Categorie approfondimento: Commerciale e industriale
15 Agosto 2016

Comunicazioni elettroniche per fini promozionali: le linee guida del Garante

Di cosa si tratta

Il Garante per la protezione dei dati personali è tornato a trattare il tema delle comunicazioni elettroniche indesiderate, fenomeno universalmente conosciuto come “spam”, e lo ha fatto con l’adozione di un documento volto a fornire indicazioni di carattere generale sulla materia: le “linee guida in materia di attività promozionale e contrasto allo spam” (pubblicate sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013).
Più in particolare il fenomeno è costituito dalle comunicazioni per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale effettuate, in violazione delle norme del Codice, principalmente con e-mail, fax, sms e mms. Per un maggiore approfondimento si rinvia ai seguenti articoli pubblicati nel sito: “Richiesta del consenso all’invio di comunicazioni commerciali per posta elettronica” e ” Comunicazioni elettroniche indesiderate: tutela dinanzi al Garante della privacy. Il reclamo circostanziato e la segnalazione“.
Il citato documento costituisce l’aggiornamento dell’ormai preistorico provvedimento generale del 29 maggio 2003 (addirittura precedente all’entrata in vigore del Codice sulla protezione dei dati personali), intitolato “Spamming. Regole per un corretto uso dei sistemi automatizzati e l’invio di comunicazioni elettroniche”.
Il Garante ha infatti ravvisato la necessità di adottare le “linee guida” con la finalità di:
– adeguare le sue posizioni al mutato panorama normativo, sia nazionale sia comunitario, e tecnologico;
– chiarire alcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali;
– inquadrare alcune nuove forme di spam, con l’intento di limitare i rischi connessi alle novità tecnologiche, tenendo conto della loro continua evoluzione e della loro sempre più rapida diffusione.
Nonostante gli importanti obiettivi che si era posto, il Garante ha realizzato un documento poco approfondito che, ancora una volta, valuta il tema del trattamento dei dati solo dal punto di vista del soggetto cui si riferiscono i dati trattati (interessato) e non del soggetto che tali dati debba trattare (titolare del trattamento). La miopia del Garante ha portato all’interruzione del promettente percorso, iniziato solo qualche mese fa, con il quale, finalmente constatate le potenzialità economiche dei dati lecitamente acquisiti e trattati, si invitavano le imprese a valorizzare il proprio patrimonio dati, trasformando la privacy da costo a risorsa.
Ciò premesso ecco una breve sintesi delle indicazioni più interessanti fornite dal Garante.
In ordine all’ambito soggettivo dello spam e le tutele azionabili il Garante ricorda che le persone giuridiche sono, allo stato, sprovviste della possibilità di avvalersi dei medesimi mezzi di tutela previsti per le persone fisiche.
Al riguardo, va infatti ricordato che il c.d. decreto “salva Italia” ha modificato alcune disposizioni contenute nella parte prima del Codice e soprattutto le nozioni di “interessato” e di “dato personale”, in particolare eliminando ogni riferimento alle persone giuridiche o assimilate, ossia enti e associazioni, e ha mantenuto il riferimento alle sole persone fisiche.
Ulteriori modifiche sono dovute al d. lgs. 28 maggio 2012 n. 69, introdotto a seguito del recepimento della direttiva 2009/136/CE, che è stato seguito da un provvedimento dell’Autorità al fine di risolvere le conseguenti incertezze interpretative (provvedimento generale del 20 settembre 2012). Allo stato le persone giuridiche ed enti assimilati, destinatarie dello spamming – differentemente dalla persone fisiche – dal 6 dicembre 2011 non possono più presentare segnalazioni, reclami o ricorsi al Garante, né possono esercitare i diritti di cui agli art. 7 ss. del Codice, perché non possono essere più “interessati”.
Tuttavia detti soggetti si possono avvalere degli ordinari strumenti di tutela forniti dall’ordinamento, quindi, possono esperire presso l’autorità giudiziaria ordinaria rimedi civilistici quali, ad esempio, l’azione inibitoria e/o l’azione di risarcimento del danno oppure, eventualmente qualora ricorrano gli elementi costitutivi dell’art. 167 del codice della privacy (rubricato “trattamento illecito dei dati”), anche sporgere denuncia e quindi attivare un procedimento penale con le relative sanzioni.
