Decreto legislativo - 30/06/2003 - n. 196 art. 130 - (Comunicazioni indesiderate) 1

Comunicazioni non sollecitate ed indesiderate

L'articolo in commento disciplina il fenomeno dell'invio di comunicazioni promo-pubblicitarie o commerciali non sollecitate ed indesiderate (c.d. «spamming») avvalendosi di dispositivi automatici di chiamata senza l'intervento di un operatore o a questi equiparati (es. messaggi vocali pre-registrati, e-mail, fax, sms, mms), in mancanza di un consenso libero, informato e specifico del contraente o utente destinatario (c.d. «opt-in» o accettazione ex ante); ciò anche nel caso in cui i dati personali siano tratti da pubblici registri ed elenchi pubblici, conoscibili da chiunque.

Per l'invio di comunicazioni promozionali o pubblicitarie verso indirizzi e-mail pubblicati in rete (es. chat, blog) o formati ed utilizzati automaticamente mediante un software senza verificare che siano attivi, l'Autorità Garante per la protezione dei dati personali, con proprio provvedimento del 29 maggio 2003, ha precisato che sono necessari un consenso informato del destinatario, l'indicazione del mittente e della natura del messaggio (es. pubblicitario), nonché la gestione delle richieste dell'interessato nell'esercizio dei propri diritti (cfr. GPDP, 29 maggio 2003 [doc. web n. 29840]). A fronte di ciò, nel corso degli anni, per contrastare il fenomeno delle comunicazioni pubblicitarie e promozionali indesiderate e far fronte all'ingente numero di segnalazioni pervenute, l'Autorità Garante per la protezione dei dati personali ha effettuato innumerevoli accertamenti ed ispezioni, nei confronti dei principali operatori di telefonia fissa e/o mobile («Operatori»), call center e società specializzate nella vendita di banche dati, oltre ad aver sanzionato comportamenti in palese violazione della norma.

Le comunicazioni non sollecitate ed indesiderate possono essere di diverso tipo quali: «commerciale» come nel caso dell'articolo in commento; spam di tipo «HOAX» o «Catena di Sant'Antonio», che fa leva sull'emotività del destinatario, per indurlo ad inoltrare la comunicazione (es. via e-mail) ai propri conoscenti, così da collezionare gli indirizzi e-mail ai quali inviare lo spam; «social spam», che consiste nell'invio di messaggi e link attraverso i social network, anche al fine di acquisire l'elenco dei contatti/rubrica del destinatario per diffondersi; «marketing virale», in cui il target iniziale è un numero ristretto di destinatari, dotati di capacità comunicativa, utilizzati per veicolare il messaggio verso un numero ben più elevato di soggetti finali, con una modalità simile al «passaparola» (cfr. GPDP, 4 luglio 2013 [doc. web n. 2542348]). Elemento a fattor comune delle predette comunicazioni è, difatti, la potenziale lesività dei diritti fondamentali dei destinatari e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza (cfr. GPDP, 11 dicembre 2019 [doc. web n. 9244365]).

In un provvedimento del 2020, il Garante ha ribadito che il consenso per finalità di marketing è valido fino a revoca, indipendentemente dal tempo trascorso. Nel caso di specie il reclamante lamentava la ricezione di un sms promozionale da parte di un gruppo di vendita al dettaglio a distanza di più di 10 anni dalla chiusura del rapporto contrattuale, e sosteneva dunque l'assenza di un'idonea base giuridica per il trattamento dei suoi dati personali. Il Garante ha invece chiarito che «il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell'autodeterminazione dell'individuo, deve innanzitutto considerarsi scisso e non condizionato dall'esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall'interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell'informativa, nel rispetto dell'art. 5, par. 1, lett. e) del Regolamento [Reg.(UE) 2016/679, n.d.r.]» (cfr. GPDP, 15 ottobre 2020 [doc. web 9486485]).

Abbonato, contraente ed utente

Nell'attuale formulazione dell'art. 121, comma 1-bis, lett. f) cod. privacy, come modificato dal d.lgs. n. 101/2018, «Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE», con il termine contraente si intende «qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate».

