***
Il tema
Al fine di individuare quali sono le sorti dell’attività di marketing alla luce della nuove disposizioni in materia di data protection, risulta necessario prendere come riferimento il Regolamento UE n. 679/2016 (di seguito “GDPR”), il Titolo X del novellato D.Lgs. n. 196/2003 (cd. Codice della Privacy) ed, infine, i numerosi provvedimenti mediante i quali il Garante della protezione dei dati personali (di seguito “Garante”) è intervenuto sull’argomento.
Il marketing nel GDPR: il consenso dell’interessato
E’ necessario fare riferimento, innanzitutto, all’insieme di quelle norme che il GDPR individua come condizioni di liceità del trattamento ed, in particolar modo, all’art. 6 par. 1 lettera a) del GDPR, il quale subordina la liceità del trattamento alla presenza del consenso espresso dell’interessato: nello specifico, in base all’art. 5 del GDPR per poter essere valido il consenso deve essere informato (ossia preceduto da chiare indicazioni date dal Titolare del trattamento), espresso con un atto inequivocabile (con una dichiarazione scritta o orale), specifico (ossia, prestato per ogni specifica finalità di trattamento) ed, infine, espresso liberamente (cioè sulla base di una scelta che non sia condizionata da raggiri e/o coercizioni prospettate all’interessato).
Ciò premesso, il Garante, all’interno del Provvedimento n. 330/2013, ha chiarito due aspetti di importanza fondamentale: il primo consiste nel fatto che risulta sufficiente richiedere all’interessato un unico consenso per attività riconducibili lato sensu al marketing, quali l’invio di materiale pubblicitario, la vendita diretta, il compimento di ricerche di mercato e la comunicazione commerciale; il secondo aspetto è che il consenso, prestato dall’interessato per la ricezione di comunicazioni commerciali tramite modalità automatizzate (es. fax, sms, email, mms), si estende anche alle modalità tradizionali di contatto meno invasive (es. posta cartacea, chiamate tramite operatore), senza che valga il medesimo contrario.
In aggiunta, con riguardo al trattamento per finalità promozionali per il tramite di strumenti cd. automatizzati ovvero a questi equiparabili si ricorda l’art. 130 del novellato Codice della Privacy, il quale afferma che – fermo restando il combinato disposto tra gli artt. 8 e 21 del D.Lgs. n. 70/2003 – le comunicazioni elettroniche (es. posta elettronica, telefax, sms), l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore ovvero le comunicazioni effettuate con qualsivoglia altra modalità differente da quelle poc’anzi descritte (ivi incluse le modalità tradizionali) ai fini dell’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale sono consentiti unicamente con il consenso (cd. opt-in) del contraente (il quale può essere sia una persona fisica che una persona giuridica) ovvero dell’utente (il quale può essere rappresentato soltanto da una persona fisica).
Il cd. soft-spam basato sul legittimo interesse del Titolare del trattamento
A fianco della condizione di liceità del trattamento rappresentata dal consenso si registra quella del cd. legittimo interesse del Titolare, il quale consente di poter essere utilizzato quale base giuridica dei trattamenti ai fini di marketing senza la necessità di richiedere uno specifico consenso dell’interessato, sempre che tale legittimo interesse risulti prevalente rispetto ai diritti ed alle libertà fondamentali dell’interessato, così come ricordato dal Considerando n. 47 del GDPR.
La deroga al cd. opt-in nelle comunicazioni commerciali effettuate con mezzi automatizzati si basa sulla considerazione che, nell’ambito di una relazione di clientela preesistente, appare ragionevole consentire al Titolare, che ha legittimamente ottenuto le coordinate elettroniche dei propri clienti, di continuare ad utilizzarle per finalità commerciali. Tutto ciò risulta possibile soltanto al ricorrere di determinate circostanze tese a delimitare l’ambito di applicazione di tale deroga: infatti, è stato previsto che il cliente venga preventivamente informato circa l’utilizzo delle sue coordinate elettroniche per le citate finalità, che non rifiuti tale uso in occasione sia della prima sia delle successive comunicazioni, che l’offerta riguardi servizi analoghi a quelli oggetto del rapporto preesistente, rispetto ai quali il soggetto interessato ha già manifestato il proprio interesse e che, infine, a quest’ultimo sia consentito, in modo chiaro, di opporsi al suddetto trattamento in qualunque momento.
Da ultimo, ugual discorso deve essere affrontato con riguardo al cd. soft-spam effettuato mediante i recapiti di posta cartacea forniti dall’interessato al Titolare del trattamento in un precedente rapporto commerciale.
