dati personali, marketing e privacyIl marketing è da sempre uno dei principali mezzi per lo sviluppo di un’azienda, la quale può diffondere il proprio brand ed i propri prodotti portandoli alla conoscenza del pubblico.

Tuttavia, se negli anni passati si trattava soltanto di acquistare uno spazio pubblico o una pagina di un quotidiano per affiggere cartelloni pubblicitari o riportare le novità del momento ai lettori, oggi bisogna fare i conti con l’utilizzo delle nuove tecnologie. Il problema sorge in relazione all’utilizzo dei dati personali per finalità di marketing, soprattutto laddove tali dati vengano utilizzati per indirizzare massicce campagne pubblicitarie all’utente, talvolta anche piuttosto frequenti e di conseguenza spesso indesiderate.

Si tratta quindi di capire non solo come sia cambiato il marketing con le nuove tecnologie, ma anche come e quando questo possa rientrare nel legittimo interesse dell’attore commerciale.

Sommario

  1. Il marketing nell’era digitale
  2. Marketing e legittimo interesse: un bilanciamento complesso
  3. Cosa dice il Garante: casi e soluzioni
  4. Conclusioni

1. Il marketing nell’era digitale

Prima della c.d. rivoluzione digitale, il marketing era già alla base dei processi di sviluppo del business. Venivano però utilizzati strumenti piuttosto auto-referenziali, si cercava di reperire informazioni tramite strumenti prettamente empirici, indagini statistiche e analisi di mercato. Ascoltare la voce dei clienti era difficile poiché non aveva canali attraverso cui manifestarsi e così si perdevano enormi quantità di informazioni utili per migliorare società e prodotti.

Oggi l’avvento del digitale ha radicalmente cambiato il modo di ricorrere alle strategie di marketing e di applicarle. Ha permesso anche l’emergere di nuove figure professionali che si occupano dell’analisi del dato proveniente dai canali digitali, utile per interpretare i trend in tempo reale e sfruttarli agilmente a vantaggio del business. Gli strumenti odierni e le nuove professionalità permettono di trattare una grande mole di dati e informazioni che in passato andavano persi, utili a migliorare le prestazioni delle campagne pubblicitarie, ma anche a comprendere meglio il mercato ed i suoi cambiamenti.

Il raggiungimento di questi obiettivi è sempre più semplice, grazie alle possibilità offerte dalle tecnologie legate all’intelligenza artificiale e alla personalizzazione dei contenuti. Infatti, una gran parte del marketing digitale avviene attraverso una fitta profilazione degli utenti, ossia, ai sensi dell’art. 4 GDPR “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica”, che applicato al marketing significa elaborare i dati relativi a uno o più clienti o utenti allo scopo di suddividerli in gruppi omogenei in base a gusti, interessi e comportamenti. Tuttavia, questi processi non possono avvenire in modo arbitrario e incontrollato: l’art. 22 del GDPR prevede che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato. Di solito, chi fa marketing ha bisogno di raccogliere più dati possibili, ma in ogni caso il trattamento dei dati personali deve essere minimizzato (in base al principio generale dell’art. 5 del GDPR) e, se la profilazione si basa unicamente su trattamenti automatizzati, è necessario il consenso specifico per ogni finalità.

Di norma, quindi, l’invio di comunicazioni promozionali mediante strumenti elettronici automatizzati (tra cui l’e-mail) richiede la preventiva manifestazione del consenso da parte dell’interessato. Tuttavia, l’art. 130 comma 4 del Codice Privacy introduce un’importante eccezione: si tratta del c.d. soft spam, ossia quella pratica di invio di comunicazioni promozionali mediante e-mail o posta tradizionale ai clienti per pubblicizzare prodotti e/o servizi analoghi a quelli già in precedenza acquistati dal destinatario. In simili ipotesi il Codice Privacy, in deroga alla regola generale sopra esposta, dispone che non è necessario ottenere il previo consenso da parte dell’interessato a patto che ricorrano le seguenti condizioni:

  1. il destinatario della comunicazione deve essere già cliente o ex cliente della società titolare del trattamento;
  2. la comunicazione commerciale deve riguardare servizi analoghi a quelli oggetto della vendita;
  3. l’informativa privacy deve informare l’interessato del fatto che i suoi dati potranno essere utilizzati anche per finalità di soft spam;
  4. l’interessato deve essere informato del diritto di opt-out, cioè del diritto di rifiutare in maniera semplice e gratuita l’invio di simili comunicazioni.

2. Marketing, legittimo interesse e diritti: un equilibrio complesso

Nelle ipotesi descritte a conclusione del paragrafo precedente, la base giuridica che legittima l’invio delle comunicazioni promozionali si rinviene nel legittimo interesse del titolare ex art. 6, par. 1 lett. f) GDPR. Si tratta cioè di interessi, per l’appunto legittimi ed imputabili al titolare del trattamento che possono essere anche di carattere commerciale come nel caso del marketing.

Questa deroga al principio del cd. opt-in è fondata sulla considerazione che, nella relazione col cliente, è ragionevole consentire alla società titolare del trattamento, che ha legittimamente ottenuto l’indirizzo email di tale cliente, di continuare ad utilizzarla per finalità commerciali.

