Sommario: 1. Il tema - 2. Il marketing nel GDPR: il consenso del soggetto interessato - 3. Il cd. soft-spam (o marketing diretto), basato sul legittimo interesse del Titolare del trattamento.
1. Il tema.
Al fine di individuare quali sono le sorti dell'attività di marketing alla luce della nuove disposizioni in materia di data protection, risulta necessario prendere, innanzitutto, come riferimento il Regolamento UE n. 679/2016 (di seguito "GDPR"), il Titolo X (intitolato "Comunicazioni Elettroniche") del D.Lgs. n. 196/2003 (cd. Codice della Privacy) così come armonizzato dal D.Lgs. n. 101/2018 ed, infine, i numerosi provvedimenti[1] mediante i quali il Garante della protezione dei dati personali (di seguito "Garante") è intervenuto sull'argomento, fornendo chiarimenti e prescrivendo misure[2].
2. Il marketing nel GDPR: il consenso del soggetto interessato.
E' necessario, in primo luogo, fare riferimento all'insieme di quelle norme che il GDPR individua come condizioni di liceità del trattamento e, dunque in particolar modo, l'articolo 6 paragrafo 1 lettera a) del GDPR, il quale subordina la liceità del trattamento alla presenza del consenso espresso del soggetto interessato, ora definito all'articolo 4 n. 11 del GDPR come "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con il quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento": nello specifico, in ossequio all'art. 5 del GDPR per poter essere valido il consenso deve essere informato (ossia preceduto da chiare indicazioni date dal Titolare del trattamento in modo tale che l'interessato sappia a cosa sta acconsentendo), espresso con un atto inequivocabile (ossia, con una dichiarazione scritta o orale), specifico (ovvero, prestato per ciascuna finalità di trattamento idoneamente indicata all'interno dell'informativa ex art. 13 del GDPR) ed, infine, espresso liberamente (cioè sulla base di una scelta che non sia condizionata da raggiri, coercizioni o conseguenze negative prospettate al soggetto interessato dal Titolare del trattamento).
La centralità che viene riconosciuta al consenso quale caposaldo della disciplina in materia di data protection è determinata dal fatto che rappresenta una delle principali espressioni del diritto all'autodeterminazione ed al controllo sui propri dati personali, elementi sui quali si fonda il cd. right of privacy.
Fatte queste premesse, preme ora osservare come il Garante, all'interno del Provvedimento n. 330 del 4.7.2013[3], ha chiarito due aspetti di importanza fondamentale: il primo consiste nel fatto che risulta sufficiente richiedere al soggetto interessato un unico consenso per attività riconducibili lato sensu al marketing, quali l'invio di materiale pubblicitario, la vendita diretta, il compimento di ricerche di mercato e la comunicazione commerciale; il secondo aspetto è, invece, rappresentato dal fatto che il consenso, prestato dal soggetto interessato per la ricezione di comunicazioni commerciali tramite modalità automatizzate (es. fax, sms, email, mms, telefonate registrate), si estende anche alle modalità tradizionali di contatto meno invasive (es. posta cartacea, chiamate tramite operatore), senza tuttavia - si noti - che valga il medesimo contrario.
In aggiunta, con specifico riguardo al trattamento per finalità di natura promozionale per il tramite di strumenti cd. automatizzati ovvero a questi equiparabili si ricorda che è stata elaborata un apposita disposizione normativa ossia l'art. 130 del Codice della Privacy (rimasto, seppur con parziali integrazioni, nella versione novellata da parte del D.Lgs. n. 101/2018), il quale afferma che - fermo restando il combinato disposto tra gli artt. 8 e 21 del D.Lgs. n. 70 del 9.4.2003 - le comunicazioni elettroniche (es. posta elettronica, telefax, mms, sms), l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore ovvero le comunicazioni effettuate con qualsivoglia altra modalità differente da quelle poc'anzi descritte (ivi incluse le modalità tradizionali) ai fini dell'invio ai relativi destinatari di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale sono consentiti unicamente con il consenso[4] (cd. opt-in) del contraente (il quale può essere sia una persona fisica che una persona giuridica) ovvero dell'utente (il quale, all'opposto, può essere rappresentato soltanto da una persona fisica)[5].
3. Il cd. soft-spam (o marketing diretto), basato sul legittimo interesse del Titolare del trattamento.
A fianco della condizione di liceità del trattamento rappresentata dal consenso ex art. 6 paragrafo 1 lettera a) del GDPR si registra quella del cd. legittimo interesse del Titolare del trattamento, il quale consente, in via potenziale, di poter essere utilizzato quale base giuridica dei trattamenti ai fini di marketing senza la necessità di richiedere, da parte del Titolare del trattamento, uno specifico consenso del soggetto interessato, sempreché tale legittimo interesse risulti prevalente rispetto ai diritti ed alle libertà fondamentali del soggetto interessato, così come ricordato dal Considerando n. 47 del GDPR[6].
La deroga al principio del cd. opt-in nell'ambito delle comunicazioni commerciali effettuate con mezzi automatizzati si basa sulla considerazione che, nell'ambito di una relazione di clientela preesistente, appare ragionevole consentire al Titolare del trattamento, che ha legittimamente ottenuto le coordinate elettroniche dei propri clienti, di continuare ad utilizzarle per finalità commerciali[7]. Pertanto, ai sensi del combinato disposto tra l'art. 130 comma IV del novellato Codice della Privacy[8] e l'art. 13 della Direttiva n. 2002/58/CE[9] il Titolare del trattamento è legittimato ad utilizzare le coordinate di posta elettronica ricevute in occasione di un precedente rapporto commerciale per inviare successivamente ai propri clienti comunicazioni relative ai propri prodotti o servizi, anche a prescindere dal consenso dei clienti medesimi.
