Il Regolamento europeo sulla protezione dei dati, entrato in vigore il 25 maggio 2018, ha cambiato in modo sostanziale le modalità di trattamento dei “dati personali”, tra i quali rientra qualsiasi dato riferito a persona fisica identificata o identificabile e quindi anche le email utilizzate per scopi di marketing.
Una delle importanti novità del GDPR è che il trattamento dei dati personali (anche quelli comuni) è legittimato solo ad alcune condizioni (art. 6 GDPR):
a) C’è il consenso da parte dell’interessato al trattamento
b) Il trattamento è necessario all’esecuzione di un contratto di sui l’interessato è parte o per scopi precontrattuali
c) Il trattamento è necessario per assolvere ad un obbligo di legge
d) Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato
e) Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico
f) Il trattamento è necessario per il perseguimento di un legittimo interesse, a condizione che non prevalgono gli interessi dell’interessato per la protezione dei suoi dati personali.
Quindi, non solo non si possono più inviare email informative o promozionali utilizzando la giustificazione di averle ricavate da elenchi “pubblici” (come social network, elenchi on-line ecc.), ma bisogna accertarsi di aver ottenuto sempre preventivamente il consenso del destinatario per l’invio di comunicazioni pubblicitarie.
Inoltre, come specificato nel Regolamento, il consenso deve consistere sempre una dichiarazione o azione positiva dell’interessato, escludendo quindi il silenzio-assenso.
Vale la pena a tale proposito di riportare per intero la definizione del Considerando n. 32 del GDPR:
“Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”
Nel GDPR quindi non sembra trovar spazio l’eccezione del soft-spam, ovverosia quelle comunicazioni aventi comunque carattere pubblicitario-commerciale, ma relative a beni o servizi che il destinatario della comunicazione ha già acquistato dal mittente. In questo caso il vecchio Codice della Privacy ed i successivi provvedimenti del Garante consentivano l’invio di comunicazioni pubblicitarie anche senza il preventivo consenso espresso e specifico dell’interessato, ma prevedendo la possibilità per il destinatario di rifiutare di ricevere ulteriori invii in futuro (il c.d. “opt-out”).
Quindi la modalità corretta di invio di materiale informativo o promozionale sembrerebbe essere esclusivamente quella dell’opt-in, cioè con consenso preventivo, espresso e specifico dell’interessato. Consigliata ancor di più la procedura di “double opt-in”, con consenso dato su modulo on-line e ribadito con click sull’email di conferma.
Anche riguardo al trattamento dati per “legittimo interesse” del Titolare, come sopra specificato al punto f), considerato in alcuni casi come valida giustificazione per marketing diretto senza consenso preventivo, bisogna fare alcune doverose precisazioni.
La legge di bilancio 2018 (legge n. 205 del 27 dicembre 2017) ha introdotto una particolare procedura in caso di trattamento fondato sull’interesse legittimo che preveda l’uso di nuove tecnologie o strumenti automatizzati. Il titolare che voglia fondare il trattamento su tale requisito dovrà previamente comunicare al Garante per la protezione dei dati personali tale volontà, descrivendo l’oggetto, le finalità ed il contesto del trattamento ed attendere il termine di quindici (salvo richiesta di integrazioni da parte del Garante) per poter avviare le operazioni.
Qualora poi l’attività di marketing diretto venga svolta con strumenti di comunicazione elettronica, restano (per ora) ferme le previsioni di cui all’art. 130 del Codice per la protezione dei dati personali (D. Lgs. 196/2003), che in linea generale richiedono il consenso per il trattamento.
In pratica, quindi, il meccanismo del legittimo interesse sarà utilizzabile in casi molto ristretti e la via principale ad oggi, in attesa dell’approvazione del nuovo regolamento ePrivacy in discussione al Consiglio UE, risulta quella quindi del consenso preventivo come sopra specificato.
Da qui la necessità per gli operatori che utilizzano lo strumento dell’email marketing di effettuare un’analisi approfondita della propria banca dati e di verificare se per gli indirizzi email presenti ci sia una valida prova o traccia del fatto che il consenso sia stato debitamente ottenuto dall’interessato e che sia stato espresso in maniera libera, specifica ed inequivocabile.
AGGIORNAMENTO set. 2018: il D. Lgs. 101/2018, entrato in vigore il 19 settembre 2018, ha di fatto abolito la necessità della preventiva comunicazione al Garante in caso di trattamento di dati per legittimo interesse (come sopra specificato), limitando la procedura descritta esclusivamente ai trattamenti dei dati personali funzionali all'autorizzazione del cambiamento del nome o del cognome dei minorenni.
------
(15/07/18, Luigi Morganti - specialista privacy e data protection)
Per info e contatti: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Short url: tinyurl.com/marketingprivacy