Si tratta di un concetto che ricomprende tanto le persone fisiche quanto le giuridiche, nel rispetto del c.d. «obbligo di interpretazione conforme», che impone la lettura del diritto interno nazionale nel senso più aderente possibile a quello comunitario – cfr. GPDP, 20 settembre 2012 [doc. web n. 2094932].

Come noto, dal 2012 il termine contraente ha sostituto quello di abbonato, conformemente a quanto disposto dall'art. 1, comma 12, del d.lgs. n. 69/2012, recante modifiche al codice privacy, in attuazione delle dir. 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e dir. 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del reg. (CE) 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori.

Per utente deve intendersi, invece, «qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata» (cfr. art. 121, comma 1-bis, lett. g) cod. privacy); tale definizione esclude, dunque, le persone giuridiche, enti o associazioni suindicate.

Dalla fase propedeutica di inserimento in elenco alla fase di comunicazione vera e propria

L'articolo in esame, così come l'art. 129 cod. privacy, si pone l'obiettivo di salvaguardare la tutela dei diritti e delle libertà fondamentali delle persone fisiche, ma intervenendo su di un fronte diverso. Mentre l'art. 129 cod. privacy disciplina la fase propedeutica di raccolta, inserimento ed utilizzo dei dati personali negli elenchi abbonati a disposizione del pubblico (cartacei o elettronici) per comunicazioni interpersonali e finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (c.d. marketing diretto), l'art. 130 cod. privacy regolamenta la fase di comunicazione vera e propria, di contatto con l'interessato. Ciò che qui rileva, in sostanza, è l'effetto che una comunicazione promo-pubblicitaria o commerciale con dispostivi automatici, ossia senza l'ausilio di un addetto, provoca sul destinatario ancor più se non richiesta, sia in termini eventuali danni immateriali (es. apprensione, ansia, frustrazione per non poterne interrompere la ricezione) che materiali (es. costi di connessione per effettuare il download di messaggi e-mail non richiesti o per un antivirus, perdite finanziarie a seguito di phishing).

Con d.l. n. 135/2009, convertito con modificazioni in l. n. 166/2009, si è provveduto a modificare l'art. 130 cod. privacy per adeguarlo alla normativa comunitaria in materia di tutela della vita privata nel settore delle comunicazioni elettroniche. A tal fine sono stati inseriti i commi 3-bis e 3-ter con relativa deroga a quanto disposto dall'art. 129 cod. privacy (per maggiori approfondimenti si rinvia a quanto ivi riportato a commento). Più in dettaglio, è stata prevista l'istituzione, tramite decreto del Presidente della Repubblica (da adottarsi ai sensi dell'art. 17, comma 2, della l. n. 400/1988, previa deliberazione del Consiglio dei Ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia) di un «registro pubblico delle opposizioni» su cui iscrivere la numerazione dell'utenza, di cui si è intestatari, per opporsi al trattamento dei dati, inseriti negli elenchi abbonati a disposizione del pubblico, con l'impiego del telefono (non posta cartacea) e per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Oltre a ciò, in fase di contatto telefonico è statuito l'obbligo di presentare l'identificazione della linea per consentire al chiamato di (ri)conoscere il chiamante ed esercitare i propri diritti (es. accesso, rettifica, limitazione di trattamento), nonché di fornire oralmente al chiamato idonea informativa su termini e modalità di iscrizione al registro, per consentirgli di opporsi a futuri contatti.

È seguita l'emanazione del «Regolamento recante l'istituzione e la gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali»; con esso è stato previsto il compimento ed il funzionamento del registro entro il 31 gennaio 2011, come di fatto avvenuto (d.P.R. n. 178/2010).

Con l'avvento del registro delle opposizioni, nuovi obblighi si sono presentati agli Operatori, senza distinzione di settore di attività o di categoria merceologica, tra i quali l'accreditamento presso il gestore del registro delle opposizioni (ossia la Fondazione Ugo Bordoni, in base ad un contratto di servizio stipulato con il Ministero dello Sviluppo Economico la cui denominazione è cambiata in Ministero delle Imprese e del Made in Italy) e l'invio a quest'ultimo della lista dei numeri estratti dall'elenco abbonati da contattare telefonicamente, per rimuovere quelli di coloro che nel frattempo hanno presentato opposizione (la lista, così aggiornata, ha una validità di quindici giorni), previa corresponsione di apposita tariffa regolata con decreto ministeriale.

