Il tema dei rapporti tra privacy e direct marketing è quantomai attuale tanto da essere stato uno dei più discussi durante i lavori del Privacy Symposium 2023 di Venezia, generando numerose riflessioni e confronto tra specialisti del settore e addetti ai lavori.
In particolare, lo speech “Privacy vs Direct Marketing: European and Italian approaches” tenuto da chi scrive nell’ambito dell’Italian Track coordinato da Luca Bolognini e all’interno del più ampio novero di argomenti del tavolo magistralmente moderato da Diego Fulco, ha toccato in modo molto verticale le problematiche legate alla disciplina del direct marketing nel nostro Paese, confrontata con quelle di altri paesi europei (Francia, Germania, Spagna) ed extra europei (UK).
Mediante analisi testuale dell’art. 130 del d.lgs. 196/03 (“Codice Privacy”) e mediante il confronto con l’art. 13 della Direttiva e-Privacy e la sua applicazione da parte dei suddetti Paesi esteri, ne abbiamo esplorato le difformità cercando di evidenziare le oggettive difficoltà operative che le previsioni ivi contenute comportano per gli operatori di mercato.
Indice degli argomenti
Comunicazioni indesiderate: obsolescenza normativa in UE
Il primo elemento critico emerso è l’oggettiva obsolescenza di approccio della normativa europea in materia di comunicazioni indesiderate, ripresa dal nostro legislatore, nell’art. 130.
La questione affrontata è relativa alla coerenza, rispetto alla sensibilità collettiva, di una norma che ritiene più afflittiva la ricezione di una e-mail rispetto ad una telefonata con operatore.
Questa impostazione risponde evidentemente ad una necessità avvertita in una “epoca” in cui per connettersi al web (internet, in quel momento) e scaricare le e-mail si utilizzava un modem a 56k. Ciò è confermato anche dai Considerando 40, 42 e 44 della Direttiva e-Privacy che richiamano espressamente gli oneri e i costi in capo all’utente.
Lo scenario dopo oltre venti anni è notevolmente mutato: infatti, per la societas il “nemico numero uno” è il telemarketing.
Difficile, oggi, ritenere che quattro o cinque e-mail al giorno, da cui ci si può liberare compulsando un link “unsubscribe” o assegnandole alla cartella “spam”, siano più afflittive di una serie di telefonate all’ora di cena o durante una riunione.
Le azioni poste in essere per contrastare il telemarketing illegale sono plurime e, tra le tante, citiamo la riforma del registro delle opposizioni, il codice di condotta in materia di telemarketing, il tavolo AGCM contro il Caller ID Spoofing, il canale di segnalazione diretta all’Autorità Garante. Riteniamo che potranno spiegare la loro efficacia in un breve/medio periodo, ma la loro analisi non è oggetto del presente contributo.
È possibile ribaltare il paradigma, prevedendo una disciplina meno dura per le campagne di direct marketing attraverso e-mail?
A livello nazionale, no.
A meno di una modifica legislativa a livello europeo, quindi, sarà difficile facilitare la vita alle imprese e riallineare alle reali percezioni dei consumatori questa parte di disciplina.
Ambito soggettivo su cui impatta la norma
L’Art. 130 del Codice Privacy tutela i contraenti e gli utenti (ex “abbonati”) siano esse persone fisiche e persone giuridiche.
Il significato è chiaro.
Se per finalità di marketing diretto o di ricerca di mercato, si intende contattare un numero aziendale (esempio centralino) o inviare una e-mail ad un indirizzo aziendale (esempio info@…) occorre raccogliere preventivamente un consenso, esattamente come per contattare un dato di contatto personale.
Tale chiusura è una peculiarità solamente italica ed iberica. Infatti, nel recepimento della Direttiva e-Privacy sia Francia, UK e Germania hanno espressamente escluso l’applicabilità al Business To Business.
Non sarebbe opportuno, allora, facilitare la vita a chi fa impresa, offrendo la possibilità di agire in regime di opt-out per effettuare attività di direct marketing (e, purtroppo, ancora anche di ricerca di mercato, e vedasi infra per maggiore approfondimento sul tale punto) nei confronti delle persone giuridiche, essendo de facto una limitazione concorrenziale per le aziende nazionali?
A parer di chi scrive, sì.
Ciò è percorribile a livello nazionale? Di nuovo: sì.
Ambito oggettivo su cui impatta la norma
È sostenibile e corretta l’inclusione delle ricerche di mercato tra le attività impattate dalla disciplina delle comunicazioni indesiderate.
Come noto, la Direttiva e-privacy impone (art. 13) l’adozione di un regime “opt-in” per le comunicazioni inviate ai fini di marketing diretto – per cui la predetta finalità può essere conseguita solo previa acquisizione del consenso dell’utente a cui sono dirette.
Tale previsione, che costituisce un punto fermo della materia e trova piena attuazione nella normativa di recepimento dei singoli Stati Membri, permette di limitare le ipotesi di turbativa della privacy di utenti ed abbonati ai servizi di comunicazione elettronica, conseguenti soprattutto al fenomeno dello “spamming”.