Tutto ciò risulta possibile soltanto al ricorrere di determinate circostanze tese a delimitare l'ambito di applicazione di tale regime derogatorio: infatti, è stato specificamente previsto che il cliente venga preventivamente ed adeguatamente informato circa l'ulteriore utilizzo delle sue coordinate di posta elettronica per le citate finalità, e che, in particolar modo, non rifiuti tale uso in occasione sia della prima sia delle successive comunicazioni; in aggiunta, è stato previsto, altresì, che l'offerta riguardi servizi analoghi a quelli oggetto del rapporto preesistente, rispetto ai quali il soggetto interessato ha già manifestato il proprio interesse e che a quest'ultimo sia consentito, in modo chiaro e distinto, di opporsi al suddetto trattamento in qualunque momento, gratuitamente ed in maniera agevole.
Da ultimo, ugual discorso deve essere affrontato con riguardo al cd. soft-spam effettuato mediante i recapiti di posta cartacea forniti dal soggetto interessato al Titolare del trattamento in un precedente rapporto commerciale, in relazione ai quali il Garante, mediante il Provvedimento del 19.6.2008[10], ha confermato che tale attività promozionale risulta lecita a condizione che riguardi - pure in tal caso - beni e servizi del Titolare analoghi a quelli oggetto della vendita, e che il soggetto interessato, in occasione sia della raccolta dei dati sia dell'invio di ogni comunicazione commerciale, venga informato della possibilità di opporsi, in ogni momento, al trattamento in maniera agevole e gratuita, nonché della possibilità di ottenere un immediato riscontro che confermi l'interruzione di tale trattamento ed, infine, a condizione che il medesimo soggetto interessato non si opponga inizialmente o in occasione di successive comunicazioni a tale uso.
[1] Si ricorda che, ai sensi dell'art. 22 comma 4 del D.Lgs. n. 101/2018, a decorrere dal 25.5.2018 i provvedimenti del Garante continuano ad applicarsi in quanto compatibili con il GDPR e con le disposizioni del Decreto per l'adeguamento.
[2] Ex multis: Provvedimento del Garante del 24.2.2005 (doc. web n.: 1103045), del 25.6.2009 (doc. web n.: 1629107), del 4.7.2013 (doc. web n. 2542348) e del 19.3.2015 (doc. web n.: 3881513).
[3] Provvedimento del Garante intitolato "Linee guida in materia di attività promozionale e contrasto allo spam" (doc. web n.: 2542348).
[4] Già nell'art. 10 del D.Lgs. n. 171/1998 (attuativo della Direttiva n. 97/66/CE) il legislatore italiano aveva previsto che "l'uso di un sistema automatizzato di chiamata senza l'intervento di un operatore o del telefax per scopi di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva, è consentito con il consenso espresso dell'abbonato". Analoga previsione era contenuta anche nell'art. 10 del D.Lgs. n. 185/99 (attuativo della Direttiva n. 97/7/CE) e recante disposizioni per la protezione dei consumatori in materia di contratti a distanza. All'invasività dei sistemi considerati fa riferimento sia il Considerando n. 40 della Direttiva n. 2002/58/CE (cd. Direttiva ePrivacy), nel quale si sottolinea anche che in taluni casi il volume delle comunicazioni può causare difficoltà per le reti di comunicazione elettronica e per le apparecchiature terminali degli utenti, sia il Considerando n. 33 della bozza di proposta del cd. Regolamento ePrivacy (il quale è attualmente in cantiere, e la sua eventuale approvazione rappresenterebbe la coerente continuazione del processo di riforma avviato nel 2012 con il Data Protection Refom Package delineato dalla Commissione UE), ove si legge che "Il grado di intrusione nella vita privata e di disturbo è considerato abbastanza simile indipendentemente dall'ampia gamma di tecnologie e canali usati per trasmettere tali comunicazioni elettroniche [
]. Si giustifica pertanto la richiesta di consenso all'utente finale prima di inviare comunicazioni elettroniche commerciali ai fini di commercializzazione diretta al fine di tutelare le persone dall'intrusione nella loro vita privata nonché il loro interesse legittimo".
[5] In tal senso, Provvedimento del Garante n. 262 del 20.9.2012 (doc. web n.: 2094932).
[6] Considerando n. 47 del GDPR: "
quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine [
]. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto".
[7][7] In tal senso, il Considerando n. 41 della Direttiva n. 2002/58/CE ("Nel contesto di una relazione di clientela già esistente è ragionevole consentire l'uso delle coordinate elettroniche per offrire prodotti o servizi analoghi, ma unicamente da parte della medesima società che ha ottenuto le coordinate elettroniche a norma della Direttiva n. 95/46/CE. Allorché tali coordinate sono ottenute, il cliente dovrebbe essere informato sul loro uso successivo a scopi di commercializzazione diretta in maniera chiara e distinta, ad avere la possibilità di rifiutare tale uso. Tale opportunità dovrebbe continuare ad essere offerta gratuitamente per ogni successivo messaggio a scopi di commercializzazione diretta, ad eccezione degli eventuali costi relativi alla trasmissione del suo rifiuto"), poi fedelmente ripreso dal Considerando n. 33 della bozza di proposta del cd. Regolamento ePrivacy.
[8][8] Art. 130 comma IV del novellato Codice della Privacy: "
se il titolare del trattamento utilizza, ai fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuita".
[9] Art. 13 della Direttiva 2002/58/CE: "
allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio ai sensi della Direttiva n. 95/46/CE, la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all'uso di tali coordinate elettroniche qualora il cliente non abbia rifiutato inizialmente tale uso".
[10] Provvedimento del Garante del 19.6.2008 (doc. web n.: 1526724).