Capisaldo relativo al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche è costituito dalle "Linee guida in materia di attività promozionale e contrasto allo spam", deliberato dal Garante per la protezione dei dati personali in data 4 luglio 2013.
Anzitutto, le Linee guida definiscono il fenomeno dello spam che, ai fini del Codice, è costituito dalle comunicazioni per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale (v. artt. 7, comma 4, lett. b), 130, comma 1 e 140 del Codice) effettuate, in violazione delle norme del Codice, con sistemi automatizzati di chiamata senza operatore (c.d. telefonate preregistrate) oppure con modalità assimilate alle prime (quali: e-mail, fax, sms, mms).
Ai fini dell'applicazione del Codice, non è necessario un invio massiccio e/o simultaneo a una pluralità di indirizzi o numeri di telefono, poiché siffatta modalità rileva solo eventualmente per qualificare il trattamento come sistematico per la quantificazione delle sanzioni. Va chiarito anche l'ambito soggettivo delle disposizioni del Codice in materia di spam e quello dei diritti azionabili dai destinatari delle comunicazioni promozionali automatizzate. Mentre le persone fisiche possono esercitare i diritti di cui agli artt. 7 e ss. del Codice al fine di tutelare la propria sfera personale da ingerenze illecite, le persone giuridiche sono, allo stato, sprovviste della possibilità di avvalersi dei medesimi mezzi di tutela. Successivamente, è entrato in vigore anche il d. lgs. 28 maggio 2012, n. 69 a seguito del recepimento della direttiva 2009/136/CE, il quale ha parzialmente modificato alcune disposizioni del capo 1 ("Servizi di comunicazione elettronica") del titolo X ("Comunicazioni elettroniche") del Codice, di diretta derivazione comunitaria poiché emanate in attuazione della direttiva 2002/58/CE, nel cui campo applicativo rientrano le comunicazioni promozionali automatizzate, introducendo la qualifica di "contraente"- la quale riguarda certamente anche le persone giuridiche- in luogo di quella di "abbonato". A seguito delle suddette modifiche normative e delle conseguenti incertezze interpretative, l'Autorità è intervenuta con il provvedimento generale del 20 settembre 2012, sull'applicabilità del Codice alle persone giuridiche, enti e associazioni. Sulla base di quanto affermato in tale provvedimento interpretativo, si evidenzia che le persone giuridiche ed enti assimilati, destinatarie dello spamming - differentemente dalla persone fisichedal 6 dicembre 2011 non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non possono essere più "interessati". Tuttavia i detti soggetti, in quanto "contraenti", si possono avvalere degli ordinari strumenti di tutela forniti dall'ordinamento, quindi, possono esperire presso l'autorità giudiziaria ordinaria rimedi civilistici quali, ad esempio, l'azione inibitoria e/o l'azione di risarcimento del danno oppure, eventualmente qualora ricorrano gli elementi costitutivi dell'art. 167 c.p., anche sporgere denuncia e quindi attivare un procedimento penale con le relative sanzioni. Inoltre, essi possono beneficiare dell'eventuale esercizio dei poteri di iniziativa ex officio -quanto a provvedimenti inibitori, prescrittivi e/o sanzionatori- da parte di questa Autorità, qualora emergano i presupposti di un possibile trattamento illecito di dati. Con particolare riferimento alla posta elettronica, alcune volte può risultare difficile distinguere se un destinatario sia una persona fisica o giuridica. Può essere questo il caso dei dipendenti che lavorano in una determinata società che ha fornito loro indirizzi di posta elettronica aziendale contenenti le loro generalità (ad esempio, nome.cognome@società.com). Ebbene, tali indirizzi vanno considerati indirizzi "personali" di posta elettronica e i loro rispettivi assegnatari come "interessati", con la conseguente applicabilità del Codice e del relativo impianto di diritti e tutele. Ciò, fermo restando quanto già stabilito sull'utilizzo della posta elettronica aziendale dai precedenti provvedimenti del Garante in materia di trattamento dei dati dei lavoratori. Alle comunicazioni automatizzate sono applicabili, fra le altre norme del Codice, gli artt. 3 e 11, in base ai quali i dati personali considerati, in particolare i numeri di telefonia fissa e mobile e gli indirizzi di posta elettronica, vanno utilizzati e conservati secondo i principi di correttezza, finalità, proporzionalità e necessità e, in caso di violazione del Codice, non possono essere più utilizzati. Con particolare riferimento alle comunicazioni promozionali effettuate mediante posta elettronica, questa Autorità evidenzia la necessità che i provider di posta elettronica assicurino, nel rispetto del principio