Tuttavia, l’azienda che applica strategie di marketing sulla base del legittimo interesse, deve anche fare attenzione che i diritti e le libertà degli utenti non siano pregiudicati, altrimenti non potrà essere invocato l’art. 6, par. 1, lett. f) GDPR quale base giuridica del trattamento. Infatti, il Considerando 47 del GDPR, che fa riferimento al marketing diretto come possibile legittimo interesse, ricorda proprio che se il trattamento è basato sui legittimi interessi non occorre il consenso dell’interessato, purché, però, non prevalgano gli interessi o i diritti e le libertà fondamentali di quest’ultimo, tenuto conto delle ragionevoli aspettative dello stesso in base alla relazione col titolare del trattamento.

Si tratta, in buona sostanza, del bilanciamento tra l’interesse legittimo della società e i diritti dell’interessato nell’ambito delle comunicazioni per finalità di marketing. Di certo, non di facile soluzione, anche se l’articolo 130 del Codice Privacy ci fornisce un valido aiuto almeno per le comunicazioni commerciali tramite l’utilizzo di posta elettronica.

3. Cosa dice il Garante: casi e soluzioni

Della questione del bilanciamento tra legittimo interesse e diritti si è occupato più volte il Garante, soprattutto in relazione alle operazioni di telemarketing da parte delle compagnie telefoniche. L’ultimo caso è peraltro molto recente, e si tratta del provvedimento con il quale l’Autorità ha ordinato a Fastweb il pagamento di una sanzione di oltre 4 milioni e 500mila euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing. Nello specifico, centinaia di utenti avevano presentato segnalazioni e reclami lamentando continue telefonate promozionali di servizi di telefonia e internet offerti da Fastweb effettuate senza il loro consenso, facendo emergere che vari call-center abusivi stavano effettuando attività di telemarketing violando sia le disposizioni in materia di protezione dei dati personali sia le misure di sicurezza dei sistemi di gestione della clientela. L’Autorità ha quindi ordinato a Fastweb di adeguare i trattamenti in materia di telemarketing e aumentare le misure di sicurezza per impedire accessi abusivi ai propri database, con il divieto di utilizzare i dati contenuti nelle liste anagrafiche fornite da partner terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli interessati alla comunicazione a terzi dei propri dati.

Questo è il caso più recente ma certamente non il primo, bensì altre compagnie telefoniche sono incorse in sanzioni molto pesanti per telemarketing aggressivo: si pensi alla sanzione di 12 milioni 250 mila euro comminata a Vodafone nel novembre del 2020, o a quella da 27 milioni e 800 mila euro applicata invece a TIM nello stesso anno e sempre ad opera del Garante.

Nel Provvedimento n. 7 del 15 gennaio 2020, il Garante ha potuto chiarire la sua posizione a partire dal Considerando 47 del GDPR, e che in effetti poteva far prevedere conseguenze nefaste per le compagnie telefoniche, poi realizzatesi. L’Autorità, infatti, ha affermato che “l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”.

La conseguenza tratta dall’Autorità, quindi, è che l’applicazione della base giuridica del legittimo interesse presuppone la prevalenza in concreto di quest’ultimo sui diritti, libertà e interessi degli utenti, cioè dei destinatari delle comunicazioni promozionali non precedute dal consenso. Il giudizio di prevalenza deve scaturire da un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo stessa.

4. Conclusioni

Il punto centrale dell’impostazione del Garante – e più in generale il conquibus del bilanciamento tra interesse legittimo dell’azienda e diritti dell’utente – è che il titolare del trattamento non può ricorrere arbitrariamente e retroattivamente alla base giuridica dell’interesse legittimo qualora sorgano problemi con la validità del consenso. Il titolare ha l’obbligo di comunicare, nell’informativa rilasciata all’interessato, la base legittima al momento della raccolta dei dati personali, e quindi la base giuridica deve essere decisa prima della raccolta dei dati.

Inoltre, non è possibile celare il difetto del consenso dietro la presunzione che, a priori, l’utente avrebbe dovuto aspettarsi un determinato trattamento. Anzi, si tratta di un elemento da valutare attentamente, ma soprattutto inapplicabile qualora si vadano a raccogliere dati personali da partner terzi per poter inviare comunicazioni di marketing. Si tratta, come visto, del caso delle recenti sanzioni alle compagnie telefoniche.

Le aziende hanno il legittimo interesse a far progredire il loro business diffondendo beni o servizi, ma l’utente conserva sempre e comunque il diritto a sapere come vengono usati i propri dati, perché e dove verranno eventualmente trasferiti, ovviamente decidendo se acconsentire o meno. Un’impostazione chiara, assistita dalle linee guida pubblicate dall’associazione europea IAB Europe.

Certo è che non saranno gli ultimi provvedimenti in materia, essendo quello del marketing un fenomeno quotidiano e basilare per l’economia di un’azienda.

IN COLLABORAZIONE CON

Assodata e Isdifog

>> Scopri tutte le date dei corsi in materia di Privacy di Altalex!

Tutti i diritti del presente articolo sono riservati. Fonte: Altalex