto che già preselezionate - poiché, soltanto in que

Sulla base della normativa vigente e dell'orientamento espresso dall'auto

i) "interessato", la persona fisica, la persona giuridica, l'ente o l'as

e) "servizio di comunicazione elettronica", i servizi consistenti esclu

c) "scopi scientifici", le finalità di studio e di indagine sistematica fina

l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinio

Questo ingiustificato riversamento sugli utenti dei costi pubblicitari si veri

L’eventuale elenco predisposto da operatori, contenente i nominativi dei sog

Ad alcuni messaggi, in quanto provenienti dall’estero, non è applicabile la leg

In presenza di ulteriori istanze del segnalante e della richiesta di informa

ne in stato di gravidanza e a puerpere, raccolti tramite coupon distribuiti all'in

tali, telefoni cellulari, piastre arricciacapelli a vapore, beauty case ), domesti

In alcuni casi non è prevista un'indicazione chiara delle categorie di sog

da un contratto del quale è parte l'interessato (ossia l'esecuzione del contrat

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presi