Con una interessante decisione del 10 marzo 2022, Il Garante belga ha ritenuto che, ai sensi del GDPR, il marketing diretto tramite e-mail potrebbe non richiedere il consenso degli interessati, ma basarsi sul legittimo interesse. Una decisione interessante che apre quale ulteriore spiraglio all’utilizzo della base giuridica del legittimo interesse per finalità di marketing.
Ma andiamo con ordine: che cos’è e cosa comporta il legittimo interesse?
Indice
Il legittimo interesse e il Direct marketing
Il legittimo interesse è una base giuridica prevista dal Regolamento generale europeo (GDPR). In parole semplici il titolare che ha un dato con un’origine chiara può utilizzare finalità diverse lo stesso dato, se in presenza di determinate circostanze.
Possono costituire legittimi interessi: finalità commerciale, sicurezza dei beni aziendali, ecc….
Se il trattamento è basato sui legittimi interessi non occorre il consenso dell’interessato, purché, però, non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento (Considerando 47 GDPR). Previo, quindi, bilanciamento tra il proprio interesse a usare il dato e i diritti e le libertà degli interessati, il titolare dovrà comunque informare l’interessato del fatto che i suoi dati sono trattati in base ai legittimi interessi.
In sintesi, l’utilizzo dei legittimi interessi del titolare quale base giuridica richiede i seguenti requisiti:
1) necessità del titolare di utilizzare un dato per fini propri o di terzi;
2) bilanciamento degli interessi del titolare con quelli dell’interessato (balancing test): il trattamento sarà ingiustificato se ha degli effetti pregiudizievoli sui diritti e le libertà, o interessi legittimi, del singolo tenendo conto delle ragionevoli aspettative degli interessati;
3) il trattamento delle informazioni deve essere equo e rispettare i principi di protezione dei dati;
4) il titolare deve informare l’interessato;
5) all’interessato deve essere garantito il diritto di opporsi al trattamento.
Anche se il Regolamento non contiene un elenco tassativo dei casi di “legittimo interesse”, i considerando 47 e 49 riportano alcune ipotesi di motivi legittimi per il trattamento. In particolare il 47 considera presente un legittimo interesse “quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento” ed espressamente dichiara che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
La definizione di attività di direct marketing, poi, che era già presente nella Direttiva n. 95/46/CE, la ritroviamo nella Raccomandazione del Consiglio d’Europa N.R. (85) 20 che definisce “direct marketing”, come : il “complesso delle attività e dei servizi ausiliari a quelli che permettono di offrire prodotti e servizi di trasmettere una serie di messaggi pubblicitari a segmenti di popolazione per mezzo della posta, del telefono o di altri mezzi, diretti a fornire informazione o al fine di sollecitare una reazione da parte della persona interessata“.
Il trattamento dei dati personali, attività di direct marketing compresa, può essere svolto lecitamente se ricorre almeno una delle condizioni di cui all’articolo 6 del Regolamento, tra cui il consenso e il legittimo interesse del titolare o di terzi (vedi il nostro approfondimento).
Sino ad ora, comunque, i titolari del trattamento si sono sempre approcciati con una certa cautela alle attività di marketing privilegiando un “certo” consenso espresso, chiaro e revocabile ad un “incerto” legittimo interesse.
La ragione è più che evidente: la scelta errata di una base giuridica (legittimo interesse) piuttosto che un’altra (consenso) potrebbe comportare spiacevoli sanzione (fino 20 milioni di euro o, per le imprese, fino al 4 % del fatturato).
In Italia il Codice Privacy e il Garante ha di fatto creato due casistiche per il direct marketing:
- attività di soft spam che si ha quando l’utente è già cliente del titolare, ha già fornito a questi i dati personali di contatto nel contesto della vendita e i prodotti/servizi che gli verranno offerti saranno analoghi a quelli già venduti/forniti, attività consentita sulla base del legittimo interesse in modo pacifico;
- attività promozionale “sistematica” e massiva da posporre ad un consenso espresso dell’interessato alla ricezione di comunicazioni commerciali.
