
Marketing, E-mail marketing e GDPR: le regole da seguire
4 Novembre 2020
Il nostro team Privacy da anni collabora con lo staff di comunicazione per trovare soluzioni adatte ad ogni contesto e creare ricchi database di mail profilate, con il dovuto consenso a norma di legge. Dalla nostra pluriennale esperienza nascono le seguenti riflessioni.
In un mondo sempre più digitalizzato, il marketing assume indubbiamente un ruolo centrale nelle scelte di business da parte delle aziende, le quali si trovano a dover gestire un numero elevato di contatti di clienti o potenziali clienti, spesso, con non poche difficoltà.
La prima domanda che qualsiasi Titolare del trattamento dovrebbe porsi è: sono autorizzato a trattare questi dati per finalità di marketing?
È fondamentale infatti tenere in considerazione che, il trattamento dei dati personali per finalità di marketing e/o digital marketing è soggetto a regole ben precise individuate dal Garante per la protezione dei dati personali all’interno dei suoi Provvedimenti (si veda a titolo esemplificativo Doc. Web n. 9120218 – Doc. Web n. 8983292) e nelle linee guida, tra cui “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 (Doc. Web n. 2542348).
Rapporto tra Regolamento Europeo Privacy e Marketing
Il Regolamento Europeo 2016/679 (GDPR) affronta brevemente la tematica del marketing in alcune disposizioni, tra cui il considerando 47, ove nell’ultimo capoverso prevede che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Il “legittimo interesse” è un tema molto spinoso, che richiede un’attenta valutazione da parte del Titolare del trattamento (es. attraverso una LIA – Legitimate Interest Assessment). Infatti, il legittimo interesse del Titolare non deve incidere sugli interessi, sui diritti e sulle libertà dell’interessato.
Ecco di seguito alcuni casi in cui è legittimo interesse del Titolare trattare i dati di un interessato:
- L’interessato fornisce spontaneamente i suoi dati al Titolare: ad esempio nell’ambito di una presentazione di sé stesso (biglietto da visita) oppure perché l’interessato contatta di sua sponte il Titolare (es. mandandogli una mail) oppure perché richiede informazioni su un prodotto o un servizio offerto dal Titolare.
- Il Titolare inserisce i dati di contatto dell’interessato all’interno del suo database perché ha preso contatti con lui, perché gli ha prodotto un’offerta per un prodotto o un servizio, perché deve rispondere a delle richieste dell’interessato.
In questi casi, in cui l’interessato è parte attiva, lo stesso può ben supporre che i suoi dati saranno trattati per gli scopi per i quali li ha volontariamente forniti. Restano fermi ovviamente i diritti riconosciuti dagli artt. 15-22 del GDPR, come il diritto di accesso, di rettifica, di cancellazione nonché il diritto ad un’informativa.
Attenzione però, quanto previsto dal Considerando 47 non può essere interpretato in modo estensivo. Tale disposizione, infatti, può trarre le Aziende in inganno e far pensare loro di poter utilizzare lecitamente i dati raccolti per l’invio di comunicazioni commerciali massive o per effettuare attività di telemarketing, senza dover necessariamente passare dal consenso dell’interessato.
Non è proprio così, vediamo insieme perché.
La base giuridica per il trattamento dei dati
È necessario innanzitutto individuare la corretta base giuridica per il trattamento dei dati personali per finalità di marketing, ovvero il consenso dell’interessato.
L’esatto riferimento normativo in materia è dato dall’art. 130 D. Lgs 196/2003 rubricato “Comunicazioni indesiderate”, così come novellato dal D. Lgs 101/2018, il quale disciplina l’invio di comunicazioni commerciali, promozionali e pubblicitarie non desiderate.
Nel dettaglio, il comma 1 dell’art. 130 prevede che: “Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5”.
Segue il comma 2: “La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.”.
Con il termine altro tipo si fa riferimento ai sistemi di messaggistica istantanea e social media quali ad esempio WhatsApp, Skype etc., ad oggi comunemente utilizzati.
