L’applicazione in Italia della disciplina del Soft Spam e l’interpretazione dei Paesi europei: un’analisi comparata.
L’articolo 130 del d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali – “Codice Privacy”) prevede che l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, più in generale, la comunicazione commerciale tramite sistemi di chiamata automatizzati o tramite comunicazioni elettroniche (quindi, con esclusione della posta e del telefono con operatore ) è consentito solo con il consenso del contraente o dell’utente.
Una eccezione a quanto sopra specificato, è prevista al quarto comma dello stesso articolo – la cosiddetta eccezione del “soft spam” – per cui non è richiesto il previo ottenimento del consenso. Tuttavia, affinché si possa legittimamente ricorrere a tale base giuridica, è necessario rispettare alcuni stringenti requisiti, indicati dallo stesso art. 130, comma 4, del Codice Privacy, fra cui:
1. le comunicazioni devono essere effettuate a fini di vendita diretta di propri prodotti o servizi;
2. tali comunicazioni devono essere inviate al soggetto interessato esclusivamente tramite posta elettronica alle coordinate d fornite dallo stesso interessato nel contesto di una precedente vendita di un prodotto o di un servizio;
3. I prodotti e/o servizi oggetto della comunicazione devono essere analoghi a quelli oggetto della precedente vendita, ovvero appartenenti alla stessa categoria merceologica; e
4. l’interessato, adeguatamente informato, non abbia rifiutato tale trattamento dei propri dati, inizialmente o in occasione delle successive comunicazioni (ovvero deve essere sempre garantito, in maniera agevole, il diritto all’opt-out).
La disciplina nazionale menzionata costituisce attuazione della Direttiva 2002/58/CE (“Direttiva E-Privacy”), la cui finalità è quella di armonizzare le disposizioni degli Stati membri necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno dell’Unione.
Dunque, per comprendere l’effettiva portata della disciplina nazionale è necessario prendere le mosse dal quadro europeo.
1. Gli inizi, la Direttiva E-Privacy
Tra i principali obiettivi della Direttiva E-Privacy, vi è la previsione di misure volte a tutelare gli utenti da interferenze nella loro vita privata realizzate a fini di marketing diretto, in particolare mediante dispositivi automatici di chiamata e strumenti di comunicazione elettronica quali fax, posta elettronica o messaggi SMS. La liceità di tali attività è subordinata al previo ottenimento del consenso da parte dei destinatari.
La disciplina contenuta nella Direttiva E-Privacy è stata recepita nell’ordinamento italiano fino a confluire nell’attuale testo del Codice Privacy, come successivamente modificato e integrato, e più precisamente nel Titolo X del medesimo, dedicato appunto alle comunicazioni elettroniche.
Il Titolo X del Codice Privacy ha lo scopo di disciplinare il trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica e l’art. 130, rubricato “Comunicazioni indesiderate”, detta le norme volte a evitare l’utilizzo surrettizio di mezzi finalizzati ad attività di marketing, pur in assenza di un consenso esplicitamente e preventivamente prestato dai contraenti o dagli interessati. In questo contesto, come stabilito dal Reg. UE 2016/679 (“GDPR”), il consenso è valido solo se espresso liberamente e specificamente, in riferimento a un trattamento chiaramente identificato.
Con riferimento a quest’ultimo aspetto, nella Direttiva E-Privacy, all’articolo 13 , si prevede l’adozione di un regime di “opt-in” per le comunicazioni inviate ai fini di marketing diretto – per cui tali comunicazioni possono essere inviate solo previa acquisizione del consenso dell’utente a cui sono dirette.
Ciò nonostante, come recepito dall’articolo 130, comma 4, del Codice Privacy, la Direttiva E-Privacy permette l’utilizzo, nel contesto di una relazione di clientela già esistente, delle coordinate elettroniche per offrire prodotti o servizi analoghi a quelli già acquistati, ma unicamente da parte della medesima società che ha ottenuto le coordinate elettroniche e a condizione che ai clienti sia offerta la possibilità di opporsi, gratuitamente e in maniera agevole, a tale attività di trattamento .
