Quel...Diavolo di consenso (parte 8)

Parte 8: Consenso e marketing

La definizione di comunicazione commerciale si trova all'interno della direttiva 2000/31/CE sul commercio elettronico (recepita dal D.lgs. 70/2003):
«tutte le forme di comunicazioni destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa, di un’organizzazione o di una persona che esercita un’attività agricola, commerciale, industriale, artigianale o una libera professione». 
ed è più volte richiamata dall'Autorità Garante con riguardo agli interventi di contrasto al fenomeno dello spam e, più in generale, della pubblicità indesiderata.

La Direttiva ePrivacy, attraverso gli atti normativi di recepimento, si pone come normativa speciale per la regolamentazione delle comunicazioni elettroniche. In pendenza del Regolamento ePrivacy, la disciplina per la le attività di digital marketing va dunque ricondotta tanto a tali norme quanto al GDPR, come chiarito dall'EDPB Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities del 12 marzo 2019.

"Stand up for the count
Hold up and dismount
I know what my feet are for
I know when to quit"

Devil I Know - Motörhead )



Nell'ambito del marketing, il diavolo è proprio il consenso come base giuridica generale su cui fondare le attività di trattamento dei dati personali. Infatti, la Direttiva ePrivacy e l'art. 130 Codice Privacy impongono di acquisire un preventivo consenso (il quale deve avere tutti gli elementi prescritti dal GDPR) del destinatario della comunicazione commerciale, sia esso persona fisica o giuridica, per poter compiere attività di direct marketing con sistemi automatizzati ed ogni forma di comunicazione elettronica, quali:
«l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale» nonché «comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.»
non potendo invocare come eccezione all'acquisizione del consenso preventivo la mancanza di sistematicità o il volume limitato delle comunicazioni (rilevanti, al più, per la determinazione della sanzione). La scelta (normativa) della base giuridica del consenso esprime il rafforzamento del potere di controllo dell'interessato sull'attività di trattamento.

L'unica deroga al consenso può avvenire nell'ipotesi del c.d. “soft spam”, per cui è consentito l'invio di informazioni commerciali ai contatti e-mail degli interessati già clienti in relazione a servizi analoghi a quelli oggetto della vendita, a condizione che:
  • siano fornite informazioni su tale attività di trattamento svolta;
  • sia garantito il diritto di opposizione al trattamento (opt-out) in modo agevole e gratuito.

La base giuridica individuabile in tale ambito è dunque il legittimo interesse, come peraltro suggerito dal considerando n. 47 GDPR per cui:
«[...]Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.»
e la cui valutazione è rimessa al titolare del trattamento, il quale dovrà di conseguenza dar dimostrazione di aver bilanciato il proprio interesse ad operare una comunicazione commerciale lecita con le ragionevoli aspettative nutrite dall'interessato rapportate al contesto operativo, valutando in particolar modo:
  • la relazione fra interessato e titolare;
  • il grado di tutela di interessi, diritti e libertà fondamentali dell'interessato;
e avendo cura di adottare le garanzie adeguate prescritte dall'art. 6.4 lett. e) GDPR.

Tutto ciò è possibile attraverso lo svolgimento di una valutazione del legittimo interesse, la quale deve fornire evidenza di tale base giuridica e della sua corretta applicazione. Devono inoltre essere evidenziati i presidi adottati per assicurare l'esercizio effettivo del diritto di opposizione da parte dell'interessato, assicurando così allo stesso un potere di controllo dei trattamenti analogo a quello esercitabile attraverso la revoca del consenso prestato.

Essere GDPReady è...valutare le alternative al consenso nell'attività di marketing.

Commenti