In aggiunta a quanto sopra descritto, vi è l'obbligo di mostrare/non oscurare il numero chiamante in fase di contatto telefonico, indicare puntualmente all'utente chiamato che i suoi dati personali sono stati estratti dall'elenco abbonati e che ha il diritto di opporsi gratuitamente, iscrivendosi all'apposito registro (es. via web, telefono, e-mail). L'iscrizione è a tempo indeterminato, revocabile e decade automaticamente in caso di cambio intestatario o di cessazione dell'utenza (art. 7, comma 6, d.P.R. n. 178/2010).

Con successiva l. n. 5/2018, recante nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni, è stata conferita la possibilità di iscrivere nel registro tutte le utenze telefoniche, fisse e mobili, indipendentemente dalla presenza del numero telefonico in elenchi pubblici; oltre a ciò, è stato previsto l'obbligo per gli Operatori di verificare che gli interessati, intestatari dell'utenza destinataria della comunicazione telefonica a fini promo-pubblicitari o commerciali – quand'anche abbiano concesso un esplicito consenso al trattamento dei dati per tali finalità – non si siano successivamente iscritti al registro delle opposizioni, revocando automaticamente, di fatto, il predetto consenso (sono fatti salvi i consensi «prestati nell'ambito di specifici rapporti contrattuali in essere», art. 1, comma 5, l. n. 5/2018). In caso di violazioni delle disposizioni di legge, è stata, altresì, prevista una responsabilità in solido dell'Operatore, titolare del trattamento dei dati personali, con il soggetto terzo affidatario dell'attività di call center per l'effettuazione delle chiamate telefoniche ai fini sopra descritti (art. 1, comma 11, l. n. 5/2018).

Con riguardo all'impiego della posta cartacea è stato emanato apposito regolamento attuativo tramite d.P.R. n. 149/2018 recante modifiche al d.P.R. n. 178/2010 in materia di registro pubblico delle opposizioni, (G.U. Serie Generale n. 16 del 19 gennaio 2019). Con tale decreto anche le comunicazioni dirette agli indirizzi postali pubblicati negli elenchi di contraenti inviate a mezzo posta cartacea sono state assoggettate alle medesime misure ed accorgimenti prescritti per le numerazioni telefoniche, fisse e mobili, laddove effettuate per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Sono, pertanto, ammesse vendite o promozioni tramite posta cartacea in mancanza di opposizione, attraverso l'iscrizione nell'apposito registro («opt out») a decorrere dal 6 maggio 2019 (trascorsi novanta giorni dal 3 febbraio 2019, data di entrata in vigore del decreto presidenziale).

Tuttavia, affinché la predetta legge potesse considerarsi «pienamente» operativa è stato necessario attendere l'adozione dello schema di regolamento con decreto del Presidente della Repubblica entro il 1° dicembre 2020, volto ad abrogare e sostituire il d.P.R. n. 178/2010 e s.m.i. (art. 1, comma 15, della l. n. 5/2018). Con tale decreto la disciplina del Registro, infatti, è stata estesa a tutte le utenze telefoniche, fisse e mobili, ivi incluse quelle non riportate negli elenchi pubblici cartacei o elettronici, attribuendo oltremodo organicità agli interventi normativi succedutisi nel tempo (per maggiori approfondimenti si rinvia a quanto riportato a commento dell'art. 129 cod. privacy).