2. Gli orientamenti nazionali: la sentenza della Corte di Cassazione n. 7555 del 15 marzo 2023
Con la Sentenza n. 7555 del 15 marzo 2023, la Corte di Cassazione si è pronunciata sulla corretta interpretazione del concetto di “soft spam”. L’interpretazione operata dalla Seconda Sezione Civile della Corte, per definire il perimetro di applicazione di questa disciplina, è effettuata in maniera del tutto eccezionale e restrittiva.
Nel caso di specie, una società che si occupa di fornire servizi di comparazione di preventivi online, affermava di aver legittimamente svolto l’attività di soft spam anche verso “utenti non paganti”, ossia soggetti che si erano registrati per ottenere una prova gratuita del servizio.
La Corte di Cassazione ha fornito la propria interpretazione sul caso concreto, stabilendo chiaramente che il Codice Privacy, all’art. 130, disciplina le c.d. comunicazioni indesiderate prevedendo che “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”.
Diversamente, la disciplina sul soft spam individua solo un’eccezione rispetto al regime generale dell’opt-in e fa riferimento all’ipotesi in cui il Titolare del trattamento abbia ottenuto le coordinate di posta elettronica “nel contesto della vendita di un prodotto o di un servizio”, con ciò escludendo tutte le altre ipotesi in cui l’acquisizione dei dati personali avvenga in modo e per finalità diverse.
Sulla base di ciò, sembra chiaro che il termine “vendita” vada interpretato in senso tecnico, richiedendo che, tra il Titolare del trattamento ed il destinatario delle comunicazioni, si sia stabilito un rapporto contrattuale a titolo oneroso in cui il cliente sia stato informato, in maniera chiara, della ricezione del materiale pubblicitario.
La Corte di Cassazione ha individuato i presupposti di applicabilità del comma 4 dell’art. 130 del Codice, per l’invio di e-mail commerciali senza il preventivo consenso all’interessato, specificando che questa eccezione è applicabile solo al verificarsi di condizioni specifiche e cumulative, ovvero:
• le coordinate di posta elettronica devono essere state raccolte dal Titolare nel contesto della vendita di un suo prodotto o servizio all’interessato;
• l’interessato deve essere stato adeguatamente informato della possibilità di ricevere comunicazioni commerciali e della sua facoltà di opporsi all’invio dei suddetti messaggi;
• le e-mail di marketing devono riguardare prodotti o servizi analoghi a quelli già acquistati dall’interessato (ad es.: se il prodotto acquistato era un software, la comunicazione commerciale successiva non può riguardare capi di abbigliamento).
A fronte di questa linea interpretativa, dato che tra il Titolare e gli interessati non era stato concluso un contratto di vendita a titolo oneroso, la Corte di Cassazione ha escluso la possibilità di far rientrare nel regime del soft spam i cd. “clienti non paganti”, come ad esempio gli utenti che si erano esclusivamente registrati o che avessero effettuato una prova gratuita del servizio.
Per tale motivo, come evidenziato sopra, per la Corte di Cassazione non è sufficiente “che la prova sia finalizzata alla vendita ma è necessario, ai fini dell’applicazione del regime derogatorio di cui al D.Lgs. n. 196 del 2003, art. 130, comma 4, che il contratto di vendita sia stato perfezionato”.
Alla luce di questa stringente interpretazione, è importante per operatori e aziende che svolgono attività di marketing, non farsi cogliere impreparati, effettuando opportuni controlli sulle modalità e sui canali con cui vengono svolte le proprie campagne promozionali, nonché sulle basi giuridiche poste a fondamento di tali attività, al fine di dotarsi di tutti gli strumenti e delle misure necessarie per rendere il più possibile compliant tutti i processi interni coinvolti nelle attività di marketing.
