Marketing a norma privacy, sotto la lente il “consenso” come base giuridica privilegiata

Nella promozione di beni e servizi sul mercato le aziende devono avere ben presenti le prescrizioni obbligatorie sul trattamento dei dati personali, per evitare di incorrere in sanzioni anche molto pesanti. Dalla pratica quotidiana emergono una serie di casi che il titolare del trattamento deve gestire con grande attenzione, con il supporto tecnico e giuridico del Data Protection Officer– DPO.

Nello svolgimento di attività economica e commerciale è indubbio che una delle esigenze primarie delle imprese sia fare conoscere i propri prodotti e servizi offerti sul mercato, evidenziarne le caratteristiche positive e spesso proporre offerte e promozioni in grado di spingere il potenziale cliente all’acquisto. Questo aspetto è connaturato con l’attività imprenditoriale ed è certamente meritevole di tutela da parte del nostro ordinamento giuridico. Dall’altro lato però abbiamo la necessità di tutelare il diritto alla riservatezza degli interessati, il diritto di non essere soggetti a molestie e comunicazioni invasive legate alle proposte commerciali delle aziende. E questo diritto, in particolar modo dopo l’entrata in vigore del Regolamento Europeo n. 679/2016 – GDPR in materia di trattamento dati personali, è ampiamente tutelato.

L’uso che viene fatto dei dati personali degli interessati per finalità commerciali e marketing è un tema sempre più centrale nella società dell’informazione.

Ci troviamo quindi davanti a uno dei casi più rilevanti di bilanciamento di interessi contrapposti e nell’effettuare quest’analisi è necessario mettere in competizione proprio il diritto al marketing con il diritto alla riservatezza degli interessati.

Vista la liceità di entrambe le istanze, bisogna quindi procedere con un’attività di mediazione e di ricerca del giusto compromesso, in modo che entrambe le posizioni siano tenute in considerazione e rispettate.

Proprio partendo da questi presupposti, il legislatore europeo ha individuato come base giuridica del trattamento dati personali per finalità marketing il consenso dell’interessato.

La manifestazione di volontà espressa da ciascuno di noi garantisce che le comunicazioni inviateci non vadano contro il nostro volere e quindi, si presuppone, non arrechino molestie.

Ma il consenso ha anche delle caratteristiche specifiche, per la sua validità, fissate all’art. 4 comma 11 del GDPR . Questo deve essere “libero, specifico, informato e inequivocabile e deve essere manifestato attraverso una dichiarazione o un’azione positiva non equivoca”.

Tutte queste caratteristiche devono sussistere qualsiasi sia lo strumento attraverso cui l’interessato lo esprima: a voce, per iscritto o su supporto digitale .

La libertà del consenso significa che questo non deve essere condizionato da scelte o vantaggi ulteriori, come per esempio il caso di subordinare la possibilità di acquistare un bene o un servizio al rilascio del consenso marketing.

Altrettanto la caratteristica della specificità deve essere ben evidente, deve essere chiaro che la manifestazione di consenso si riferisca proprio all’attività marketing come illustrata in informativa. Ed è proprio sull’informativa che in gran parte si fonda la legittimità del consenso, documento in cui l’interessato deve trovare tutti gli elementi utili ad effettuare la propria libera scelta. Da ultimo il consenso deve essere frutto di una dichiarazione esplicita o un’azione positiva, tale che eventuali ipotesi di caselle di consenso marketing precompilate non risultano conformi alle indicazioni normative.

Il recente dibattito dottrinale ha visto la proliferazione di posizioni apertamente contro l’impostazione che mette il consenso come base giuridica privilegiata per l’attività marketing e certamente sotto alcuni aspetti individuare nel consenso la soluzione di tutti i mali legati alla tutela della privacy non mi trova d’accordo.

Ma laddove si intenda cambiare base giuridica, è necessario proporre soluzioni alternative altrettanto credibili, in grado di tutelare i diritti e le libertà delle persone in modo, se non equivalente, almeno adeguato. E non mi sembra che ad oggi siano state proposte soluzioni convincenti.

A partire dal “ legittimo interesse ” del Titolare, oggi univocamente ammesso come base giuridica nel caso del c.d. “ soft spam ”. Questa ipotesi attualmente risulta applicabile al solo caso specifico delle comunicazioni marketing via email a soggetti già clienti che abbiano effettuato acquisti di beni e servizi e a cui si vogliano proporre prodotti o servizi simili a quelli già acquistati. Non è applicabile quindi ad attività rivolte alla ricerca di nuova clientela. Bisogna poi intendere quali siano reali i nemici della riservatezza: certamente lo è il telemarketing selvaggio, in grado di creare un livello elevato di molestia alla vita privata degli interessati. Oggi come oggi lo è molto meno l’invio di comunicazioni via mail, facilmente neutralizzabili ex post con l’esercizio del c.d. “opt-out” e poco invasive dal punto di vista informatico in un mondo di connessioni a fibra ottica (lo erano molto di più quando avevamo connessioni lente, ormai però più di vent’anni fa).

Tornando al consenso, ne troviamo per lo più di tre diversi tipi:
• consenso al marketing diretto ,
• consenso al marketing di terzi e
• consenso ad attività di profilazione .