Dal canto suo, il Garante per la protezione dei dati personali aveva reso un parere su tale schema di decreto nel 2019 (GPDP, 30 aprile 2019 [doc. web n. 9109315]). In seguito, lo schema di regolamento è stato aggiornato in considerazione dei diversi pareri nel frattempo pervenuti (Consiglio di Stato, Autorità per le garanzie nelle comunicazioni, Ministro per la pubblica amministrazione, ufficio legislativo del Ministro per l'innovazione tecnologica e la digitalizzazione). Il Garante in data 10 dicembre 2020 ha espresso quindi parere favorevole, ma ha chiesto di precisare che la nuova disciplina si applicasse solo alle chiamate con operatore, mentre per quelle automatizzate, a mente dell'art. 130 cod. privacy, continuasse ad essere necessario il preventivo consenso. Di conseguenza, è stato richiesto di indicare come ambito di applicazione i trattamenti effettuati «mediante operatore umano con l'impiego del telefono» e non genericamente i trattamenti che avvengono con «impiego del telefono». In particolare, il Garante ha evidenziato quanto segue: «l'articolo 130 del Codice, nel disciplinare tutte le comunicazioni indesiderate, opera una chiara distinzione tra comunicazioni effettuate con modalità automatizzate (commi 1 e 2) e comunicazioni con l'intervento dell'operatore (comma 3). Mentre nel primo caso il trattamento è consentito esclusivamente con il consenso del contraente o utente (modalità c.d. opt-in), per tutte le comunicazioni effettuate con mezzi diversi si applicano gli artt. 6 e 7 del Regolamento (in materia di basi giuridiche dei trattamenti), nonché quanto previsto dal citato comma 3-bis che, con riguardo all'impiego del telefono e della posta cartacea, consente il trattamento nei confronti di chi non abbia esercitato il diritto di opposizione mediante iscrizione in apposito registro (modalità c.d. opt-out). In tale contesto, l'estensione del registro alle comunicazioni automatizzate è logicamente esclusa, stante il chiaro dettato del primo comma del ripetuto art. 130 del Codice, che individua la base giuridica unicamente nel consenso (da intendersi come manifestazione di volontà ‘preventiva'). Una diversa interpretazione, del resto, priverebbe di significato tale disposizione, generando una inammissibile incongruenza normativa dove invece il legislatore ha volutamente previsto due livelli di tutela diversi. Inoltre, la legge n. 5/2018, definisce chiaramente l'ambito di applicazione delle regole sul funzionamento del registro, individuato nell'opposizione al trattamento delle numerazioni telefoniche “effettuato mediante operatore con l'impiego del telefono”» (cfr. Parere sullo Schema di regolamento volto a sostituire il d.P.R. n. 178 del 2010 recante disposizioni per il funzionamento del c.d. «registro delle opposizioni», da adottare in attuazione dell'articolo 1, comma 15, della legge 11 gennaio 2018, n. 5 – 10 dicembre 2020 [doc. web n. 9517462]). L'Autorità per le garanzie nelle comunicazioni, dal canto suo, optava per un'interpretazione estensiva della l. n. 5/2018, inclusiva dei trattamenti svolti anche per il tramite di sistemi automatizzati, non solo con operatore umano, in quanto ne sarebbe derivata una minore tutela per i contraenti.

È, quindi, intervenuto il Consiglio dei Ministri con l'approvazione del decreto-legge 8 ottobre 2021, n. 139 recante «Disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali» (c.d. «Decreto Capienze») le cui disposizioni sono entrate in vigore in data 11 ottobre 2021 (G.U. n. 241 del 8 ottobre 2021).

L'art. 9, comma 8, del predetto decreto-legge, convertito con modificazioni della l. n. 205/2021 (G.U. n. 291 del 7 dicembre 2021) ha rettificato gli artt. 1 e 2 della l. n. 5/2018, prevedendo che i diritti di un utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operino indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato (es. mediante sistemi automatizzati di chiamata senza intervento umano). È stato, altresì, modificato il comma 12 dell'art. 1 della l. n. 5/2018 prevedendo che gli operatori che utilizzano i sistemi di pubblicità telefonica e di vendita telefonica o che compiono ricerche di mercato o comunicazioni commerciali telefoniche con o senza l'intervento di un operatore umano hanno l'obbligo di consultare mensilmente, e comunque precedentemente all'inizio di ogni campagna promozionale, il registro pubblico delle opposizioni e di provvedere all'aggiornamento delle proprie liste.