di neutralità tecnologica, la mutua autenticazione dei rispettivi server al fine di garantire agli utenti il livello più elevato possibile di protezione antispam. Ciò, tanto più se si considera la dannosità di fenomeni quali il c.d. phishing, ossia l'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di enti privati (in particolare banche e poste) ed istituzioni, che invitano il destinatario a fornire dati personali, motivando tale richiesta con ragioni di natura tecnica od economica, al fine di perseguire scopi illegali, quali, ad esempio, l'accesso alla password del conto corrente o della carta di credito e poter effettuare operazioni dispositive all'insaputa dell'interessato e pregiudizievoli della sua sfera giuridico-economica. In particolare, occorre che i provider provvedano all'installazione di appositi filtri che consentano, con ragionevole grado di certezza, di riconoscere lo spam, evitando, tuttavia, che tali dispositivi comportino una lesione della riservatezza degli interessati. Un imprescindibile obbligo in capo al titolare del trattamento è quello del previo rilascio ai destinatari delle comunicazioni promozionali dell'informativa disciplinata dall'art. 13 del Codice, al fine di assicurare un'informazione chiara e completa, dunque adeguata, relativamente al trattamento dei loro dati, nonché un eventuale consenso al medesimo che sia effettivamente consapevole. Pertanto, l'interessato o la persona presso la quale sono raccolti i dati personali deve essere previamente informato oralmente o per iscritto riguardo a una serie di elementi obbligatori e indefettibili. Fra questi, vanno specificate le modalità che saranno eventualmente utilizzate per il trattamento dati, e in particolare quelle di cui all'art. 130, commi 1 e 2, ossia telefonate automatizzate e modalità assimilate (quali fax, e-mail, sms, mms), oltre che quelle tradizionali come posta cartacea e telefonate con operatore, nonché le finalità del trattamento stesso (ad esempio, ricerca statistica, marketing o profilazione). Peraltro, sulla base dell'applicabilità di tale norma ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati, si ricorda che, se i dati personali dei destinatari di tali comunicazioni non sono raccolti presso l'interessato, l'informativa, comprensiva delle categorie di dati trattati, deve essere data al medesimo all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione (v. art. 13, comma 4, del Codice). Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l'art. 130, commi 1 e 2, del Codice, in base al quale l'utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in). Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali. Pertanto, senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque Analogamente, senza il consenso preventivo degli interessati, non è lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti nell' "indice nazionale degli indirizzi pec delle imprese e dei professionisti" -di cui al d.l. 18 ottobre 2012, n. 179, convertito con modificazioni dalla l. 17 dicembre 2012, n. 221, che ha introdotto l'apposito art. 6-bis del d.lgs. 7 marzo 2005, n. 82 (Codice dell'amministrazione digitale)- istituito per favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica. È possibile, invece, contattare telefonicamente mediante operatore (per chiedere al contraente di esprimere un consenso a ricevere comunicazioni promozionali secondo le modalità di cui all'art. 130, commi 1 e 2) i numeri presenti in elenchi telefonici e non iscritti nel Registro pubblico delle opposizioni (istituito con il decreto-legge 25 settembre 2009, n.135, convertito, con modificazioni, dalla legge 20 novembre 2009, n.166), nonché quelli presenti in elenchi pubblici "con i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati", fra i quali "vi è il vincolo di finalità in base al quale i dati sono raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altri trattamenti in termini compatibili con tali scopi (art. 11, comma 1, lett. b) del Codice)". Inoltre, va evidenziato, in un'ottica di coerenza sistematica, che il principio del consenso per il trattamento dei dati vige anche nella disciplina sulla protezione dei consumatori nei contratti a distanza secondo la quale l'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore (art. 58 Decreto Legislativo n. 206/2005). Il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché documentato per iscritto (art. 23, comma 3 del Codice) ed è pertanto necessaria la presenza contestuale di tutti i menzionati requisiti, per ritenere tale trattamento conforme al Codice. Gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati personali e a tal fine devono ricevere un'adeguata informativa, chiara e completa come sopra