Questa distinzione è chiara quando i dati vengono acquisiti direttamente dal titolare, ma quando vengono acquisiti da soggetti terzi si pone qualche incertezza in più. Infatti, il legittimo interesse è sempre stato considerato una base giuridica valido solo in via eccezionale e, comunque, sempre attraverso la procedura prevista dall’articolo 14 che consente l’esercizio di opposizione da parte dell’interessato a seguito di invio dell’informativa.
La posizione del Garante Belga
Recentemente il Garante Belga ha affrontato il tema del legittimo interesse in ambiente marketing con l’utilizzo di dati acquisiti da un soggetto terzo rispetto al titolare del trattamento, vediamo brevemente i caso.
Un interessato chiede di non ricevere più messaggi di marketing diretto da parte del titolare del trattamento. Successivamente, lo stesso interessato richiede al titolare del trattamento informazioni su qualsiasi trattamento di dati personali che lo riguarda ai sensi dell’articolo 15, paragrafo 1, GDPR dopo aver ricevuto ulteriori messaggi di marketing diretto tramite la sua e-mail e sul suo telefono cellulare nonostante la sua precedente richiesta. Nello specifico, chiede informazione sull’origine dell’acquisizione dei suoi dati personali che hanno consentito al titolare di contattarlo e la base giuridica del trattamento al quale afferma di non aver prestato il consenso.
Il titolare del trattamento ha risposto alla richiesta dichiarando di aver ottenuto i dati da un fornitore di contatto ma si è limitato a fornire solo il nome della società. Ha inoltre riconosciuto che l’interessato aveva ricevuto ulteriori messaggi a causa di un errore umano.
L’interessato presenta un reclamo all’Autorità di protezione dei dati del Belgio (APD/GBA), lamentando la ricezione dei messaggi di marketing diretto sia l’inadempienza del titolare alla sua richiesta di accesso che secondo lui aveva violato gli articoli 15, paragrafo 1, 5, paragrafo 1, lettera c ) ed (e) e 14(2)(e) GDPR.
Il Garante ha accolto solo in parte il ricorso, ordinando al titolare del trattamento di rispettare il diritto di accesso dell’interessato ai sensi dell’articolo 15, paragrafo 1, lettera g), del GDPR e ordinando al titolare di introdurre un meccanismo per il diritto di opposizione da introdurre nel messaggio con cui viene a contatto per la prima volta con l’interessato, affinché il trattamento in tal senso rispetti l’obbligo di trasparenza previsto dalla normativa.
In merito al marketing, però il Garante ha respinto il reclamo.
Ha ritenuto che il fatto che il titolare del trattamento non richiedesse il consenso dell’interessato fosse corretto, avendo un interesse legittimo sufficiente ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR . Secondo il Garante Belga ciò è stato supportato dal considerando 47 del GDPR, il quale afferma specificamente che il marketing diretto può essere effettuato con interesse legittimo. Poiché l’indirizzo e-mail dell’interessato era pubblicamente disponibile online, il Garante ha ritenuto che egli dovesse avere la ragionevole aspettativa che tale indirizzo e-mail sarebbe stato utilizzato per inviargli messaggi e che il responsabile del trattamento avesse quindi fatto uso di informazioni disponibili al pubblico.
Affermazioni indubbiamente interessanti che potrebbero aprire alla possibilità di utilizzare anche informazioni acquisite on line perché considerate “disponibili al pubblico”. Da tenere conto la posizione poco incline a questa interpretazione del Garante italiano che, in più occasioni, ha precisato che il fatto che è disponibile on line non ne giustifica automaticamente l’utilizzo per finalità di marketing.
Indubbiamente, però, anche la posizione del Garante Belga è un evidente segnale di apertura all’uso del legittimo interesse da parte delle aziende per finalità di marketing e consentono di ipotizzare qualche campagna promozionale in più anche senza un consenso espresso, valutandone caso per caso la sussistenza dei requisiti del legittimo interesse sopra illustrati.