Direct email marketing e trattamento dei dati: ecco le basi giuridiche - Cyber Security 360

GUIDA NORMATIVA

Direct email marketing e trattamento dei dati: ecco le basi giuridiche

La base giuridica per l’invio di comunicazioni commerciali via email ai soggetti interessati è essenzialmente il consenso, ma è possibile in taluni casi l’invio di comunicazioni di direct mail marketing sulla base del solo legittimo interesse

29 Ott 2020
A
Alessandro Alessio

Group Privacy Officer, Miroglio Group

Le aziende che intendono inviare comunicazioni commerciali ai propri clienti con tecniche di direct email marketing devono aver acquisito prima il loro consenso, nel rispetto delle condizioni indicate all’articolo 7 del GDPR.

Tale consenso dovrà essere informato, libero, specifico e il Titolare del trattamento dovrà essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali.

Tuttavia, occorre precisare che il trattamento per finalità di marketing diretto può anche essere considerato lecito se effettuato sulla base del solo interesse legittimo (articolo 6, lettera f, GDPR), purché ricorrano alcune circostanze previste dalla normativa. Approfondiamo il tema, analizzando la normativa.

Cosa dice il GDPR

Il GDPR al Considerando 47 prevede espressamente che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

A tal proposito, occorre in primo luogo definire cosa si intenda per marketing diretto, che può essere qualificato quale l’insieme degli strumenti di marketing e di comunicazione utilizzati dall’azienda per l’invio di materiale pubblicitario e promozionale, per l’effettuazione di survey e ricerche di mercato, nonché per la vendita diretta.

Una volta definito il marketing diretto, occorre comprendere quando lo stesso possa essere effettuato unicamente sulla base del legittimo interesse. Sempre a norma del Considerando 47, infatti, i legittimi interessi di un Titolare del trattamento “possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.

Ciò può verificarsi, quindi, qualora via sia già una relazione tra il Titolare e il soggetto interessato, quale un rapporto di clientela o di lavoro. Il Titolare potrà quindi ad esempio inviare una comunicazione commerciale a coloro che sono già suoi clienti sulla base del legittimo interesse, purché ciò avvenga nel rispetto dei diritti e delle libertà del soggetto interessato, nonché della normativa applicabile.

Nello specifico, occorrerà valutare se l’interessato possa attendersi o meno che abbia luogo un trattamento nei suoi confronti e occorrerà soprattutto effettuare un bilanciamento di interessi al fine di valutare se prevalgano i diritti e le libertà del soggetto interessato o gli interessi dell’azienda all’invio delle comunicazioni commerciali.

Come indicato anche nel Provvedimento dell’Autorità Garante per la protezione dei dati personali del 15 gennaio 2020 (doc. web n.  9256486), infatti, è necessaria “l’attenta ponderazione dell’impatto del trattamento che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato), ed è necessaria altresì, nel rispetto dei principi di responsabilità e trasparenza, la concreta attuazione di misure adeguate per garantire i diritti degli interessati, quale in particolare quello di opposizione”.

Sarà compito del Titolare effettuare il bilanciamento di interesse, nell’ambito del principio di accountability, e dovrà essere pertanto in grado di dimostrare le valutazioni che sono state fatte e i motivi che l’hanno portato a ritenere prevalente l’interesse dell’azienda alla protezione dei diritti e delle libertà dei soggetti interessati.

Il Titolare dovrà poi indicare all’interno dell’informativa redatta ai sensi dell’articolo 13 GDPR quale sia il legittimo interesse perseguito.

Direct email marketing: le regole per fare “soft spam”

Oltre ai casi sopra citati di trattamento eseguito sulla base del legittimo interesse, il Titolare avrà facoltà di ricorrere alle cosiddette comunicazioni di “soft spam” di cui all’articolo 130, comma 4, del decreto legislativo 196/2003 (“Codice Privacy”), in virtù del quale “… se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.

L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.

In merito a tale possibilità di opposizione al trattamento, sarà opportuno inserire in calce ad ogni email inviata un pulsante che consenta di disiscriversi dall’invio di tali comunicazioni, al fine di consentire all’utente di esercitare il proprio diritto in maniera agevole (cosiddetto “opt-out”).

Direct email marketing: definire prima la base giuridica

Riepilogando, il Titolare avrà pertanto la facoltà di inviare comunicazioni commerciali senza la previa richiesta di consenso ai soggetti interessati purché ricorrano le seguenti ipotesi:

  • la comunicazione sia effettuata unicamente a mezzo posta elettronica (e-mail);
  • il destinatario sia già un cliente del Titolare;
  • la comunicazione riguardi servizi analoghi a quelli oggetto della vendita;
  • il destinatario dovrà essere informato e non deve aver rifiutato la ricezione di tali comunicazioni;
  • il destinatario dovrà essere informato della facoltà di opporsi in ogni momento al trattamento (“opt-out”).

Tutto ciò premesso, è opportuno evidenziare che il Titolare dovrà decidere di ricorrere alla base giuridica del legittimo interesse in modo preventivo e non potrà decidere di ricorrere alla stessa solo una volta che il consenso non sia stato rilasciato dal soggetto interessato o sia stato revocato.

La base giuridica andrà quindi definita prima di raccogliere ed iniziare il trattamento dei dati personali.

Conclusione

In conclusione, è possibile sostenere che l’utilizzo del legittimo interesse quale base giuridica può consentire alle aziende di inviare comunicazioni commerciali ai propri clienti, senza che gli stessi abbiano dato un preventivo consenso.

È tuttavia importante, anche al fine di evitare abusi e lesione dei diritti e delle libertà fondamentali di tali soggetti, redigere un’idonea informativa che descriva la base giuridica e le valutazioni effettuate dal titolare in merito al legittimo interesse.

Interviene inoltre il concetto di accountability, in quanto il Titolare dovrà essere in grado rendere conto e dimostrare la propria attività, nonché di giustificare le azioni e le decisioni intraprese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5