L’invio di e-mail per fini di marketing ha implicazioni in materia di privacy che non possono essere trascurate: è necessario, innanzitutto, individuare le basi giuridiche idonee per raggiungere la necessaria compliance al GDPR.
Indice degli argomenti
Invio di e-mail per fini di marketing: il contesto
La posta elettronica, d’altronde, è il canale di comunicazione più immediato che le aziende di ogni settore hanno a disposizione per informare i propri clienti attuali e potenziali sulle novità e caratteristiche dell’attività svolta, per fornire offerte commerciali e promozionali in relazione ai prodotti e servizi proposti anche in linea con le preferenze del destinatario.
Permette alle imprese, col minimo sforzo economico ed organizzativo, di tenere costantemente aggiornati gli utenti su nuovi prodotti e offerte, su eventi e attività che vedono coinvolta l’azienda nonché potenzialmente di fidelizzare ovvero accrescere la clientela. Si può pertanto comprendere l’interesse che ruota intorno alla possibilità di sfruttare, senza particolari adempimenti, le potenzialità di tale mezzo di comunicazione per fini commerciali.
Secondo alcuni commentatori, alla luce del GDPR, applicabile dallo scorso 25 maggio 2018, tale agognata possibilità potrebbe concretizzarsi grazie al ricorso al c.d. “legittimo interesse” del titolare quale base giuridica idonea a legittimare il trattamento dei dati per fini di marketing e ciò anche in assenza di autorizzazione da parte dell’interessato.
Preliminarmente, si ricorda che ai sensi delle disposizioni del GDPR, ogni trattamento di dati deve infatti avere il proprio fondamento in una idonea base giuridica (art. 6). Tra tali fondamenti di liceità figura proprio il legittimo interesse del titolare del trattamento.
Il perseguimento di un legittimo interesse nell’invio di e-mail per fini di marketing si pone così come base giuridica alternativa alle altre previste nell’art. 6 del GDPR per cui, ove applicabile, il titolare può procedere al trattamento anche in assenza del consenso da parte dell’interessato, di un rapporto contrattuale (o di misure precontrattuali), di obblighi legali, di esigenze di salvaguardia di interessi vitali dell’interessato o di altra persona fisica, di esercizio di poteri pubblici.
Le condizioni del legittimo interesse
Ma, affinché tale legittimo interesse possa costituire la condizione giuridica alla base del trattamento dei dati, è necessario che siano bilanciati i diritti tra il titolare e l’interessato.
Il bilanciamento fra legittimo interesse del titolare (o del terzo) e diritti e libertà dell’interessato non spetta però più all’Autorità Garante come nel previgente sistema normativo retto dal solo Codice Privacy (abrogato art. 24), ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di «responsabilizzazione» introdotto dal Regolamento in materia di protezione dei dati.
Oggi, pertanto, ogniqualvolta il titolare voglia ricorrere alla base legale del legittimo interesse per conferire liceità ad un suo trattamento è tenuto previamente ad accertare che il proprio operato sia conforme alle ragionevoli aspettative del soggetto interessato dal trattamento in esame.
Tale valutazione, autonomamente svolta dal titolare medesimo, deve quindi basarsi su ciò che l’interessato potrebbe ragionevolmente attendersi rispetto al trattamento dei propri dati da parte del titolare con cui abbia rapporti (o venga in contatto).
Ma si tratta evidentemente di un’operazione di autoanalisi alquanto complessa, che ben si potrebbe prestare a forzature e abusi nel segno di logiche commerciali aggressive e poco attente alla tutela dei diritti degli interessati in tema privacy.
Del resto, demandare l’applicazione di una norma alla valutazione discrezionale su contrapposti interessi a chi di tali interessi ne è portatore, potrebbe non essere esente da problematiche.
A rendere ancora più complessa la valutazione circa l’applicazione da parte dei titolari del legittimo interesse quale base legale del trattamento è la stessa lettera della norma europea.
Come sopra accennato, infatti, il considerando 47 del GDPR, dopo aver chiarito che la sussistenza dei legittimi interessi si ha quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, conclude – quasi in antitesi – affermando che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, così finendo per ingenerare non poca confusione in capo agli interpreti e ai titolari del trattamento.