specificato. Il consenso del contraente per l'attività promozionale deve intendersi libero quando non è preimpostato e non risulta -anche solo implicitamente in via di fatto- obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento. Esemplificando, non è libero il consenso prestato quando la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. In quest'ottica, il Garante ha già espressamente affermato che non può definirsi "libero", e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l'interessato "debba" prestare quale condizione per conseguire una prestazione richiesta. Analogamente, non è corretta la predisposizione di moduli in cui la casella (c.d. "check-box") di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag). Il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l'invio di loro comunicazioni promozionali, secondo le indicazioni e i chiarimenti forniti di seguito nel presente provvedimento. Quanto alle finalità del trattamento di dati personali, si ribadisce che il titolare del trattamento deve acquisire un consenso specifico per ciascuna distinta finalità quali ad esempio: marketing, profilazione, comunicazione a terzi dei dati. Va tuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale. Occorre allora chiarire se sia necessario o meno un consenso specifico per ciascuna di esse. Al riguardo, l'Autorità ritiene che le suddette attività sono funzionali, nella maggior parte dei casi, a perseguire un'unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare -sempre di norma- l'acquisizione di un unico consenso. Tale impostazione, peraltro, appare coerente con il principio di finalità (secondo cui i dati possono essere utilizzati in "altre" operazioni di trattamento in termini "compatibili" con gli scopi originari della raccolta: art. 11, comma 1, lett. b) del Codice). Al fine di attuare l'esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali, questa Autorità ritiene che sia parimenti legittimo interpretare la regola della specificità del consenso rispetto alle modalità utilizzate per le finalità di marketing, prevedendo due appositi e distinti consensi rispettivamente per le modalità tradizionali e per quelle di cui all'art. 130, commi 1 e 2 del Codice, oppure, in alternativa, un unico consenso che comprenda i due tipi di modalità. In tale ultimo caso, dovranno essere chiarite le singole modalità utilizzate per il marketing (modalità tradizionali e modalità di cui all'art. 130, commi 1 e 2, del Codice) e, al contempo, dovranno essere osservate alcune misure atte a garantire il diritto alla protezione dei dati personali degli interessati. In particolare: • dall'informativa e dalla richiesta di consenso deve risultare che il consenso prestato per l'invio di comunicazioni commerciali e promozionali, sulla base dell'art. 130, commi 1 e 2, del Codice, si estende anche alle modalità tradizionali di contatto eventualmente indicate nell'informativa, come la posta cartacea e/o le chiamate tramite operatore; • dall'informativa deve risultare, inoltre, che il diritto di opposizione dell'interessato al trattamento dei propri dati personali per le suddette finalità, effettuato attraverso modalità automatizzate di contatto, si estende a quelle tradizionali e che comunque resta salva la possibilità per l'interessato di esercitare tale diritto in parte, ai sensi dell'art. 7, comma 4, lett. b), del Codice, ossia, in tal caso, opponendosi, ad esempio, al solo invio di comunicazioni promozionali effettuato tramite strumenti automatizzati. Relativamente alla comunicazione a terzi per finalità di marketing in generale, va subito rilevato che la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull'acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità. Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un'idonea informativa, ai sensi dell'art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi. Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale. Qualora l'interessato rilasci il suddetto consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all'art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale. Si chiarisce che, ai fini del Codice, il terzo o i terzi in questione possono appartenere a categorie economiche o merceologiche anche diverse da quella del titolare del trattamento che provvede alla raccolta dei dati dell'interessato. Peraltro, nel caso in cui i terzi siano stati individuati singolarmente e siano stati forniti all'interessato anche gli altri elementi previsti all'art. 13 del Codice relativi al trattamento che verrà da questi svolto, non sarà necessario che i predetti soggetti rilascino agli interessati un'ulteriore informativa in quanto, come specificato all'art. 13, comma 2 del Codice, l'informativa "può non