“La pubblicità è l’anima del commercio” diceva giustamente qualcuno, ma se un’impresa decide di fare direct marketing non può non tenere conto delle regole sul trattamento dati almeno per la “pubblicità diretta”. In altre parole, non si può fare marketing diretto senza considerare il trattamento dati dei clienti, senza aver fatto un’attenta analisi dei dati – personali e non – da utilizzare e senza considerare il rispetto del Regolamento Generale sulla Protezione dei Dati (o GDPR).
Purtroppo, come ormai è oltremodo chiaro, non è possibile generalizzare troppo nell’applicare i principi del GDPR, ogni caso o situazione deve essere esaminato in base al contesto in cui si inserisce e in base alle caratteristiche del Data Base da utilizzare. In questa sede, tuttavia, si cercherà di mettere qualche punto fermo e dare quale indicazione su come poter fare Direct Marketing nel rispetto delle regole del GDPR.
Per prima cosa è fondamentale individuare quale base giuridica è possibile utilizzare per inviare “DEM” o Direct Marketing E-mail.
La base giuridica per effettuare questo tipo di attività, è essenzialmente il consenso. L’azienda, infatti, per poterlo fare deve acquisire il consenso nei modi e nelle forme prescritte dall’art. 6 lettera A del GDPR e dai considerando 42 e 43.
Per essere valido, il consenso dovrà essere libero, specifico, informato, e manifestato con una dichiarazione o azione positiva inequivocabile.
Non solo: per le finalità di marketing si deve sempre gestire il consenso in modo tale che la persona che lo concede possa decidere in piena autonomia se e quando ritirarlo; inoltre deve poter decidere se autorizzare o meno il trattamento per le diverse finalità per cui sia richiesto.
Infine, il Garante italiano ha chiarito che nell’acquisizione del consenso non è necessario chiedere consensi separati per i vari strumenti di comunicazione (mail, telefono, lettera), poiché il consenso per la forma più invasiva (mail, sms, mms, telefonate automatizzate) copre anche quello per le forme meno invasive di comunicazione (posta cartacea, telefonate tramite operatore).
Ma il consenso non è la sola base giuridica utilizzabile.
Il considerando 47 del GDPR stabilisce che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto” (art. 6 lettera F – GDPR).
Naturalmente la sussistenza del legittimo interesse del titolare va sempre bilanciato con i diritti e le libertà dell’interessato e inoltre bisogna tener conto delle ragionevoli aspettative dello stesso in base alla relazione tra i due (in merito si rinvia al Parere 6/2014 WP29 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE).
Indubbiamente un’applicazione del legittimo interesse al Direct Marketing è il caso del cosiddetto Soft spam (articolo 130 Codice Privacy).
Si può derogare alla richiesta di consenso solamente quando ricorrono determinati presupposti:
– se l’interessato è già cliente del titolare il quale vuole utilizzare per finalità ulteriori al contratto quali l’invio di comunicazioni promozionali relative a propri servizi;
– vale solo per la trasmissione di messaggi per posta elettronica (non per comunicazioni telefoniche);
– la mail deve essere quella indicata nel contesto della vendita di un prodotto o servizio;
– i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare;
– il prodotto o il servizio devono essere analoghi a quelli già acquistati dall’interessato;
– il destinatario non deve aver rifiutato all’inizio o nel corso di ulteriori comunicazioni tale invio di comunicazioni promozionali;
– il destinatario deve avere la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente e in maniera semplice.
L’ambito di applicazione di questa norma, infine, si estende alle persone fisiche e alle persone giuridiche.
Sicuramente in futuro si apriranno nuove possibilità di utilizzo di tale base giuridica ma, oltre all’ipotesi del soft spam, si consiglia di valutare caso per caso la sussistenza o meno del legittimo interesse.
Sull’utilizzo di tale base giuridica nel delicato settore del marketing diretto è interessante anche quanto indicato nel documento Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01). In tali Linee Guida si ammette la possibilità di basare anche la profilazione sui legittimi interessi del titolare, laddove ovviamente tali legittimi interessi ricorrano e possano ritenersi prevalenti rispetto a quelli dell’interessato. Ma di questo parleremo in altra sede.
In ogni caso, comunque, non si può mai prescindere da un’informativa chiara e ben visibile che racchiuda tutte le intenzioni e le modalità di trattamento che, in caso di trattamento dati sulla base del legittimo interesse, offra la possibilità di opporsi in maniera semplice a tale trattamento.