All'art. 2 della l. n. 5/2018 è stato, infine, specificato l'obbligo in capo agli operatori, che svolgono attività di call center di garantire la presentazione dell'identificazione della linea chiamante ed il rispetto del diritto all'opposizione, sia per le chiamate con operatore che senza (cfr. art. 7, comma 4, lettera b), cod. privacy).

Tuttavia, per considerare la predetta legge «pienamente» operativa si è dovuto attendere il regolamento attuativo, adottato con decreto del Presidente della Repubblica 27 gennaio 2022, n. 26 rubricato «Regolamento recante disposizioni in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all'utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali, ai sensi dell'articolo 1, comma 15, della legge 11 gennaio 2018, n. 5». L'effettiva esecutività del nuovo Registro si è avuta con l'attivazione del servizio il 27 luglio 2022 (120 giorni dalla pubblicazione del decreto in Gazzetta Ufficiale). A decorrere dalla data di operatività del registro pubblico delle opposizioni è stato abrogato il d.P.R. n. 178/2010 e s.m.i., così come statuito dall'art. 14 del d.P.R. n. 26/2022 (per maggiori approfondimenti si rinvia a quanto riportato a commento dell'art. 129 cod. privacy).

Soft spam

Fermo restando che, ai sensi del predetto comma 1 dell'art. 130 cod. privacy, il trattamento dei dati con sistemi automatizzati di chiamata senza l'intervento di un addetto per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale risulta lecito solo quando il contraente o utente ha espresso il proprio consenso, nel successivo comma 4 dell'art. 130 cod. privacy è disciplinata un'eccezione (Boschetti, 31).

Nello specifico, è prevista la possibilità per un operatore economico, titolare del trattamento dei dati personali, di utilizzare l'indirizzo e-mail, acquisito da un interessato nel corso di una transazione commerciale (es. vendita di un prodotto o di un servizio), per promuovere prodotti o servizi «analoghi» (es. aventi caratteristiche o funzionalità similari, sovrapponibili, integrative, complementari o comunque riconducibili alla medesima tipologia), senza dover richiedere il consenso e sempreché l'interessato, opportunamente informato, non si opponga inizialmente o in occasione di successive comunicazioni (c.d. «soft spam»). In tale fattispecie, la base giuridica del trattamento è il legittimo interesse del titolare nello svolgimento dei compiti legati alle proprie attività, in luogo del consenso dell'interessato, e per l'applicazione viene richiesta una sua prevalenza in concreto (in virtù di un test comparativo o bilanciamento rimesso al titolare, ma valutabile dall'Autorità) sui diritti, sulle libertà, sugli interessi e ragionevoli aspettative degli interessati quali destinatari delle comunicazioni di marketing non richieste – cfr. art. 6, paragrafo 1, lett. f) Reg. (UE) 2016/679; GPDP 15 gennaio 2020 [9256486].

Come si può osservare, tale deroga fa riferimento esclusivamente all'indirizzo di posta elettronica; nello specifico all'e-mail di un interessato, quale persona fisica identificata o identificabile, e non di un contraente da intendersi con un'accezione più ampia, comprensiva di persona giuridica, ente o associazione (diversamente da quanto previsto al comma 1 dell'articolo in commento).

La disposizione di cui al predetto comma 4 dell'art. 130 cod. privacy riveste carattere speciale ed in quanto tale non è suscettibile di interpretazione estensiva. Ciò detto «ogni comunicazione promozionale effettuata al di fuori di tali condizioni e utilizzando un canale diverso dall'e-mail, ricade nella più generale disciplina dell'art. 130 del Codice, rendendo necessaria l'acquisizione di un idoneo consenso anche quando si tratti di comunicazioni volte a promuovere prodotti o servizi analoghi a quelli già forniti all'interessato» (GPDP, 11 gennaio 2023 [doc. web n. 9861941]. Eventuali comunicazioni promozionali inviate avvalendosi di canali diversi dalla posta elettronica (es. sms), sono eseguite, dunque, in violazione di legge.