3. Spagna, Germania e Belgio, l’approccio dei Paesi europei all’articolo 13 della Direttiva E-Privacy
L’articolo 130, comma 1, del Codice Privacy tutela i contraenti e gli utenti, sia che essi siano persone fisiche, che persone giuridiche, alla ricezione indesiderata di materiale pubblicitario, di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Gli orientamenti di altri Paesi europei, che, come l’Italia, hanno dovuto applicare internamente il disposto dell’articolo 13 della Direttiva E-Privacy, sono interessanti per quanto riguarda l’interpretazione giuridica della disciplina sul soft spam. L’obiettivo di molti Paesi europei sarebbe quello di facilitare il normale svolgimento delle attività d’impresa, offrendo la possibilità di agire in regime di opt-out per effettuare attività di direct marketing, evitando qualunque limitazione concorrenziale per le aziende nazionali.
Alcuni Paesi europei hanno interpretato ed applicato l’articolo 13 della Direttiva E-Privacy come di seguito indicato:
a. l’autorità di controllo spagnola l’AEPD (Agencia Española de Protección de Datos) ha pubblicato un codice di condotta intitolato “Código de conducta – tratamiento de datos en la actividad publicitaria”. All’interno di questo codice l’autorità spagnola ribadisce che la base giuridica del trattamento per finalità pubblicitarie è quella del consenso. Nonostante il riconoscimento di questa base giuridica, l’autorità non fa venire meno, la possibile applicazione di una base giuridica, che seppur più complessa, può essere utilizzata come alternativa al consenso: il legittimo interesse.
Il codice ribadisce che, l’uso di tale base giuridica comporta la necessità di un’apposita valutazione, la c.d. LIA (Legitimate Interest Asessment), in particolare, nell’ambito di tale valutazione dovrà essere considerata, tra i vari fattori, la frequenza degli invii pubblicitari, aspetto peculiare del settore e che può risultare di particolare invasività della sfera dell’interessato.
Nel caso del c.d. soft-spam, l’autorità non restringe le ipotesi di invio di tali comunicazioni al solo strumento dell’e-mail, diversamente da quanto previsto in Italia, ma sono ricompresi tutti i canali mediante i quali è possibile inviare comunicazioni elettroniche Inoltre, sul concetto di “servizi analoghi” a cui la disciplina del soft spam fa riferimento, si aggiunge che la similarità dei prodotti/servizi promossi si deve rinvenire nella tipologia di prodotti/servizi, oltre che nel settore di attività. Ad esempio, è comune in Spagna, l’invio di comunicazioni pubblicitarie – sempre dirette a clienti e per prodotti/servizi similari – relative a prodotti/servizi di terzi, purché siano altre società del medesimo gruppo imprenditoriale a cui appartiene il Titolare.
b. nel caso della Germania, le basi giuridiche più plausibili per lo svolgimento delle attività di cui sopra, saranno o il consenso o il legittimo interesse del Titolare del trattamento (espressamente citato dal Considerando 47 del GDPR). Nel caso in cui si faccia affidamento sul consenso, occorre tenere conto dei rigorosi standard per il consenso ai sensi del GDPR e i moduli di consenso per il marketing dovranno invariabilmente includere meccanismi di opt-in chiaramente formulati (come la selezione di una casella di consenso non preselezionata o la firma di una dichiarazione, e non la mera accettazione di termini e condizioni, o il consenso implicito da un comportamento, come la visita di un sito web).
L’unica esenzione riguarda le e-mail di marketing relative agli stessi prodotti/servizi precedentemente acquistati dall’utente, a condizione che l’utente sia stato informato del diritto di opt-out prima dell’invio della prima e-mail di marketing e che l’utente non abbia esercitato il proprio diritto di opt-out. Infine, il legislatore tedesco si è anche concentrato sul dare una definizione analitica di “stessi prodotti/servizi” permettendo le comunicazioni di soft spam solo nei casi in cui:
• l’indirizzo di posta elettronica del destinatario è stato ottenuto dal mittente in relazione alla vendita di beni o servizi;
• il mittente utilizza l’indirizzo per la pubblicità diretta di propri beni o servizi simili (è infatti vietato il cross-selling);
• il destinatario non si è opposto a questo uso; e
• il destinatario viene informato in modo chiaro e inequivocabile, e viene informato della possibilità di opporsi a tale utilizzo in qualsiasi momento, senza che ciò comporti costi ulteriori.