E del resto, una simile esemplificazione di legittimo interesse, se applicata in modo letterale e decontestualizzata dal più complesso quadro normativo comunitario e nazionale, potrebbe far ritenere che trattare dati personali per finalità di marketing diretto, ad esempio per inviare comunicazioni commerciali via posta elettronica sia sempre lecito poiché basato sul legittimo interesse del titolare a trattare dati per le suddette finalità e ciò, pertanto, anche in assenza di uno specifico consenso informato da parte dell’interessato, prestato ai sensi del GDPR.
Invio di e-mail per fini di marketing: deroga al consenso
Opportuno ricordare che ai sensi dell’art. 130 commi 1 e 2 del D.lgs. 196/2003 (cosiddetto “Codice Privacy”), modificato dal D.lgs. 101/2018 che proprio lo ha adeguato al GDPR e, pertanto, a tutt’oggi pienamente vigente anche dopo l’entrata in vigore del GDPR, il consenso è necessario per comunicazioni promozionali e pubblicitarie inviate attraverso strumenti automatizzati (e-mail, SMS, MMS, fax e telefonate automatizzate senza operatore), mentre vale una sorta di deroga al consenso unicamente per comunicazioni di marketing effettuate mediante strumenti non automatizzati (posta cartacea e telefonate con operatore).
In questi casi, resta inoltre salvo il principio secondo il quale una tale attività di marketing è possibile esclusivamente nei confronti di quei soggetti che non risultino iscritti al Registro Pubblico delle Opposizioni così come istituito dal D.P.R n° 178/2010.
Sempre in base al disposto della predetta norma nazionale (art. 130 comma 4 del Codice Privacy) nonché in conformità allo spirito del GDPR per quanto sopra accennato, però, il consenso non è necessario quando il titolare, a fini di vendita diretta di propri prodotti o servizi, utilizza gli indirizzi di posta elettronica raccolti presso gli interessati nel contesto della vendita di un prodotto o di un servizio, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e non vi sia il rifiuto da parte dell’interessato a tale uso, sia inizialmente che in occasione di successive comunicazioni, con la ulteriore precisazione che in ogni comunicazione deve essere data l’informazione della possibilità di opporsi in ogni momento al trattamento.
In un simile caso, infatti, sarebbe innegabile la sussistenza di un legittimo interesse del titolare idoneo a giustificare il trattamento dei dati per finalità di marketing diretto posto che l’interessato, al momento e nell’ambito della comunicazione dei dati personali per procedere a concludere contratti aventi a oggetto beni o servizi del titolare, può ragionevolmente attendersi che in ragione della relazione instauratasi col titolare, quest’ultimo effettui un trattamento ulteriore dei propri dati a fini di marketing afferente i medesimi beni o servizi.
Tale previsione normativa del nostro Codice Privacy si conforma del resto con l’art. 13 della direttiva 2002/58/CE (cosiddetta direttiva e-Privacy) che recepisce, la quale fissa regole specifiche volte a garantire la riservatezza delle comunicazioni e la tutela dei dati personali nel settore delle comunicazioni elettroniche.
Quest’ultima verrà a breve aggiornata e sostituita da un apposito Regolamento e-Privacy, che si occuperà in modo ancora più specifico della tutela delle comunicazioni elettroniche, e a tutt’oggi, quale legge speciale, deve ancora prevalere su quella generale (GDPR).
Conclusione
Pertanto in conclusione, sulla base del combinato disposto delle previsioni del GDPR, del Codice Privacy e della direttiva e-Privacy, alle sempre numerose aziende che pongono il quesito circa la possibilità di utilizzare i dati di contatto di soggetti coi quali non hanno intrattenuto rapporti commerciali, né hanno prestato il consenso, per finalità di marketing, invocando il proprio legittimo interesse come base legale del trattamento, non si può che consigliare grande prudenza e attenta riflessione in merito al prescritto bilanciamento degli interessi coinvolti.
Nel caso poi – maggiormente frequente – in cui si voglia effettuare l’attività di marketing diretto a mezzo e-mail, restano (per ora) ferme le previsioni di cui all’art. 130 del Codice Privacy che, come detto, salvo casi molto limitati, impongono ancora l’acquisizione del consenso dell’interessato, consenso inoltre che, dopo la data di efficacia del GDPR, per essere validamente raccolto dovrà presentare tutte le caratteristiche individuate dal medesimo Regolamento.
