I recenti provvedimenti n. 130/2019 (caso “Pampers”) e n. 133/2019 (caso “Mediaworld”) emessi dal Garante Privacy offrono l’occasione per fare il punto su quali siano le regole a cui ogni azienda dovrebbe attenersi per fare marketing nel rispetto della normativa in materia di protezione dei dati personali.

Cosa si intende per marketing diretto? Quale è la differenza tra marketing effettuato con o senza l’utilizzo di strumenti elettronici automatizzati?

Ai sensi dell’art. 130 comma 1 del novellato Codice Privacy per marketing diretto si intende l’attività svolta a distanza da una azienda al fine di inviare materiale pubblicitario, di trasmettere comunicazioni commerciali, ovvero di effettuare vendite dirette di prodotti o servizi o ricerche di mercato.

In base alle modalità che vengono utilizzate per svolgere tali attività, la normativa distingue tra marketing diretto svolto mediante l’utilizzo di strumenti elettronici automatizzati e marketing diretto svolto senza l’utilizzo dei medesimi.

A tal proposito si rileva che soltanto due sono gli strumenti qualificati come non automatizzati: la posta cartacea (es: volantini promozionali recapitati nella cassetta della posta) e le telefonate con operatore (es: chiamate da call center).

Vengono considerati strumenti elettronici automatizzati invece tutte le comunicazioni elettroniche effettuate mediante posta elettronica (e-mail), telefax, MMS o SMS, messaggi Whatsapp e affini, nonché le telefonate effettuate con l’utilizzo di sistemi automatizzati di chiamata senza l’intervento di un operatore.

Tale distinzione rileva in quanto, a seconda della categoria a cui appartiene il mezzo utilizzato dall’azienda, sono diverse le regole che essa dovrà rispettare per poter trattare i dati personali.

Marketing diretto senza l’utilizzo di strumenti elettronici automatizzati: serve il consenso?

La normativa prevede che sia lecita l’attività di marketing mediante posta cartacea o telefonate con operatore “nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali (…) in un registro pubblico delle opposizioni” (v. art. 130 comma 3-bis del Codice Privacy).

In questi casi quindi non è necessario ottenere il previo consenso da parte dell’interessato: sarà sufficiente soltanto verificare che la sua utenza o il suo indirizzo postale non siano stati iscritti nel registro pubblico delle opposizioni.

A partire dal 31 gennaio 2011, infatti, ogni abbonato può opporsi alla ricezione di chiamate promozionali iscrivendosi nell’apposito registro istituito con il D.P.R. 178/2010; tale facoltà è stata successivamente estesa, a partire dal 6 maggio 2019, anche alla pubblicità cartacea inviata agli indirizzi postali che sono presenti negli elenchi telefonici pubblici e risultano associati ai numeri di telefono (v. D.P.R. n. 149/2018).

Dal punto di vista operativo, sulle aziende che vogliono utilizzare questi mezzi per fare attività di marketing incombe quindi soltanto l’onere di consultare il registro prima di intraprendere una campagna promozionale onde evitare di esporsi alle sanzioni previste per la violazione del diritto di opposizione che, ai sensi dell’art. 83 par. 5 del GDPR, possono arrivare fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo relativo all’esercizio precedente (se superiore).

Marketing diretto con utilizzo di strumenti elettronici automatizzati: quali caratteristiche deve avere il consenso dell’interessato?

A differenza di quanto visto sopra, per quanto riguarda il marketing effettuato mediante strumenti elettronici automatizzati quali e-mail, MMS, SMS e affini, il Codice Privacy richiede l’espresso consenso dell’interessato.

Nello specifico, il consenso deve essere esplicito, libero, informato, specifico (v. art. 23 e 130 Codice Privacy) e preventivo; per tale ragione di regola anche l’e-mail inviata ad un soggetto non cliente e diretta ad ottenere il suo consenso al successivo invio di comunicazioni promozionali viene qualificata come spam (e quindi come trattamento illecito di dati personali). E’ invece considerato lecito effettuare chiamate verso utenze non iscritte nel registro delle opposizioni allo scopo di ottenere il consenso al successivo invio di comunicazioni di marketing mediante l’utilizzo di strumenti elettronici automatizzati.