c. il Belgio adotta un’interpretazione simile a quanto detto per la Germania. Queste regole si applicano a tutti i “messaggi elettronici”, come le e-mail e gli SMS. Anche altri tipi di comunicazione elettronica, come la messagistica istantanea e le chat, possono rientrare nell’ambito di applicazione di queste norme, a seconda del contesto specifico. Qualsiasi forma di comunicazione volta a promuovere direttamente o indirettamente beni, servizi, l’immagine di un’azienda, di un’organizzazione o di una persona che esercita un’attività commerciale, industriale o lavorativa o una professione regolamentata rientra nell’ambito di applicazione di queste norme.
Come principio generale, è necessario ottenere il consenso preventivo, libero, specifico e informato del destinatario del messaggio. Al principio dell’opt-in si applicano due eccezioni, in cui non è necessario ottenere un consenso preventivo, libero, specifico e informato, solo se:
• il messaggio di marketing è inviato a clienti esistenti del fornitore di servizi, oppure
• il messaggio elettronico viene inviato a persone giuridiche (ad esempio, a un indirizzo e-mail generico come info@company.com).
A fronte delle differenze sopra indicate, gli Stati europei dovrebbero adottare una linea comune per uniformare la disciplina in materia di marketing diretto, in modo tale da evitare di falsare la concorrenza tra le imprese stabilite nei diversi Paesi membri dell’Unione Europea, oppure sarebbe auspicabile un intervento del legislatore europeo o in subordine dell’European Data Protection Board atto a stabilire criteri uniformi per comprendere quali attività ricadano o meno nel regime di opt-out piuttosto che nel regime di opt-in.
Gli approcci interpretativi di alcuni Paesi europei alla disciplina del soft spam, come per il caso della Spagna che ha contemplato la possibilità di utilizzare come ulteriore base giuridica il legittimo interesse, solo dopo aver condotto una LIA e tenendo in considerazione fattori come la frequenza degli invii pubblicitari, andrebbero considerate come delle best practice che le autorità di controllo comunitarie, compreso il Garante per la protezione dei dati personali italiano, dovrebbero tenere in debito conto.
4. Gli orientamenti del Garante Privacy sul soft spam
A seguito del recepimento della Direttiva E-Privacy, il Garante per la protezione dei dati personali, si è espresso nel corso del tempo con una serie di provvedimenti, volti ad inquadrare in modo coerente la disciplina del soft spam e le sue implicazioni nella tutela dei dati personali.
Nell’ambito del quadro normativo nazionale applicabile ai trattamenti di dati personali nelle attività di marketing diretto, hanno svolto un ruolo di indirizzo determinante le “Linee guida in materia di attività promozionale e contrasto allo spam”, adottate dall’Autorità Garante per la protezione dei dati personali il 4 luglio 2013. Il consenso di un contraente ad attività promozionali può essere considerato liberamente prestato se non rappresenta l’impostazione predefinita o se non si traduce – anche solo di fatto o implicitamente – in una precondizione per ottenere il prodotto o il servizio offerto dal Titolare del trattamento (come indicato nelle Linee guida in materia di marketing e contrasto allo spam – 4 luglio 2013 del Garante per la protezione dei dati personali – https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/4304228 ).
Come indicato nelle Linee guida in materia di marketing e contrasto allo spam, “per quanto riguarda le finalità per le quali i dati personali sono trattati, […] un titolare del trattamento dovrebbe ottenere una dichiarazione di consenso specifica per ogni finalità distinta come il marketing, la profilazione, la divulgazione dei dati a terzi (cfr. decisione del 24 febbraio 2005, paragrafo 7 – doc. web n. 1103045)”.
Inoltre, con il provvedimento 15 gennaio 2020 , l’Autorità aveva irrogato, nei confronti di una nota società di telecomunicazioni un’aspra sanzione, a causa di numerose segnalazioni relative alla ricezione di chiamate promozionali indesiderate effettuate senza consenso.
