Il marketing diretto ai sensi del Regolamento EU 679/2016: tra legittimo interesse ed opt-out

26/02/2018 12:46


Commento a cura dell'Avv. Andrea d'Agostino Senior Legal & Data Protection Counsel Gruppo Mondadori e Dott.ssa Gioia Girotto


Il nuovo Regolamento Europeo EU 679/2016 (cd. "GDPR") relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati, che sarà direttamente applicabile in tutti gli Stati Membri dell'Unione Europea a partire dal 25 maggio 2018, ha introdotto tra le condizioni che costituiscono la base giuridica affinché un trattamento di dati personali possa essere considerato lecito, ai sensi dell'articolo 6 del GDPR, il concetto di "legittimo interesse" del titolare del trattamento.
L'introduzione del legittimo interesse del titolare del trattamento permette di considerare lecito un trattamento di dati personali che - a prescindere dalle specifiche ipotesi in cui un trattamento si fondi sul (i) consenso dell'interessato, (ii) adempimento degli obblighi contrattuali, (iii) interessi vitali della persona interessata o di terzi, (iv) obblighi di legge cui è soggetto il titolare, (v) interesse pubblico o esercizio di pubblici poteri - sia effettuato per perseguire uno scopo legittimo del titolare o di terzi a cui i dati vengono comunicati fatto salvo che gli interessi o i diritti e le libertà fondamentali dell'interessato non siano prevalenti su tale scopo.
In particolare, lo stesso legislatore europeo, al fine di rendere maggiormente chiaro il concetto sotteso alla norma di cui sopra, ha sfruttato l'utilità dei considerando ed in particolare fornendo precisi chiarimenti all'interno del Considerando 47. Il metro di giudizio da utilizzare per verificare la sussistenza di un legittimo interesse del titolare nel condurre un trattamento, a prescindere dai casi sopra elencati, è il bilanciamento degli interessi e quindi deve tenere conto delle "ragionevoli aspettative dell'interessato in base alla sua relazione con il titolare del trattamento". Secondo una tale impostazione, la valutazione sul bilanciamento degli interessi deve essere effettuata direttamente dal titolare del trattamento che, sostituendosi all'interessato, dovrà considerare tutte le conseguenze derivanti da quella determinata attività di trattamento e gli eventuali rischi correlati.
Lo stesso Considerando 47 fornisce degli interessanti esempi relativi al concetto di legittimo interesse tra i quali il rapporto tra cliente e fornitore e quello tra il datore di lavoro ed il dipendente. L'interessato, in questi casi, non può non aspettarsi che il titolare non effettui un trattamento dei suoi dati personali proprio perché finalizzato a perseguire interessi legittimi.
Tra i vari spunti che il Considerando 47 offre ai lettori, ciò che più rileva ai fini della presente trattazione, è l'ultimo inciso ossia "può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto".
Con il termine "marketing diretto" si intende un tipo di comunicazione commerciale o di marketing attraverso la quale le aziende, comunicando con i propri clienti e senza avvalersi di intermediari, promuovono beni e servizi da loro direttamente commercializzati. Ciò consente di raggiungere un target definito, con azioni mirate che utilizzino una serie di strumenti, anche interattivi, ottenendo in tal modo risposte oggettive misurabili, quantificabili e qualificabili. Rispetto agli altri tipi di comunicazione di marketing, questo consente di rafforzare una relazione diretta e duratura che un fornitore ha con i propri clienti nonché acquisirne e svilupparne nuovi che hanno manifestato il proprio interesse ad entrare in contatto con quel titolare del trattamento per poi fidelizzarli ed infine recuperarli in caso di abbandono.
Il combinato disposto degli articoli 6 e 7 e dei Considerando 38, 47 e 70 del GDPR sembrerebbe introdurre un presupposto per cui, in presenza di giustificati legittimi interessi e di una adeguata informativa, nel perseguimento della finalità di marketing diretto il c.d. meccanismo di "opt-out" diventerebbe la regola. Ciò significa che, sulla base giuridica di un giustificato legittimo interesse del titolare del trattamento, non sarebbe necessario richiedere uno specifico consenso da parte dell'interessato affinché quest'ultimo possa essere legittimo destinatario di comunicazioni commerciali dirette. Ciò che sarà invece sufficiente è fornire una comunicazione chiara e trasparente circa la possibilità di esprimere il proprio diniego, sia in fase di raccolta dei dati sia successivamente potendosi opporre, in qualsiasi momento, alle operazioni di trattamento per finalità di marketing diretto ai sensi dell'articolo 21 del GDPR.