Tale è dunque l’interesse meritevole di tutela ai fini della normativa comunitaria. Tuttavia, il legislatore italiano, nel recepire all’art. 130 del Codice Privacy la disposizione appena citata, ha specificato che l’obbligo di acquisire il consenso preventivo dell’utente/contraente si estende a “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per […] per il compimento di ricerche di mercato”.
Il legislatore italiano ha pertanto equiparato la finalità del compimento di ricerche di mercato a quelle, così come elencate dalla norma appena citata, dell’invio di materiale pubblicitario o di vendita diretta o di comunicazione commerciale: tutte ricadenti nella più ampia nozione di “comunicazione indesiderata a scopo di commercializzazione diretta” (marketing diretto); e ciò con una lettura restrittiva che, come si vedrà tra poco, non trova alcun conforto nel panorama europeo né, soprattutto, pare attuativa dei principi discendenti dalla direttiva comunitaria in tema di comunicazioni elettroniche (cfr. in particolare: Considerando 40 e il già citato art 13 della Direttiva e-privacy).
I chiarimenti delle Autorità in UK, Belgio e Spagna
L’approccio italiano al fenomeno delle ricerche di mercato, come anticipato, appare un unicum nel panorama normativo di alcuni Stati europei in materia di marketing diretto.
Il Regno Unito, la Spagna e il Belgio, hanno difatti chiaramente escluso la necessità del previo consenso dell’utente ai fini del compimento di ricerche di mercato.
Andando con ordine:
- L’ICO (Information Commissioner’s Office) ha affermato, nelle proprie linee guida sul direct marketing (Direct Marketing Guidance)[1], che la normativa sul marketing diretto non trova applicazione per i contatti finalizzati al compimento di ricerche di mercato “genuine”.
- Anche l’APD (Autorité de protection des données), con provvedimento del 17 gennaio 2020, n. 01 (Reccomandation relative aux traitements de données à caractère personnel à des fins de marketing direct) ha chiarito che non si applicano le norme relative al marketing diretto quando il contatto avviene con soggetti, ad esempio consumatori, per effettuare ricerche di mercato o sondaggi di gradimento, purché la comunicazione avvenga solo a tale scopo. In entrambi i provvedimenti appena citati, le autorità hanno precisato che se le comunicazioni commerciali sono mascherate come ricerche di mercato, ma hanno in realtà la finalità di promuovere prodotti o servizi (cd. “sugging” – vendita con pretesto della ricerca), allora si applicherà la normativa sul marketing diretto e, conseguentemente, le comunicazioni saranno considerate illecite se effettuate senza il consenso del destinatario.
- In Spagna, un simile risultato è stato raggiunto dall’AEPD (Agencia Española de Protección de Datos) che in via interpretativa ha chiarito, con il provvedimento del 10 novembre 2022, che l’art. 23 della LOPDGDD (la legge sulla data protection spagnola) fa divieto di inviare comunicazioni commerciali, ma non di effettuare chiamate per effettuare sondaggi.
Infine, oltralpe, lo scenario varia considerevolmente: in Francia, infatti, il tema non è stato (ad oggi) ancora oggetto di interventi interpretativi delle autorità competenti; ad ogni modo, il dato normativo (di cui al novellato articolo L34-5 del Codice delle comunicazioni postali ed elettroniche) in tema di marketing diretto è privo di qualsiasi riferimento alle ricerche di mercato.
La pronuncia del Tribunale di Colonia in Germania
In Germania, invece, il tema è stato oggetto di una interessante, seppur abbastanza risalente, pronuncia del Tribunale regionale superiore di Colonia del 30 marzo 2012, che ha fornito alcuni chiarimenti in ordine all’applicabilità della normativa tedesca in materia di “molestie inaccettabili” (di cui all’art. 7 del Gesetz gegen den unlauteren Wettbewerb – UWG (Act against Unfair Competition) alle ricerche di mercato.
In sintesi, secondo il Giudice tedesco, ai fini dell’applicabilità della normativa anzidetta, rileva esclusivamente la sussistenza (da verificare on a case-by-case basis) di un “collegamento oggettivo” delle ricerche di mercato “con la vendita dei beni e con altre attività commerciali dell’azienda”; dovendosi invece escludere, in via generale, che le indagini di carattere generale, comprese le indagini per ricerche di mercato e di opinione, che non servono direttamente alla vendita o all’acquisto di beni o servizi, rientrino nell’ambito di applicazione della normativa sul marketing diretto.
Conclusioni sul punto
Il rischio di una regolamentazione eccessivamente restrittiva, quale che è la via optata solitariamente dal legislatore italiano, potrebbe condurre ad un falsamento della concorrenza effettiva tra le imprese italiane e quelle europee, proprio in virtù dell’estrema importanza che, oramai in modo imprescindibile, le ricerche di mercato rivestono per le imprese: tali pratiche commerciali costituiscono infatti strumenti fondamentali per determinare la soddisfazione del cliente, la sua opinione o il livello di notorietà di prodotti o marchi.