Nello specifico, l’Autorità Garante aveva contestato numerosi trattamenti illeciti dovuti alla mancata acquisizione del consenso dell’interessato, tra cui: telefonate promozionali, comunicazione dei dati ad aziende partner, invio di comunicazioni pubblicitarie non richieste e, più in generale, per finalità non dichiarate nell’informativa sottoposta agli utenti. In altri casi, è stata contestata l’acquisizione di un consenso “estorto”, e quindi non libero, in quanto richiesto come condizione necessaria per conseguire ulteriori vantaggi offerti all’interessato (quali, ad esempio, operazioni a premi).
La società aveva asserito che la base giuridica per l’invio di tali comunicazioni era stato fondata sul presupposto del legittimo interesse della società di telecomunicazione e dei suoi partner allo svolgimento di attività di marketing. Il Garante di fronte a tale asserzione ha ribadito che il legittimo interesse, di cui all’art. 6, par. 1, lett. f), del GDPR non può surrogare – in via generale – il consenso dell’interessato quale base giuridica per le attività di marketing. Invero, il GDPR stesso – come già la Direttiva 95/46/CE all’art. 7, comma 1, lett. f) – lo ammetteva ma solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”.
Il GDPR (si veda il Considerando 47), con specifico riguardo all’applicabilità del legittimo interesse al marketing, esige che si tengano in debito conto le ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il Titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del Titolare del trattamento.
In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine .
Perciò qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice Privacy), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici, si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati.
In un secondo provvedimento del 18 luglio 2023 , il Garante ha sanzionato una società di telecomunicazioni a seguito dell’invio di sms ad un elevato numero di clienti che non avevano manifestato il proprio consenso a ricevere tali comunicazioni promozionali.
In tal caso l’interpretazione all’articolo 130, comma 4, che aveva dato la società è risultata essere particolarmente estensiva, prevedendo che l’invio di comunicazioni pubblicitarie senza il consenso dell’interessato per posta elettronica (e in via residuale, a detta della società, tramite SMS), potesse essere effettuato solo se aveva ad oggetto prodotti e/o servizi forniti dal Titolare e non da terzi, e che tali prodotti fossero analoghi a quelli già acquistati dall’interessato. Inoltre, in tale contesto la società aveva richiesto all’Autorità di valutare, anche con il ricorso ad una interpretazione meno stringente dell’art. 130, comma 4, del Codice Privacy, se, in materia di soft spam, potesse ritenersi – in base all’attuale evoluzione tecnologica e sociale – estendibile anche alle comunicazioni inviate tramite SMS. Tuttavia, il Garante, anche in questa sede ha escluso la possibilità di comprendere l’invio di SMS promozionali nella disciplina del soft-spam che, pertanto, rimane applicabile alle sole comunicazioni inviate a mezzo e-mail.
Tale condotta della società ha configurato una violazione dell’articolo 130, comma 4, del Codice Privacy che, nel consentire l’utilizzo della posta elettronica per finalità promozionali nei confronti di soggetti che abbiano già acquistato un prodotto o servizio, disciplina un’eccezione, non suscettibile di applicazione estensiva né tanto più di un’interpretazione analogica rispetto alla regola generale del consenso preventivo, specifico, comprovabile ed inequivocabile.
Un più recente orientamento del Garante è contenuto nel provvedimento del 20 giugno 2024 , in cui è stato contestato ad una nota società di telefonia, di aver contattato telefonicamente i propri clienti, anche in assenza di consenso per finalità di marketing, in quanto, a detta della società, frutto di legittimo interesse aziendale a proporre ai propri clienti servizi migliorativi o comunque collegati a quelli già acquistati.
Il Garante in questo caso non ha trovato dei punti di contatto con i ragionamenti fatti dalla società, affermando che il trattamento dei dati dei clienti in corso e cessati da meno di 24 mesi, per finalità promozionali, dichiaratamente operato sulla base del legittimo interesse, non opposto dai clienti, risulterebbe in violazione degli artt. 6 Regolamento (UE) n. 679/2016 e 130 Codice Privacy.
