Tutela della privacy e direct marketing

Tutela della privacy e direct marketing-studio-labella

La buona prassi per le aziende per rendere compliant al GDPR il proprio piano di marketing

Il Regolamento UE 679/2016 ha imposto alle imprese una maggior attenzione in materia di protezione dei dati personali, anche e soprattutto sotto il profilo del trattamento per finalità di marketing, attività che – come noto – si pone fra i trattamenti più frequenti ma anche più “insidiosi” per l’Utente

Ed invero, tale prassi ha ingenerato anche un’attività ispettiva particolarmente intensa da parte del Garante coadiuvato dal Nucleo speciale Privacy della Guardia di finanza; attività che ha fatto emergere diverse violazioni poste in essere dalle aziende italiane anche di fama internazionale.

Si prenda ad esempio l’ordinanza ingiunzione nei confronti di Vodafone Italia S.p.A (Provv. n. 412 del 5 luglio 2018 doc. web n. 9025351) con la quale il Garante ha irrogato alla nota società una sanzione amministrativa di 800.000 mila euro motivando che:

  • in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di maggiore gravità rispetto alle precedenti applicazioni di sanzioni della medesima specie,  sia in considerazione dell’elevatissimo numero di contatti realizzati (circa 38.000.000) in un arco temporale inferiore a due anni, sia tenuto conto che, nel caso in argomento, sono stati impiegati differenti canali di contatto che hanno determinato un esponenziale aumento del livello di invasività delle campagne promozionali;
  • ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Vodafone abbia “intrapreso un percorso estremamente penetrante e concreto e ha posto in essere una serie di misure correttive a cominciare proprio dalla registrazione della volontà degli utenti contattati nel senso indicato dall’Autorità. (Provv. n. 412 del 5 luglio 2018 doc. web n. 9025351)

La specifica base giuridica che consente all’azienda di inviare comunicazioni a scopo commerciale, per quanto riguarda il nostro ordinamento, è rappresentata dal consenso del soggetto interessato al trattamento, consenso manifestato mediante un’azione positiva e dimostrabile, a prescindere dalla forma in cui la stessa viene resa, sia essa mediante mezzi elettronici, in forma scritta, o in forma orale.

Tale base giuridica è infatti richiamata dall’art 130 del codice privacy a mente del quale “1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5. 12 13 

  • La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.”

La disposizione in esame deve essere letta in combinato disposto con l’art 4 del GDPR, alla luce del quale il consenso, per essere valido, deve presentare caratteristiche ben precise, essendo espressione di una “volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso [l’interessato] manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Ciò anche quando i dati personali dell’interessato siano stati raccolti da registri pubblici, albi, elenchi, siti web o documenti conosciuti o conoscibili a chiunque (si vedano, a titolo esemplificativo: provv. 21 settembre 2017 – doc. web n. 7221917 provv. 24 maggio 2017, n. 248, doc. web n. 6502780, doc. web n. 29840; Linee Guida in materia di attività promozionale del 4 luglio 2013, cit., par. 2.5)”.

E’ doveroso infine ricordare che il GDPR ha introdotto il principio secondo cui i trattamenti riguardanti attività di marketing diretto possano reperire la loro base giuridica non solo nel consenso ma, a determinate condizioni, anche nell’interesse legittimo del Titolare: è il fenomeno del cd. “soft spam” di cui all’art. 130 co. 4 Codice privacy.

Dello specifico argomento si parlerà nel prossimo articolo dedicato ad una maggior approfondimento proprio di tale prassi richiamata anche dal nostro codice privacy.

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.