Sulle chiamate indesiderate è intervenuta anche la proposta di regolamento del Parlamento e del Consiglio relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (regolamento sulla vita privata e le comunicazioni elettroniche) che sostiene l'abrogazione della dir. 2002/58/CE, c.d. «ePrivacy Regulation» o «ePR» (rif. COM(2017)10final – 2017/0003(COD)). In particolare, il paragrafo 1 dell'art. 16 rubricato «Unsolicited communications» statuisce un espresso divieto di avvalersi dei servizi di comunicazione elettronica al fine di inviare comunicazioni di marketing diretto verso utenti finali, persone fisiche, senza il loro espresso consenso. Nel successivo paragrafo 2, tuttavia, è ammessa la possibilità di utilizzare le coordinate elettroniche degli utenti finali, persone fisiche, ottenuti in occasione dell'acquisto di un prodotto o di un servizio, allo scopo di commercializzare direttamente («direct marketing») propri prodotti o servizi analoghi solamente se a tali utenti finali è stata offerta, chiaramente e distintamente, la possibilità di opporsi, a titolo gratuito e in modo agevole, a tale uso. Il diritto di opposizione deve poter essere riconosciuto al momento della raccolta dei dati di contatto elettronici (indirizzo e-mail) ed ogniqualvolta si invia un messaggio ai fini di marketing diretto.

Contratti a distanza

In materia di comunicazioni commerciali «non sollecitate» o «indesiderate» è opportuno richiamare anche gli specifici riferimenti normativi presenti nel d.lgs. n. 185/1999 recante attuazione della dir. 97/7/CE relativa alla protezione dei consumatori in materia di contratti a distanza.

Il d.lgs. n. 185/1999 ha sostituito la precedente disciplina dettata dal d.lgs. n. 50/1992 attuativo della dir. 85/577/CEE, che regolava i «contratti negoziati fuori dai locali commerciali» (vendita «porta a porta»), fra i quali rientravano anche quelli conclusi a distanza (art. 9, comma 1, del d.lgs. n. 185/1999); a sua volta il d.lgs. n. 185/1999 è stato abrogato dal Codice del Consumo, adottato con d.lgs. n. 206/2005 e s.m.i., che ne ha riprodotto sostanzialmente la disciplina (Parisi, 93).

Per contratto a distanza deve intendersi «qualsiasi contratto concluso tra il professionista e il consumatore nel quadro di un regime organizzato di vendita o di prestazione di servizi a distanza senza la presenza fisica e simultanea [ nello stesso luogo, n.d.r.] del professionista e del consumatore, mediante l'uso esclusivo di uno o più mezzi di comunicazione a distanza fino alla conclusione del contratto, compresa la conclusione del contratto stesso», intendendo per consumatore la persona fisica che agisce al di fuori dell'attività imprenditoriale o professionale eventualmente svolta [art. 45, lett. a) e g) c. cons.].

L'espressione «distanza» riguarda lo spazio fisico esistente tra il fornitore ed il consumatore (Gobbato, 81).

L'intento del legislatore comunitario è stato quello di fornire alcuni degli strumenti necessari per sopperire alla diversa posizione di forza contrattuale in cui versano un operatore commerciale ed un privato (contraente debole), così da garantire parità nelle trattative, rafforzare la fiducia dei consumatori ed incoraggiare gli investimenti.

L'abrogato d.lgs. n. 185/1999 all'art. 10, rubricato «Limiti all'impiego di talune tecniche di comunicazione a distanza», aveva previsto al comma 1 che l'utilizzo da parte di un fornitore «del telefono, della posta elettronica di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiedeva il consenso preventivo del consumatore», mentre al comma 2 aveva ammesso l'impiego di tecniche diverse da quelle appena citate «se il consumatore non si dichiara esplicitamente contrario». Questa norma aveva il chiaro scopo di contrastare il diffuso fenomeno delle comunicazioni promo-pubblicitarie o commerciali non sollecitate ed indesiderate o «spamming», come definite dall'art. 9 d.lgs. n. 70/2003 – emanato in attuazione della dir. 2000/31/CE e volto a promuovere la libera circolazione dei servizi della società dell'informazione (es. attività economiche svolte online) per il buon funzionamento del mercato (art. 1, comma 1, d.lgs. n. 70/2003).