comprendere gli elementi già noti alla persona che fornisce i dati". Laddove invece la richiesta di consenso non sia accompagnata da un'informativa con tali requisiti, i terzi -ai sensi dell'art. 13, comma 4, del Codice- potranno inviare ai medesimi interessati le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa, che contenga, oltre agli elementi previsti dall'art. 13, comma 1, anche l'origine dei dati personali a loro comunicati, in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento ai sensi dell'art. 7, comma 4, lett. b) del Codice. In entrambi i casi, inoltre, i terzi dovranno fornire all'interessato un idoneo recapito -di cui all'art. 130, comma 5- presso il quale poter esercitare utilmente i diritti di cui all'art. 7, ed essere assicurata al medesimo la possibilità di avvalersi, a tal fine, dello stesso canale comunicativo utilizzato per l'invio delle comunicazioni promozionali e comunque di uno strumento quanto più possibile agevole, rapido, economico ed efficace. Ad esempio, se i terzi intendono inviare e-mail pubblicitarie, devono consentire agli interessati di potersi opporre al trattamento inviando una e-mail a un indirizzo di posta indicato nell'informativa resa ed eventualmente riservato alla gestione delle problematiche sul trattamento dati sottoposte loro da utenti e clienti. Le suddette regole devono applicarsi anche quando i soggetti terzi -ai quali si intenda comunicare (o cedere) i dati raccolti per finalità di marketing- siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati. I soggetti appartenenti al medesimo gruppo societario, al fine di adempiere all'obbligo del consenso, devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti. È necessario inoltre che il consenso per la finalità promozionale sia documentato per iscritto. Va evidenziato che la direttiva 2002/58/CE non stabilisce in modo specifico il metodo per ottenere tale consenso (cfr. considerando 17 della stessa direttiva: "… Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all'utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un'apposita casella nel caso di un sito internet."). Ne consegue che gli operatori del settore possono ritenersi liberi di scegliere il metodo che ritengono opportuno nell'ambito della propria libertà organizzativa. Inoltre, non è necessario che il consenso acquisito abbia forma scritta, a pena di invalidità del medesimo, ma è comunque necessario che il titolare del trattamento adotti misure idonee a darne prova fornendo alcuni elementi tali da poter ritenere acquisito il consenso e circostanziare tale acquisizione. In particolare, è necessario che risultino documentati, nella modalità che si ritenga di adottare, la data in cui è stato reso e gli estremi identificativi di chi lo ha ricevuto, adottando altresì, contestualmente, analoghe procedure idonee a garantire che la volontà dell'interessato di revocare il suo consenso venga effettivamente rispettata. Appare utile adottare sistemi di verifica della identità del contraente che si è registrato ad un sito web perché interessato a ricevere offerte promozionali. In tal senso, ad esempio, l'invio di una apposita e-mail al suo indirizzo di posta elettronica con la quale si chiede di confermare la propria identità cliccando su un apposito link. L'Autorità ricorda che per le comunicazioni di cui all'art. 130, commi 1 e 2, non valgono le cause di esonero del consenso di cui all'art. 24 del Codice. Per la sola posta elettronica, tuttavia, può ricorrere l'eccezione del c.d. "soft spam", di cui all'art. 130, comma 4, in base al quale, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l'interessato, adeguatamente informato, non rifiuti tale uso. In alcune circostanze, le comunicazioni promozionali indesiderate vengono inviate non direttamente dall'impresa/società promotrice, ma da agenti o altri soggetti terzi. Pertanto, è necessario chiarire quale fra il soggetto promotore e il terzo debba considerarsi titolare del trattamento ai sensi dell'art. 28 del Codice, con i relativi obblighi. L'Autorità ha evidenziato la necessità di riconoscere la titolarità del trattamento dei dati dei destinatari di iniziative di telemarketing in capo alla società che si avvalga di soggetti esterni incaricati di effettuare campagne promozionali per suo conto, quando ai menzionati soggetti esterni siano state impartite specifiche istruzioni, ed in considerazione, altresì, del controllo esercitato dalla società circa il rispetto di tali istruzioni e delle condizioni contrattuali pattiziamente previste. Ne consegue che i soggetti esterni dovranno essere designati responsabili del trattamento ai sensi dell'art. 29 del Codice, mentre i singoli operatori quali incaricati ai sensi dell'art. 30. Tale