In materia di marketing diretto sono essenzialmente due le basi legali che giustificano il trattamento dei dati personali dell’interessato: il consenso ed il legittimo interesse. Quest’ultimo rimane quello più discusso e abusato.
Se navighi in rete, ti sarà certamente capitato di imbatterti in un banner sulla privacy che ti rimanda ad una informativa più estesa nella quale vengono riportate voci come “legittimo interesse” e “gestione fornitori”.
Molto probabilmente ci avrai capito poco (o semplicemente non ti interessava ciò che stavi leggendo) e piuttosto di non togliere tempo alla tua ricerca sul web hai cliccato su “accetto tutto”.
Fino a qui tutto bene (non del tutto in realtà ma questo lo scoprirai nel corso lettura di questo articolo!). Ti sarà infine capitato di lamentarti di ricevere noiose ed insistenti telefonate dai call center o di cestinare l’ennesima e-mail commerciale.
Che c’entra?! Se questo è stato il tuo primo pensiero forse ignori il fatto che sussiste una relazione tra tutte queste situazioni e forse dovresti riflettere qualche minuto in più prima di selezione quell’ “accetta tutto”.
Andiamo per ordine.
Il marketing diretto
Per marketing diretto si intendono tutte quelle forme di comunicazione e di promozione attraverso le quale le aziende, comunicando con i propri clienti e senza avvalersi di intermediari, promuovono beni e servizi da loro direttamente commercializzati.
Nato sui canali tradizionali (come posta e telefono), da un po’ di anni è approdato sui canali digitali (e-mail, servizi di messaggistica sui social media, etc.) sfruttandone l’enorme potenziale.
Caratteristica fondamentale del direct marketing è, infatti, la selettività del messaggio. L’impresa rivolge la propria comunicazione a un target definito e ben individuato, sulla base delle informazioni estrapolate dal proprio database clienti.
Sostanzialmente, lo scopo è ottenere risposte misurabili, quantificabili e qualificabili compiendo azioni mirate al fine di rafforzare una relazione diretta e duratura con i propri clienti nonché acquisirne di nuovi, tra quelli che hanno manifestato il proprio interesse ad entrare in contatto con quell’azienda (titolare del trattamento) per poi fidelizzarli.
Chi autorizza una azienda ad inviarti una comunicazione sulla promozione di un prodotto? Fondamentalmente tu. O meglio ciò che tu accetti se non rifiuti che il tuo indirizzo e-mail venga impiegato per queste finalità.
(ndr Non stiamo dicendo che la pubblicità via e-mail sia un male da debellare, certamente potrai avere interesse nel ricevere alcune offerte via e-mail (o telefonicamente) ma puoi sempre filtrare da chi riceverle, tutto qui.)
E l’azienda come giustifica queste attività se io non gli ho dato alcun consenso? Vantando un interesse legittimo al trattamento dei tuoi dati.
Il legittimo interesse nel GDPR
Con il GDPR (Reg. Eu 2016/679) è stato introdotto, all’art. 6, comma 1°, lett. f), il concetto di “legittimo interesse”.
Secondo tale disposizione il trattamento è da considerarsi lecito se:
“il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.”
Nello specifico, la liceità del trattamento è condizionata dalla presenza di almeno una delle seguenti basi giuridiche:
- Consenso;
- Esecuzione di un contratto (o di misure precontrattuali);
- Obbligo legale;
- Salvaguardia Interessi vitali;
- Esercizio Interesse pubblico;
- Legittimo interesse.
Pertanto, in linea generale, il titolare che abbia un legittimo interesse può procedere al trattamento dei dati personali anche in assenza del consenso dell’interessato, poiché è sufficiente la presenza di una delle predette basi.
Sul punto il Considerando 47 al GDPR, precisa che perché il legittimo interesse possa costituire una base giuridica del trattamento occorre tenere conto “delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.
Sarà quindi il titolare a svolgere una valutazione sulla sussistenza dell’interesse legittimo, anche in luogo del rapporto che intercorre con l’interessato. Il regolamento europeo riporta, a tal fine, due esempi: il primo del rapporto tra cliente (interessato) e fornitore (titolare) ed il secondo del rapporto tra dipendente (interessato) e datore di lavoro (titolare)
In ogni caso, la valutazione dovrà avere riguardo anche dell’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.
Tale giudizio potrà sempre essere rimesso alla ulteriore valutazione dell’Autorità di controllo.
Ne consegue che nelle ipotesi in cui non sussista questa “ragionevole aspettativa” prevarranno gli interessi ed i diritti fondamentali dell’interessato.
Sempre dal menzionato Considerando emerge inoltre che il legittimo interesse sussiste quando il titolare tratti i dati personali strettamente necessari a fini di prevenzione delle frodi.