Ciò trova conferma anche nell'attuale formulazione dell'art. 67-sexiesdecies c. cons. in tema di «Comunicazioni non richieste», secondo cui un fornitore può avvalersi di sistemi di chiamata senza l'intervento di un operatore mediante dispositivo automatico, del telefax o di altre tecniche di comunicazione a distanza per comunicazioni individuali solo previo consenso del consumatore (c.d. «opt-in»), nel rispetto della c.d. capacità di autodeterminazione (Tripodi, Belli, 407 e ss.).

Ai sensi dell'art. 18, comma 1, lett. d) c. cons. qualsiasi azione di «comunicazione commerciale ivi compresa la pubblicità e la commercializzazione del prodotto, posta in essere da un professionista, in relazione alla promozione, vendita o fornitura di un prodotto ai consumatori», ivi inclusa l'attività di telemarketing rientra nella definizione di «pratica commerciale». Inoltre, ai sensi dell'art. 26, comma 1, lett. c) c. cons., si considera in ogni caso «aggressiva» una pratica commerciale effettuata con «ripetute e non richieste sollecitazioni commerciali», avvalendosi dei servizi di comunicazione a distanza (es. telefono, posta elettronica), tranne in caso di esecuzione di un obbligazione contrattuale, fatto salvo l'art. 130 cod. privacy cioè a meno che il professionista (persona fisica o giuridica che agisce nell'esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale, ovvero un suo intermediario ai sensi dell'art. 4 d.lgs. n. 206/2005) non abbia ottenuto il consenso dall'interessato o che quest'ultimo non abbia esercitato il diritto di opposizione. Da quanto detto ne discende che un trattamento di dati personali in violazione dell'art. 130 cod. privacy può integrare, dunque, anche una pratica commerciale aggressiva, sanzionabile dall'Autorità Antitrust (Cuffaro, 208 e ss.).

Comunicazioni effettuate con mezzi tecnici diversi

L'invio di comunicazioni promo-pubblicitarie o commerciali, effettuato avvalendosi di mezzi tecnici diversi dai dispositivi automatici di chiamata senza l'intervento di un operatore o a questi equiparati (es. e-mail, fax, sms, mms), è consentito nel rispetto delle condizioni di liceità del trattamento e di consenso di cui agli artt. 6 e 7 del Reg. (UE) 2016/679 (regolamento generale sulla protezione dei dati, di seguito anche «Regolamento»), nonché ai sensi di quanto previsto al comma 3-bis dell'art. 130 cod. privacy.

Ai fini del coordinamento della disciplina delle comunicazioni indesiderate nei contratti a distanza con il codice privacy, l'art. 67-sexiesdecies c. cons. fa salva la disciplina prevista dall'art. 130, comma 3-bis, cod. privacy, ammettendo il trattamento dei dati contenuti negli elenchi di abbonati a disposizione del pubblico per le comunicazioni commerciali, attraverso tecniche di comunicazione a distanza, in assenza del consenso, sempreché il destinatario (consumatore) non manifesti la propria opposizione tramite iscrizione nell'apposito registro (c.d. «opt-out») – cfr. tra gli altri GPDP, 19 febbraio 2011 [doc. web n. 1784528] e GPDP, 14 febbraio 2019 [doc web n. 9102927].

Presentazione del chiamante ed obblighi di informazione

È vietato effettuare comunicazioni promo-pubblicitarie o commerciali con l'impiego di dispositivi automatici di chiamata senza l'intervento di un operatore o a questi equiparati se (art. 130, comma 5, cod. privacy):

• si «camuffa» o si cela l'identità del mittente;

• si violano gli obblighi di cui all'art. 8 del d.lgs. n. 70/2003 e dunque non si rilascia una specifica informativa sul soggetto per conto del quale si esegue la comunicazione e sulla natura commerciale di quest'ultima, sulla tipologia di offerta/gioco promozionale o concorso e sulle relative condizioni di accesso;

– non si fornisce un idoneo recapito, presso il quale l'interessato possa esercitare i propri diritti (es. accesso, rettifica, limitazione di trattamento);

– si esortano i destinatari a visitare siti web che violano il predetto art. 8 del d.lgs. n. 70/2003.