Questi individuano nel consenso preventivo l’unica base giuridica per l’invio di comunicazioni elettroniche a carattere promozionale, ancorché per servizi connessi o collegati a quelli già acquistati (con la sola eccezione dell’art 130 comma 4, del Codice Privacy, non invocabile nel caso in esame).
L’Autorità, ancora una volta, sembra interpretare in modo restrittivo l’ipotesi dell’articolo 130, comma 4, del Codice Privacy, in quanto riconosce che non può essere invocato il legittimo interesse quale base giuridica dell’attività di marketing, ma l’invio di comunicazioni promozionali senza il consenso dell’interessato può avvenire esclusivamente attraverso il canale e-mail, ed ogni altra comunicazione promozionale effettuata al di fuori di tali condizioni e utilizzando un canale diverso ricade nella più generale disciplina dell’art. 130 del Codice Privacy, che prevede come base giuridica solamente il consenso dell’interessato.
La Società aveva ritenuto che la disciplina dell’articolo 130, comma 4, rinviasse ai più generici artt. 6 e 7 del GDPR, ma, secondo l’Autorità, il comma 4 pone una disciplina derogatoria con riferimento sia a questa sia a quella specifica in materia di comunicazioni elettroniche a scopo commerciale (artt. 130, commi 1-3-bis del Codice Privacy). La norma, infatti, non individua una base giuridica diversa per il cd. “soft-spam” nei confronti dei propri clienti, ma si limita a non ritenerne necessaria nessuna al ricorrere di due condizioni: l’una soggettiva, riguardante la platea dei destinatari, ossia i clienti; l’altra oggettiva, riguardante il mezzo di contatto, ossia l’indirizzo e-mail e il contenuto del messaggio promozionale, che deve risultare analogo al servizio acquistato in precedenza, così da farne presumere l’interesse. Solo in presenza di queste condizioni sussiste la ratio di privilegiare la relazione qualificata già instaurata per effetto dell’avvenuta conclusione di un contratto, potendosi prescindere dal consenso.
5. Conclusioni e spunti di riflessione
Quanto illustrato evidenzia l’accresciuta attenzione del legislatore italiano ed europeo verso la tutela dell’utente nell’ambito del settore del marketing diretto e del soft spam. Tale attenzione si traduce, come visto, in una specificazione degli obblighi attualmente vigenti in tema di protezione dei dati personali e in una loro espressa estensione anche a ipotesi precedentemente non prese in considerazione dalla normativa.
Il Garante italiano sul tema del soft spam e sulle varie interpretazioni che enti e società hanno nel corso del tempo cercato di far prevalere, parrebbe respingere ogni forma di analogia legis, motivo per cui ogni comunicazione promozionale effettuata, ancorché ai propri clienti, con mezzi diversi dalla e-mail, quali in ipotesi il numero di telefono, rende necessaria la scelta di un’apposita base giuridica, ricadendo così nella più generale disciplina dell’art. 130 del Codice Privacy e, in particolare, al principio dell’opt-in.
Sarebbe, quindi, alla luce delle specifiche di cui sopra, auspicabile un intervento legislativo, a livello nazionale o europeo, volto a sfruttare tutte le aperture che la disciplina europea concede per agevolare l’attività di impresa senza comprimere i diritti di contraenti ed interessati, garantendo allo stesso tempo, quel livello di tutela nei confronti degli interessati che non prestano attivamente il proprio consenso ad attività di marketing diretto.
In alternativa, laddove la normativa a maglie strette del legislatore possa essere efficacemente allargata con un intervento interpretativo del Garante Privacy, sarebbe altresì auspicabile un aggiornamento delle ormai, seppur utili, ma anche risalenti Linee guida in materia di marketing e contrasto allo spam, che rivelino un approccio più coerente e che sia in grado di fornire una delimitazione più chiara della nozione di soft spam e dei suoi ambiti di applicazione.