(questo articolo è pubblicato anche su Diritto 24).

Nel giro di pochi mesi, il Garante della privacy ha adottato due importanti provvedimenti in materia di marketing: un provvedimento generale in tema di consenso al trattamento dei dati personali per, appunto, finalità di marketing, e, soprattutto, le Linee Guida in materia di attività promozionale e contrasto allo spam, entrambi pubblicati sulla G U. n. 174 del 26 luglio 2013.

Entrambi i provvedimenti hanno primariamente ad oggetto il marketing diretto effettuato mediante invio di comunicazioni commerciali con mezzi automatizzati (chiamate pre-registrate, posta elettronica, sms, mms ecc.).

Con il primo, il Garante si è limitato in sostanza a chiarire in via interpretativa che il consenso dei destinatari di comunicazioni commerciali, acquisito per finalità di marketing con le modalità automatizzate appena descritte, legittima anche il marketing svolto mediante modalità tradizionali, come la posta cartacea o le chiamate telefoniche tramite operatore. Non serve, in altre parole, un secondo consenso per l’utilizzo del canale comunicativo tradizionale.

Di ben più ampia portata il secondo provvedimento, che fornisce un quadro organico di indicazioni e prescrizioni da seguire per svolgere in maniera conforme alla normativa di settore l’attività di marketing diretto. Anche se per la gran parte le Linee guida riepilogano e ordinano in sistema indicazioni che potevano essere già desunte dalla precedente produzione del Garante, esse, però, contengono un paio di interessanti novità, che si segnaleranno più avanti.

Il primo principio consolidato ribadito dalle Linee guida è quello per cui il marketing diretto, fatte salve alcune eccezioni, richiede, per essere conforme alla legge, l’acquisizione del consenso preventivo ed informato dell’interessato (principio dell’opt-in).

L’informativa, in particolare, deve specificare (oltre agli altri elementi obbligatori per legge) quali modalità saranno utilizzate per il trattamento (posta cartacea, telefonate automatizzate, fax, e-mail, sms, mms), e quali le finalità del trattamento, ivi comprese quelle eventuali ed ulteriori rispetto alla finalità di marketing (ad esempio, la profilazione dell’utente).

Quanto al consenso, in ossequio al principio dell’opt-in, non è lecito limitarsi a informare l’interessato, con la prima comunicazione commerciale, della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con la stessa prima comunicazione, il consenso al trattamento dati per finalità promozionali. Nemmeno è lecito assumere che l’interessato acconsenta all’invio di comunicazioni commerciali solo perché i suoi dati personali sono reperibili in pubblici elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque, ivi compreso l’indice nazionale degli indirizzi pec.

Il consenso ad attività di marketing, inoltre, non è validamente prestato se è pre-impostato (come quando la casella del consenso è spuntata in default) ovvero quando esso viene indirettamente coartato facendone una condizione per conseguire una determinata prestazione (ad es. per la registrazione a un sito web).

Non è legittimo, infine, acquisire un unico consenso per finalità promozionali proprie e di terzi, vale a dire per la comunicazione o cessione dei dati a soggetti terzi perché questi inviino proprie comunicazioni commerciali, neppure quando detti terzi siano società controllanti o controllate o collegate. In questi casi non solo l’azienda che raccoglie i dati deve informare previamente gli interessati della progettata comunicazione e/o cessione a terzi, specificando le categorie (economiche o merceologiche) di appartenenza di questi ultimi, ma anche ottenere un consenso distinto da quello richiesto per svolgere essa stessa attività promozionale.

Infine, sempre in tema di consenso, il Garante ha ricordato l’eccezione del c.d. soft spam, la regola, cioè, per la quale, per il solo marketing effettuato mediante posta elettronica, il titolare del trattamento può utilizzare le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso.

Fin qui, le indicazioni tutto sommato prevedibili di un provvedimento che, come detto, si segnala più per il suo valore sistematico che per la portata innovativa. Come anticipato, esso contiene però anche due significative novità.

La prima riguarda la possibilità, ammessa dal Garante, di acquisizione di un unico consenso per tutte le finalità del trattamento dei dati personali riconducibili alla finalità di marketing in senso ampio, e così quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale.

Nel corso degli anni, il Garante è sempre stato piuttosto rigoroso nell’affermare il principio che il consenso al trattamento dei dati personali non può mai essere acquisito una sola volta per finalità diverse (ad esempio, per l’iscrizione a un sito e al contempo per ricevere comunicazioni commerciali); quando si intende trattare i dati dell’interessato per finalità diverse, ha sempre affermato, occorre ottenere un separato e specifico consenso per ciascuna di esse.

In questo caso, tuttavia, il Garante ha ritenuto che le finalità sopra elencate (che conviene ripetere: invio di materiale pubblicitario; vendita diretta; compimento di ricerche di mercato; comunicazione commerciale) siano tra loro omogenee, perché ricomprese nella generale categoria del “marketing”, e che richiedere per ciascuna un consenso separato avrebbe comportato un’eccessiva burocratizzazione. Ha, quindi, chiarito che nel caso l’acquisizione del consenso una tantum è da ritenersi conforme a legge.

Allo stesso tempo, però, il Garante ha ribadito che è necessario, al contrario, ottenere una separata espressione di consenso dall’interessato quando si vogliano raccogliere i dati – oltre che per finalità di marketing – anche per finalità di profilazione, e/o di comunicazione o cessione dei dati a terze parti. In questo caso, infatti, manca l’omogeneità del fine che giustifica l’unicità del consenso al trattamento.

L’altra novità, sempre in tema di acquisizione del consenso, riguarda i social network.

Il Garante ha chiarito che il fatto stesso di diventare fan della pagina di una determinata azienda o follower di un determinato marchio, prodotto o servizio, può costituire di per sé valida espressione di consenso all’invio di comunicazione promozionale, riguardante quel marchio, prodotto o impresa, se dal contesto dell’iscrizione può evincersi che l’interessato abbia voluto manifestare anche la volontà di ricevere messaggi promozionali.

In ogni altro caso, l’impiego di dati personali presenti nei profili degli utenti sui social network, per inviare agli utenti stessi messaggi promozionali, costituisce trattamento illegittimo di dati personali se effettuato senza previo consenso espresso degli interessati.