Sino ad oggi tale ambito è stato disciplinato dall'articolo 130 del D.Lgs. 196/2003 (cd. "Codice Privacy") e dai provvedimenti dell'Autorità Garante per la Protezione dei Dati Personali che hanno stabilito che il consenso è necessario per comunicazioni promozionali e pubblicitarie inviate attraverso strumenti automatizzati (e-mail, sms, mms, fax e telefonate automatizzate senza operatore), mentre una pseudo-deroga al consenso vale per comunicazioni di marketing effettuate mediante strumenti non automatizzati (posta cartacea e telefonate con operatore) qualora i dati vengano estratti da pubblici elenchi. In questi casi resta salvo il principio secondo il quale una tale attività di marketing è possibile esclusivamente nei confronti di quei soggetti che non risultino iscritti al Registro Pubblico delle Opposizioni così come istituito dal D.P.R n°178/2010 e detenuto dalla Fondazione Ugo Bordoni.
Rispetto al contesto di cui sopra, con l'entrata in vigore del GDPR, il tema del marketing diretto dovrà essere affrontato con un diverso approccio all'interno dell'informativa resa agli interessati ai sensi dell'articolo 13 del GDPR ossia indicando tutte le informazioni e valutazioni effettuate dal titolare del trattamento relativamente al perseguimento di un proprio legittimo interesse finalizzato allo svolgimento di attività di marketing diretto. Ciò comporta che il modulo di raccolta del consenso non conterrà più una richiesta di consenso per il marketing diretto bensì la semplice possibilità di opporsi sin da subito al trattamento dei propri dati per tale finalità.
Sul fronte digitale e del mondo web, un tale nuovo approccio dovrà essere tenuto in considerazione dal legislatore europeo nell'aggiornare la direttiva 2002/58/CE. In tal senso l'articolo 95 del GDPR ha fatto esplicito riferimento alla vigente direttiva 2002/58/CE che disciplina gli obblighi specifici in materia di e-privacy ed il Considerando 173 del GDPR, conseguentemente, prevede una tale esigenza: "per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, è opportuno modificare quest'ultima di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere riesaminata in particolare per assicurare la coerenza con il presente regolamento". È proprio in quest'ottica che il Parlamento Europeo ed il Consiglio Europeo hanno avviato i lavori di stesura di un nuovo regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (c.d. "Regolamento e-Privacy"). Da una lettura della bozza del Regolamento e-Privacy, l'articolo 16 della stessa altro non fa che ribadire il nuovo approccio al marketing diretto previsto dal GDPR ed, in particolare, prevede che il consenso non è necessario quando il titolare, a fini di vendita diretta di propri prodotti o servizi, utilizza gli indirizzi di posta elettronica raccolti presso gli interessati nel contesto della vendita di un prodotto o di un servizio, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e non vi sia il rifiuto da parte dell'interessato a tale uso, sia inizialmente che in occasione di successive comunicazioni. Relativamente al telemarketing, la bozza di Regolamento e-Privacy, prevede che l'impiego di chiamate aventi finalità di marketing diretto dovrebbe essere consentito unicamente nei confronti di soggetti che abbiano prestato il loro consenso. Tali chiamate devono presentare l'identità di una linea alla quale possono essere contattati oppure presentare un codice o prefisso specifico che identifichi il fatto che si tratta di una chiamata a fini commerciali.
In conclusione, sia il GDPR che la bozza di Regolamento e-Privacy, si sono posti e si stanno ponendo l'obbiettivo di bilanciare gli interessi degli operatori economici rispetto a quelli degli interessati per quanto riguarda, nello specifico, le attività di trattamento per finalità di marketing diretto. L'intento è senz'altro quello di favorire le attività commerciali senza però invadere in maniera abusiva e selvaggia la sfera di interessi di ogni singolo soggetto interessato rendendo la normativa applicabile più chiara e trasparente. La semplificazione della disciplina sul marketing diretto, seppur apparentemente pro business, costituisce un forte elemento di responsabilizzazione degli operatori economici che si trovano ad avere maggiori responsabilità ed oneri rispetto al passato nel pieno rispetto del principio della accountability, tra i pilastri fondanti della nuova normativa europea in materia di privacy.

Vetrina