necessità può ben ravvisarsi anche nel caso delle comunicazioni promozionali con le modalità di cui sopra, essendo irrilevante, ai fini dell'individuazione della titolarità, il tipo di modalità utilizzata per la comunicazione promozionale. Peraltro, l'Autorità, analizzando il concreto rapporto intercorrente tra un titolare del trattamento e distinti operatori ai quali venivano affidati taluni servizi, ha ritenuto determinante il carattere subordinato di tali soggetti alle istruzioni ed al potere di controllo esercitato dalla società appaltante, riconoscendo quest'ultima come unico titolare del trattamento e, appunto in virtù di tale qualifica, prescrivendole di designare le società appaltatrici responsabili del trattamento ai sensi dell'art. 29 del Codice. Alla luce di tali considerazioni e dei criteri indicati, l'Autorità, riguardo allo spam effettuato mediante agenti o altri terzi, ritiene che il soggetto promotore, qualora in concreto abbia un ruolo preminente nel trattamento dei dati dei destinatari, assumendo decisioni relative alle finalità e modalità del trattamento, fornendo istruzioni e direttive vincolanti e svolgendo verifiche e controlli sull'attività dell'agente, va considerato titolare ai sensi dell'art. 28 del Codice, a prescindere dalla qualificazione contrattuale. Inoltre, il soggetto promotore è tenuto a nominare responsabile il soggetto agente o altro terzo di cui si avvale per l'attività promozionale, salvo che non si tratti di un mero incaricato (persona fisica) che svolga solo operazioni di trattamento sotto la diretta autorità del promotore e in base alle sue istruzioni. Inoltre, l'Autorità ravvisa la necessità che i soggetti promotori pongano in essere misure e procedure idonee a conoscere se l'agente, al quale è stato affidato il trattamento dati mediante modalità automatizzate a fini di marketing, eventualmente a sua volta si rivolga, per lo svolgimento del medesimo trattamento, a subagenti o altri terzi, nonché a verificare e garantire l'osservanza del Codice da parte di questi ultimi. Ciò sia nel caso in cui i promotori siano in concreto qualificabili come titolari del trattamento -in quanto dovranno provvedere a designare i subagenti o altri soggetti terzi coinvolti nella "filiera" del trattamento dei dati come responsabili o incaricati (artt. 29 e 30 del Codice) e saranno chiamati a rispondere delle eventuali violazioni del Codice effettuate da tali soggetti- sia nell'ipotesi in cui i subagenti o i terzi utilizzino proprie banche dati per effettuare le attività promozionali, rivestendo in tal modo il ruolo di autonomi titolari. In tale ultima ipotesi, infatti, la misura in questione trova giustificazione nell'esigenza di consentire al promotore, qualora sia destinatario di una istanza ai sensi dell'art. 7 del Codice, di chiarire all'interessato il ruolo effettivamente ricoperto nell'ambito del rapporto intercorrente con i subagenti ed, eventualmente, indirizzarlo al soggetto che nel caso di specie agisce in qualità di titolare. La finalità promozionale talora viene perseguita utilizzando liste di e-mail o numerazioni telefoniche per l'invio simultaneo del medesimo messaggio promozionale a molteplici interessati. I soggetti che si avvalgono di tale modalità per finalità di marketing devono rispettare principi e norme già sopra indicati nell'ambito del quadro normativo attualmente in vigore, con particolare riferimento agli artt. 3, 11, 13, 23 e 130 del Codice per ciascuno degli indirizzi di posta trattato. Peraltro, nel caso dell'invio di e-mail, chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini più vari, eventualmente anche alimentando ulteriore spam. L'attività promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari della promozione. Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione "ccn" (ossia l'inoltro per conoscenza in "copia conoscenza nascosta"), gli indirizzi di posta utilizzati per l'invio della promozione. Si ricorda che, in relazione alle varie forme di spamming, in caso di accertata violazione delle norme del Codice, l'Autorità -fatta salva l'eventuale adozione di provvedimenti inibitori o prescrittivi- applica le sanzioni amministrative, quali in particolare quelle previste dagli artt. 161 e 162, comma 2-bis del medesimo Codice, finalizzate ad assicurare l'osservanza dei fondamentali obblighi, rispettivamente, dell'informativa e del consenso. Inoltre, qualora emergano i presupposti di un possibile trattamento illecito di dati personali avente una specifica rilevanza di natura penale, l'Autorità è tenuta a denunciare i fatti configurabili come reati perseguibili d'ufficio all'autorità giudiziaria per l'eventuale applicazione della sanzione penale prevista dall'art. 167 del Codice.