Esiste una sorta di non-consent zone che permetta alle Aziende di fare email-marketing? Tradotto: per l’invio delle nostre Newsletter o DEM possiamo appoggiarci solo alla base giuridica del consenso del destinatario oppure ci sono alternative?
La regola generale del consenso
L’art. 130 del Codice della Privacy, commi 1 e 2, al riguardo è molto chiaro:
- Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. (…)
- La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.”
Tale articolo sembra non lasciare scampo: la base giuridica che legittima il Titolare all’invio di comunicazioni pubblicitarie con sistemi automatizzati (tra cui l’e-mail) è il consenso liberamente espresso dall’Interessato.
Consenso che, per essere valido, deve presentare caratteristiche ben precise, essendo espressione di una “volontà libera, specifica, informata e inequivocabile dell’Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 n. 11 GDPR).
Questo implica che quando differenti trattamenti effettuati dal Titolare siano basati sul consenso dell’Interessato, il Titolare dovrà preoccuparsi di richiedere una manifestazione di consenso specifica per ognuno di essi, che dovrà concretizzarsi in un’azione positiva e dimostrabile, a prescindere dalla forma in cui la stessa viene resa, sia essa mediante mezzi elettronici, in forma scritta, o in forma orale.
Discorso chiuso o c’è un’alternativa?
L’alternativa c’è e ha un notevole peso specifico.
L’art 130 comma 4 Codice Privacy introduce la possibilità del c.d. soft-spam: “Fatto salvo quanto previsto nel comma 1, se il Titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’Interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’Interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’Interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’Interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”
Tale eccezione si applica esclusivamente all’email marketing (non alle comunicazioni telefoniche o altre forme di trattamenti automatizzati), a condizione che
- la email sia fornita dal Cliente nel contesto della vendita di un prodotto o servizio, e quindi, ad esempio, in fase di compilazione del modulo d’ordine o nel contratto di servizi;
- i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal Titolare (e non da terzi);
- il prodotto o il servizio devono essere analoghi a quelli già acquistati dall’Interessato;
- il destinatario non deve aver rifiutato all’inizio o nel corso di ulteriori comunicazioni tale invio di comunicazioni promozionali;
Quale base giuridica nel caso di soft-spam?
Nel caso si ricorra al soft-spam, la base giuridica del trattamento si sposta dal consenso dell’Interessato al legittimo interesse dell’Azienda a cui deve corrispondere una speculare ragionevole aspettativa dell’Interessato circa la ricezione a mezzo email di quello specifico contenuto di informazioni commerciali.
Pertanto, la domanda è: come utilizzare correttamente la base giuridica del legittimo interesse?
Legittimo interesse: istruzioni per l’uso
Prima di attivare un email marketing riconducibile al soft-spam, il Titolare, come richiesto dallo stesso articolo 6 GDPR, deve accertarsi che “il trattamento è necessario per il perseguimento del legittimo interesse (…), a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’Interessato che richiedono la protezione dei dati personali, in particolare se l’Interessato è un minore.”
Consigliamo, quindi, di procedere come segue:
- Definire il legittimo interesse: ai sensi del Considerando 47 del GDPR, “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
- Effettuare un test di bilanciamento – LIA (Legitimate Interest Assesment) tra il perseguimento del legittimo interesse “trattamento dati per finalità di e-mail marketing”, da una parte, e diritti e le libertà fondamentali dei destinatari dell’email marketing, dall’altra.
- Superata positivamente la LIA, l’azienda può iniziare a inviare email di marketing ai sensi dell’art 130 comma 4 Codice Privacy.
Soft-spam solo post-vendita?
Ovvero: possiamo fare email-marketing solo dopo la vendita di un nostro bene o servizio? La ragionevole aspettativa del destinatario di ricevere nostra pubblicità a mezzo email potrebbe sussistere anche al netto di un suo acquisto?
Secondo l’ICO (Information Commissioner’s Office, ovvero il Garante privacy inglese), la risposta è affermativa: è sufficiente che ci siano state “trattative per una vendita”.
Ciò significa che il potenziale Cliente dovrebbe aver espresso attivamente interesse all’acquisto di nostri prodotti o servizi, ad esempio richiedendo un preventivo o chiedendo maggiori dettagli su un nostro prodotto o servizio anche senza concludere l’acquisto.
Ad esempio:
- se un Cliente accede al nostro sito Web per sfogliare la nostra gamma di prodotti, questo non è sufficiente per rappresentare una trattativa,
- ma se il Cliente compila un modulo di richiesta online chiedendo maggiori dettagli su un prodotto o una gamma di prodotti, questo potrebbe essere sufficiente per consentirci di utilizzare la base giuridica del legittimo interesse.
Nota bene
Oltre alla LIA, da effettuare in ogni caso, importante non dimenticare:
- Di aver dato la possibilità ai nostri Clienti o potenziali Clienti di fare opt-out prima di ricevere la prima email di marketing nel contesto di un’adeguata informativa
- Di dare sempre la possibilità di un agevole opt-out ad ogni ricezione delle email di marketing.
Vuoi saperne di più sul mail marketing senza consenso?