Il consenso al marketing diretto, una volta ottenuto, consente al titolare del trattamento di inviare comunicazioni dirette all’interessato in qualsiasi forma, telefonica, messaggio, email ma queste modalità devono essere specificate dettagliatamente all’interno dell’informativa per essere sicuri che siano valide.
La durata del consenso deve essere anch’essa esplicitata in informativa, può essere temporanea con indicazione del periodo di validità al termine del quale sarà necessaria una nuova manifestazione di volontà. Oppure è da ritenersi valido anche il consenso reso “fino a revoca” , sempre che tale modalità sia chiaramente indicata all’interessato.
Il consenso deve essere sempre facilmente revocabile in qualsiasi momento.

Abbiamo poi il consenso al marketing “di terzi” , soggetti con il quale il titolare del trattamento ha concluso accordi per il trasferimento di dati con finalità marketing. Più informazioni vengono rese all’interessato su chi siano e quanti siano questi terzi soggetti, più sarà adempiuto l’obbligo di trasparenza e più l’informativa sarà ritenuta efficace.

Dal ultimo può essere richiesto il consenso per attività di profilazione, ovvero l’insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento ma non è questa la sede per l’approfondimento di questa particolare fattispecie.

Chiarite le tipologie di consenso, uno degli aspetti che risulta più complesso da gestire per le aziende è quello relativo alla successione dei consensi marketing degli interessati nel tempo.

Immaginiamo il caso in cui un’azienda venda i propri prodotti e servizi attraverso diversi canali, come la rete commerciale, il sito Internet aziendale, l’APP aziendale e magari anche attraverso intermediari esterni. In questo caso avremo diversi canali attraverso cui è possibile raccogliere il consenso degli interessati e anche attraverso cui l’interessato potrà revocarlo. Successive manifestazioni di volontà dell’interessato dal contenuto opposto obbligano il titolare a rendere coerenti i propri sistemi e ad aggiornare tutti i canali di comunicazione all’ultima manifestazione ricevuta, soprattutto se si tratta di revoca del consenso.

Aggiungo un paio di indicazioni che credo che siano operativamente utili: in caso di mancanza di consenso tracciabile spesso viene chiesto di poter mandare una comunicazione all’interessato con la finalità, se lo vuole, di prestare il consenso marketing. In caso contrario non saranno inviate comunicazioni, in caso di consenso l’interessato sarà inserito all’interno del database marketing.
Questo tipo di comunicazioni sono già considerate marketing e quindi sono da ritenersi illegittime secondo quanto stabilito dal Garante.

Altra attività da ritenersi illecita è l’utilizzo della PEC per inviare comunicazioni marketing senza consenso espresso. Infatti il fatto che l’indirizzo di posta elettronica certificata sia pubblico, non significa che con quell’indirizzo si possa fare qualsiasi cosa. La PEC serve a notificare all’azienda o all’individuo degli atti giuridici rilevanti con la certezza dell’avvenuta ricezione e l’utilizzo per finalità marketing risulta estraneo a tale finalità.

Da ultimo merita di essere fatto un cenno al Registro delle Opposizioni, istituito con DPR 178/2010 e esteso anche ai numeri di telefonia mobile lo scorso anno, creato per i soggetti che vogliono iscrivere il proprio numero telefonico al fine di evitare di ricevere chiamate commerciali.

Chiunque si sia iscritto al servizio avrà potuto notare un limitato miglioramento della situazione, soprattutto perché molti operatori di telemarketing agiscono in aperta violazione dei precetti normativi. Gli operatori diligenti invece si devono iscrivere e aggiornare i propri elenchi di destinatari con cadenza regolare. Certamente una norma che è andata nella giusta direzione i cui riflessi pratici però nella vita di tutti i giorni si stentano ad intravedere.

In conclusione quali sono le indicazioni operative che si possono dare alle aziende che vogliono effettuare attività di marketing in modo lecito?

Direi in primo luogo di prevedere all’interno della propria modulistica contrattuale e precontrattuale l’inserimento di informative complete e corrette con richieste di consenso trasparenti e soprattutto tracciabili in modo certo una volta ottenute.

Bisogna sempre essere in grado di dimostrare che la comunicazione marketing è stata inviata a fronte di un consenso legittimo.

Laddove poi si vogliano acquistare da terzi fornitori esterni degli elenchi di potenziali clienti da sollecitare direttamente è necessario prevedere contrattualmente l’obbligo del fornitore di consegnare elenchi “ consensati ” e limitare a quest’ultimo la responsabilità in caso di vizi del consenso.

La selezione degli outsourcers risulta essenziale, previa verifica della loro affidabilità e, nel caso in cui si esternalizzi l’attività di telemarketing, bisogna procedere con la nomina di questi a Responsabile ai sensi dell’art. 28 del GDPR.

Avere procedure interne complete e chiare, accompagnate da un’adeguata formazione del personale coinvolto su questi temi, è l’antidoto migliore contro l’applicazione di sanzioni, anche penali, molto rilevanti.

_____
*A cura dell’Avv. Lorenzo Perino - amministratore di Lext Consulting e Of Counsuel di Lexpertise