Le caratteristiche del consenso
Nel raccogliere il consenso degli interessati, le Aziende devono inoltre porre attenzione alle modalità di raccolta dello stesso. La normativa in materia di protezione dei dati personali richiede infatti che il consenso sia:
- Informato: rilasciato in presenza di una valida informativa privacy ex 13-14 GDPR;
- Libero: espresso liberamente e mai condizionato. Ricorda di fare attenzione all’utilizzo di checkbox pre-flaggati nei form di raccolta dati dei siti internet;
- Specifico e granulare rispetto ad ogni singola finalità di trattamento. Ad esempio, non si predispone un unico consenso sia per l’invio di newsletter sia per la profilazione o per la comunicazione del dato a società terze;
- Inequivocabile, documentato per iscritto o con altre tecnologie: il Titolare del trattamento deve essere in grado di dimostrare il consenso rilasciato dall’interessato, attraverso una dichiarazione scritta o comunque un’azione positiva. Consigliato il meccanismo del “doppio opt-in”, il quale prevede l’invio tramite mail di un link mediante il quale confermare l’iscrizione ad es. al servizio newsletter;
- Facilmente revocabile in qualsiasi momento, utilizzando, se possibile, gli stessi canali utilizzati per la raccolta del consenso: unsubscribe newsletter.
Casi particolari e consenso
Sul punto, sicuramente interessante, è ricordare come il consenso, quale regola generale (opt-in) sia richiesto anche:
- Per l’invio di comunicazioni a mail di enti, associazioni e persone giuridiche (es. ufficio@ragionesociale.it) in quanto “contraenti” ed “utenti” del servizio ex art. 121 D. Lgs 196/2003;
- Per l’invio di mail agli indirizzi PEC pubblicati nell’”indice nazionale degli indirizzi PEC delle imprese e delle professioni (Doc. Web n. 2542348);
- Per l’invio di comunicazioni social spam, marketing virale e marketing mirato (Doc. Web n. 2542348);
- Per l’utilizzo di mail o numeri di cellulare pubblicamente disponibili in quanto presenti in pubblici registri o siti internet (Doc. Web n. 29840).
Il consenso è sempre richiesto?
Il Codice privacy all’art. 130 comma 4 introduce un’importante eccezione alla preventiva manifestazione del consenso da parte dell’interessato, ovvero il c.d. Soft-Spam: “Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”.
In deroga dunque alla regola generale, il Codice privacy offre una semplificazione esclusivamente in tema di e-mail marketing, laddove prevede che, al ricorrere di determinate condizioni, il preventivo consenso dell’interessato non deve essere raccolto.
Nell’applicare tale eccezione le Aziende, Titolari del trattamento, devono quindi verificare la presenza simultanea delle seguenti condizioni:
- Il destinatario della comunicazione (interessato: persona fisica identificabile) deve essere un cliente della Società Titolare del trattamento;
- La comunicazione commerciale deve avvenire esclusivamente tramite posta elettronica e deve riguardare prodotti o servizi analoghi a quelli oggetto delle pregresse vendite;
- L’interessato deve essere adeguatamente informato, ovvero l’informativa privacy deve prevedere il Soft-Spam quale specifica finalità di trattamento;
- L’interessato deve potersi opporre agevolmente e gratuitamente in qualsiasi momento nonché chiaramente in occasione dell’invio di ogni nuova comunicazione (opt-out).
In questo caso la base giuridica che legittima le Aziende all’invio di comunicazioni commerciali è il legittimo interesse del Titolare del trattamento (Art. 6, par. 1, lett. f) GDPR).
È bene tuttavia ricordare che trattasi di un’eccezione ricca di insidie e che necessita di esser profondamente valutata e ponderata dalle Aziende.
Grazie alla collaborazione con il team di comunicazione troviamo soluzioni adatte ad ogni contesto e creare ricchi database di mail profilate, con il dovuto consenso a norma di legge.