Non è ammesso, altresì, il ricorso ad espedienti volti a mascherare messaggi promo-pubblicitari per «messaggi di servizio» o di caring (es. funzionalità del servizio di assistenza o della segreteria telefonica, stato della ricezione dei messaggi, blocco della scheda prepagata) – cfr. GPDP, 12 ottobre 2005 [doc. web n. 1179604]; 10 maggio 2006 [doc. web n. 1298709], 22 febbraio 2007 [doc. web n. 1388590], 15 luglio 2010 [doc. web n. 1741998], 29 marzo 2012 [doc. web n. 1891984], 11 ottobre 2012 [doc. web n. 2089777].

Inoltre, se il fornitore (professionista) telefona al consumatore al fine di concludere un contratto a distanza, all'inizio della conversazione è tenuto a rivelare la propria identità e, laddove applicabile, l'identità della persona per conto della quale effettua la chiamata, nonché lo scopo commerciale della telefonata e l'informativa di cui all'art. 10 del d.P.R. n. 178/2010 e s.m.i.; il consumatore è vincolato solo dopo aver firmato l'offerta o dopo averla accettata per iscritto (art. 51, commi 5 e 6, c. cons.).

Inadempimento e sanzioni

L'art. 11 del d.lgs. n. 101/2018, di adeguamento del quadro normativo nazionale sulle comunicazioni elettroniche alle disposizioni del Reg. (UE) 2016/679, si è limitato ad apportare modifiche all'art. 130 così come al precedente art. 129 cod. privacy sugli elenchi di contraenti, con precipua finalità di coordinamento normativo sia rispetto all'intervento del decreto legislativo medesimo (es. abrogazione dell'art. 7, comma 4, lett. b), cod. privacy) sia rispetto al Regolamento europeo.

In caso di violazione delle disposizioni di cui all'art. 130, commi da 1 a 5, cod. privacy è comminabile la sanzione amministrativa pecuniaria di cui all'art. 83, paragrafo 5, GDPR: fino a 20 Mln/€ o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente se superiore (art. 166, comma 2, cod. privacy, modificato dal d.lgs. n. 101/2018).

In merito alle sanzioni, occorre infatti evidenziare che l'art. 15, comma 1, lett. a) del d.lgs. n. 101/2018 rubricato «Modifiche alla parte III, titolo III, del decreto legislativo 30 giugno 2003, n. 196» è intervenuto sull'art. 166 cod. privacy, sostituendolo integralmente e prevedendo espressamente, al comma 2, che sono «soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli [omissis] 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater [omissis]». Compete al Garante, ratione materiae, irrogare la sanzione amministrativa (art. 166, comma 3, cod. privacy).

Nell'adozione di un provvedimento sanzionatorio può trovare applicazione, altresì, la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante (art. 166, comma 7, cod. privacy). In aggiunta a ciò, il Decreto Capienze ha introdotto, a titolo di sanzione accessoria, la possibilità di ingiungere la realizzazione di campagne di comunicazione istituzionale per promuovere la consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell'art. 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di sensibilizzazione in materia, realizzate dal trasgressore anteriormente alla commissione della violazione, come una sorta di «attenuante».

Inoltre, la violazione della norma in esame è sanzionata penalmente, se vi è il dolo specifico di trarre per sé o per altri profitto o arrecare danno all'interessato e sempreché dal fatto derivi nocumento (art. 167, comma 1, cod. privacy).

Infine, resta fermo quanto previsto dall'art. 1, comma 14, della l. n. 5/2018, che prescrive un divieto di impiego «di compositori telefonici per la ricerca automatica di numeri anche non inseriti negli elenchi di abbonati» e, in caso di violazione, «la sanzione amministrativa di cui all'art. 162, comma 2-bis, cod. privacy di cui al d.lgs. n. 196/2003». Il riferimento all'art. 162, comma 2-bis, cod. privacy è da intendersi sostituito con l'art. 166, comma 2, secondo quanto previsto dall'art. 22, comma 14, lett. a) del d.lgs. n. 101/2018, seppur in assenza di un esplicito richiamo al qui presente comma 14 diversamente dal comma 9.