Analogamente può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
Quest’ultimo aspetto genera tuttavia diverse perplessità fra gli operatori del settore. Infatti ci si interroga se sia sempre possibile trattare dati per marketing senza ricevere il consenso dell’interessato, laddove il titolare ravvisi un legittimo interesse.
In attesa che venga approvata la proposta del Regolamento ePrivacy, sulle comunicazioni elettroniche, che andrà a sostituire la direttiva 2002/58/CE (cd. Direttiva ePrivacy) e che all’art. 33 – nel ribadire il carattere intrusivo delle comunicazioni commerciali indesiderate nella vita privata degli utenti finali (indipendentemente delle tecnologie o canali impiegati – prevede quanto segue:
“…. Si giustifica pertanto la richiesta di consenso all’utente finale prima di inviare comunicazioni elettroniche commerciali a fini di commercializzazione diretta al fine di tutelare le persone dall’intrusione nella loro vita privata nonché il loro interesse legittimo. … E’tuttavia ragionevole consentire l’uso dei recapiti di posta elettronica nell’ambito di una relazione commerciale esistente finalizzato alla proposta di prodotti o servizi analoghi. Tale possibilità dovrebbe applicarsi alla stessa impresa che ha ottenuto i recapiti elettronici a norma del regolamento (UE) 2016/679.”,
le risposte si possono ottenere dalla normativa vigente.
Difatti, la direttiva e-Privacy (applicabile anche dopo l’entrata in vigore del GDPR) è stata recepita nel nostro ordinamento nel Titolo X del Codice per la protezione dei dati personali (artt. 121-139 D.Lgs 196/2003 integrato con le modifiche introdotte dal D.Lgs 101/2018).
In particolare, con riferimento al marketing diretto, l’art 130 del Codice della Privacy (D. Lgs 196/2003), rubricato “Comunicazioni indesiderate”, dispone che:
“Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5.
Tuttavia al comma 4°, la stessa norma ammette una deroga, il cd. “soft spam”:
“Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”
Tale ultima previsione non viene estesa anche alle comunicazione telefoniche o ad altre forme di trattamenti automatizzati, ma è applicabile solo alla posta elettronica.
Tutto ciò premesso, la base giuridica che legittima l’invio di comunicazioni commerciali è il consenso dell’interessato (art. 4, n. 11, GDPR). Tuttavia se l’interessato viene adeguatamente informato dal titolare sull’utilizzo dei suoi dati, non rifiuti il trattamento per quelle finalità (cd. opt-out) e/o non vi si opponga, il consenso non occorre.
Il marketing diretto ed il legittimo interesse
In definitiva, allo stato attuale, le strade percorribili per il titolare che intende trattare dati per finalità promozionali sono le seguenti:
- il consenso (informato, libero, specifico e documentato) che è la regola generale (art. 4, n. 11, GDPR);
- il “soft spam” (art. 130, comma 4, Codice Privacy), solo per le attività di marketing realizzate con strumenti di comunicazione elettronica;
- il sistema di “opt-out” (art. 130, comma 3-bis, Codice Privacy) per i dati presenti negli elenchi pubblici;
- il legittimo interesse (art. 6, lett. f), GDPR).
Il ricorso al legittimo interesse sarà tuttavia la via più tortuosa poiché dovranno sussistere, contemporaneamente, i fattori qui di seguito individuati, in difetto dei quali il trattamento sarà illecito.
- Il trattamento deve essere necessario per il perseguimento del legittimo interesse del titolare del trattamento (“principio di necessità”).
- Il titolare deve realizzare un apposito assessment di bilanciamento tra gli interessi del titolare e i diritti dell’interessato. Tale valutazione deve garantire che la sussistenza di un perfetto equilibrio fra il danno che patirebbe il titolare nel non procedere al trattamento e il danno che ne riceverebbe l’interessato qualora il trattamento avesse luogo (“principio di proporzionalità”).
- Deve sussistere una relazione tra il titolare e l’interessato. L’interessato è quindi un cliente del titolare.
- I messaggi promozionali devono essere inviati direttamente dal titolare e non da terzi.
- L’interessato deve avere una ragionevole aspettativa che i suoi dati vengano trattati dal titolare, in ragione della relazione che li lega.
- Il titolare deve avere reso l’informativa all’interessato prima di aver ottenuto i suoi dati, nella quale segnala espressamente che i dati raccolti verranno trattati per finalità di marketing diretto specificandone le modalità – non sono ammesse formule vaghe – e che può subito rinunciarvici.
- La frequenza delle comunicazioni commerciali non deve essere aggressiva ed in ogni caso proporzionale alle prerogative dell’interessato.
- Il contenuto delle comunicazioni deve riguardare prodotti e/o servizi analoghi a quelli già acquistati dal cliente.
- L’interessato deve essere posto nelle condizioni di esercitare i propri diritti in ogni momento (es. cancellazione, opposizione).
VP