Il consenso deve inoltre essere specifico e distinto rispetto alle altre finalità di trattamento: sul punto è recentemente tornato a pronunciarsi il Garante (provv. n. 130 del 12.6.2019 – c.d. caso “Pampers” – e n. 133 del 20.6.2019 – c.d. caso “Mediaworld), ribadendo che non è possibile richiedere un unico consenso per più finalità diverse (es: cumulativo per finalità promozionali, di invio di newsletter, analisi statistiche, sondaggi di opinione) né, tantomeno, è possibile assoggettare la possibilità di registrarsi ad un sito e partecipare al programma di raccolta punti (finalità, queste, per le quali la legge non richiede la manifestazione del consenso) alla previa manifestazione del consenso al trattamento dei dati per finalità promozionali.

In simili ipotesi è ravvisabile non solo una manifesta violazione del principio di autodeterminazione dell’interessato ma anche la violazione dei principi di correttezza e finalità del trattamento di cui all’art. 11 comma 1 lett a) e b) del Codice Privacy e art. 5 par. 1 e 2 del GDPR.

Per converso viene considerata invece lecita la richiesta di manifestazione di un consenso per il marketing cumulativo per l’utilizzo di più strumenti elettronici automatizzati (es: via SMS, e-mail e Whatsapp), dovendo tuttavia in tal caso essere elencati in modo dettagliato tutti i mezzi di comunicazione che si intendono utilizzare, pena l’inutilizzabilità di quelli non menzionati nell’informativa.

La revocabilità del consenso precedentemente manifestato: tra accountability e privacy by design.

La normativa riconosce all’interessato non solo, come sopra ricordato, il diritto ad esprimere liberamente il proprio consenso al trattamento dei dati per finalità di marketing, ma anche quello “di cambiare idea” in un momento successivo, revocando cioè il consenso precedentemente manifestato.

Di conseguenza per rispettare la normativa le aziende devono, da un lato, porre in essere le misure idonee per garantire all’utente la possibilità di revocare il consenso in modo agevole e gratuito e, dall’altro, devono programmare i propri sistemi informatici in modo da garantire il tempestivo aggiornamento dei database, onde evitare di continuare ad inviare comunicazioni promozionali a chi ha revocato il consenso.

La necessità per il titolare del trattamento di progettare ed implementare i propri sistemi con misure tecniche ed organizzative “volte ad attuare in modo efficace i principi di protezione dei dati … e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati” (artt. 5, par. 2, e 25 del GDPR) è una diretta espressione dei principi di accountability e privacy by design introdotti dal Reg. Ue 2016/679 (GDPR).

In concreto tali principi si traducono nell’obbligo per l’azienda di adottare sistemi che le consentano di ricostruire in modo puntuale, rispetto a ciascun interessato, le seguenti informazioni:

– da chi e quando sono stati acquisiti i dati dell’interessato;

– quale era il testo dell’informativa resa all’interessato ex art. 13 GDPR;

– con quali modalità è stata resa l’informativa;

– quali sono state le opzioni di consenso (o dissenso) formulate dall’interessato in sede di raccolta dei dati e quali le eventuali variazioni successive.

Quando si può fare a meno del consenso dell’interessato? L’eccezione del c.d. soft spam.

Posta la regola generale secondo cui è sempre necessario richiedere il consenso per fare marketing diretto con strumenti elettronici automatizzati, l’art. 130 comma 4 del Codice Privacy introduce un’importante eccezione disponendo che non è necessario il previo consenso dell’interessato per l’invio di comunicazioni mediante e-mail o posta cartacea se ricorrono le seguenti condizioni:

– il destinatario della comunicazione è già cliente o è un ex cliente della società;

– la comunicazione commerciale riguarda “servizi analoghi a quelli oggetto della vendita”;

– nell’informativa privacy l’interessato è stato informato che i suoi dati potranno essere utilizzati anche per finalità di soft spam;

– l’interessato è stato informato del diritto di opt-out, cioè del diritto di rifiutare in maniera agevole e gratuita l’invio di simili comunicazioni.

In simili ipotesi l’invio di e-mail o posta cartacea per finalità di marketing è quindi considerato lecito anche in assenza di esplicito consenso, dovendosi ravvisare nel legittimo interesse del titolare ex art. 6 par 1 lett. f) GDPR la base giuridica che legittima il trattamento dei dati.