Alla luce di quanto sin qui esaminato, sotto questo profilo, nella misura in cui tali finalità sono perseguite senza uno scopo (mascherato) di commercializzazione diretta di prodotti e/o servizi, le relative telefonate o comunicazioni di posta elettronica non dovrebbero costituire comunicazioni indesiderate (ai sensi della normativa e-privacy) – al pari di quanto già avviene nel resto dell’Europa.
A seguito del focus posto specificamente sul tema si possono dunque individuare quantomeno due possibilità utili per affrontare le criticità emerse: in primis, ad esempio, attraverso la proposta di Regolamento e-privacy, che potrebbe rappresentare un’opportunità di uniformazione della normativa in materia di marketing diretto, soprattutto per quanto concerne il tema in esame.
Ovvero, laddove tale Regolamento nulla dovesse precisare con riguardo alle ricerche di mercato, sarebbe auspicabile un intervento del legislatore o in subordine il Garante della protezione dei dati personali (“Garante Privacy”) atto a specificare, ad esempio, attraverso Linee Guida la portata applicativa dell’art. 130 del Codice Privacy, fornendo una definizione analitica di ricerche di mercato (ad es. chiarendo se al suo interno debbano ritenersi comprese le comunicazioni effettuate per finalità di customer satisfaction, di indagine di opinione ecc.) e/o ulteriori criteri per stabilire quali attività ricadano o meno nell’ambito applicativo della normativa sul marketing diretto.
Alla domanda, quindi, se sarebbe opportuno espungere le ricerche di mercato dal novero dell’articolo 130, la risposta è, a parere di chi scrive: sì.
Alla domanda se ciò è fattibile a livello legale, in ambito nazionale, la risposta è, di nuovo: sì.
La disciplina eccessivamente stringente del soft spam
Come noto, in Italia, si può percorrere la strada del soft spam solo ove si intenda contattare persone fisiche (interessati), esclusivamente mediante le coordinate di posta elettronica raccolte nel contesto della vendita di un prodotto o di un servizio, per proporre prodotti analoghi a quelli oggetto della vendita.
Ma cosa stabilisce la Direttiva e-privacy? Nel dettaglio:
- parla di clienti e non di interessati (cfr. considerando 41);
- prevede che il soft spam può essere effettuato solo su indirizzi di posta elettronica;
- conferma che tali coordinate devono essere state indicate dal cliente nel contesto della vendita di un prodotto/servizio;
- sussistendo tali condizioni l’indirizzo di posta elettronica può esser utilizzato “a scopi di commercializzazione diretta di propri analoghi prodotti o servizi”.
In vero, una lettura estensiva da parte dell’Autorità Garante per la protezione dei dati personali vi è già stata, nel Provvedimento in materia di semplificazione per le imprese, che individua la possibilità di effettuare soft spam anche su indirizzi di posta cartacea[2].
Nel recepimento della Direttiva e-Privacy, gli altri paesi europei si sono attenuti al dettato normativo del legislatore comunitario, ma con alcune sfumature. Infatti, in UK è stato inserito “nel corso della vendita”, mentre in Germania ci si riferisce “in relazione alla vendita”, ed infine in Spagna la norma prevede “precedente rapporto contrattuale”.
E torniamo alle ormai consuete due domande: sarebbe auspicabile una modifica legislativa o un intervento interpretativo volti ad alleggerire la disciplina del soft spam?
A nostro parere, assolutamente sì.
È percorribile a livello nazionale? Con qualche forzatura, riteniamo di sì, se non a livello normativo, quantomeno con un ulteriore intervento interpretativo da parte dell’Autorità Garante in materia di protezione dei dati personali.
Squilibrio a livello di competitività tra imprese
Quinto ed ultimo elemento critico, forse il più importante: la difformità disciplinare crea uno squilibrio a livello di competitività tra imprese che operano nei diversi paesi dell’Unione Europea.
Tale squilibrio potrebbe essere superato solo in due modi:
- da una riforma, al livello nazionale, che vada nella direzione di uniformare la disciplina a quella degli altri paesi europei sempre nell’alveo delle possibilità offerte dalla Direttiva E-Privacy;
- da un approccio Regolamentare alla disciplina E-Privacy da parte dell’Unione Europea.
Purtroppo, tale seconda ipotesi sembra ben lungi dal potersi concretizzare.
È quindi urgente e auspicabile un intervento legislativo, a livello nazionale, volto a sfruttare tutte le aperture che la disciplina europea concede per agevolare l’attività di impresa senza comprimere i diritti di contraenti ed interessati.
In alternativa, laddove la normativa a maglie strette del legislatore possa essere efficacemente allargata con un intervento interpretativo del Garante Privacy, come anticipato in tema di ricerche di mercato, sarebbe altresì auspicabile un aggiornamento delle ormai risalenti linee guida sul marketing diretto che riveli un approccio più coerente e fornisca una definizione chiara della nozione di ricerche di mercato e dei limiti per il loro compimento.
NOTE
Le linee guida dell’ICO intervengono sul quadro normativo precedente alla Brexit, e dunque sul “Privacy and Electronic Communications (EC Directive) Regulations 2003” che rappresenta la normativa di recepimento in materia di privacy. ↑
Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili – 19 giugno 2008 – doc. web n. 1526724. ↑