Vi è però da aggiungere che gli indirizzi di posta elettronica riconducibili alla persona giuridica che siano attribuiti a un dipendente e che contengano le generalità dello stesso (nome.cognome@personagiuridica.it) devono essere considerati personali e quindi godono delle tutele previste dal Codice per le persone fisiche.
Per quanto riguarda il consenso che l’interessato deve esprimere, due sono i rilievi interessanti effettuati dal Garante.
Il primo attiene all’ipotesi in cui i dati vengano comunicati e/o ceduti a soggetti terzi per fini di marketing; nella prassi accade spesso che i titolari del trattamento, mediante moduli contrattuali cartacei o appositi form on-line, raccolgano un generico consenso al trattamento per le finalità promozionali proprie e di soggetti terzi ai quali comunicano (e/o talvolta cedono) i dati personali raccolti, senza individuare tali soggetti né nell’informativa né nella formula di acquisizione del consenso e senza indicarne la categoria economica o merceologica di riferimento.
A tal proposito si rileva che “la comunicazione o cessione a terzi di dati personali per finalità di marketing non può fondarsi sull’acquisizione di un unico e generico consenso da parte degli interessati per siffatta finalità. Pertanto, chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa, ai sensi dell’art. 13, comma 1, del Codice, che individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: “finanza”, editoria”, “abbigliamento”).
Inoltre, occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale.
Qualora l’interessato rilasci il suddetto consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale.
In sostanza, non è possibile raccogliere un generico consenso dell’interessato per un trattamento che comporti anche la cedibilità o comunicabilità a terzi dei dati: occorre che i terzi siano individuati, che le finalità del trattamento siano chiare e che, conseguentemente, il consenso sia specifico.
Sempre per quanto attiene il consenso per la finalità promozionale, il Garante ritiene necessario inoltre che lo stesso sia documentato per iscritto.
Gli operatori possono ritenersi liberi di scegliere il metodo che ritengono opportuno nell’ambito della propria libertà organizzativa, dato che non è necessario che il consenso acquisito abbia forma scritta, a pena di invalidità del medesimo. Tuttavia è comunque necessario che il titolare del trattamento adotti misure idonee a darne prova fornendo alcuni elementi tali da poter ritenere acquisito il consenso e circostanziare tale acquisizione. In particolare, è necessario che risultino documentati, nella modalità che si ritenga di adottare, la data in cui è stato reso e gli estremi identificativi di chi lo ha ricevuto, adottando altresì, contestualmente, analoghe procedure idonee a garantire che la volontà dell’interessato di revocare il suo consenso venga effettivamente rispettata.
Il Garante, in ultimo, fornisce indicazioni di carattere generale anche in relazione a nuove forme e modalità di spam, legate all’evoluzione “sociale” di internet, attualmente prive di un’espressa previsione normativa. Si tratta del c.d. “social spam” consistente in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Tale nuovo fenomeno s’inquadra nel problema dell’indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell’ambito dei social network, tanto più rispetto a profili di tipo “aperto”.
In ordine ai profili che più interessano i nostri lettori, il Garante, dopo aver ricordato la liceità di messaggi a scopo meramente personale inviati all’interno dei social network (comunque soggetti alla disciplina del Codice della privacy), fornisce alcuni chiarimenti relativamente a due ipotesi.
Una prima ipotesi è quella in cui l’utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto.
Una seconda è quella in cui l’utente sia diventato “fan” della pagina di una determinata impresa o società oppure si sia iscritto a un “gruppo” di follower di un determinato marchio, personaggio, prodotto o servizio (decidendo così di “seguirne” le relative vicende, novità o commenti) e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi.
Nel primo caso, il trattamento sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall’interessato un consenso preventivo, specifico, libero e documentato ai sensi dell’art. 130, commi 1 e 2, del Codice.
Nel secondo caso, l’invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall’impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l’interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l’interessato si cancella dal gruppo, oppure smette di “seguire” quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sarà illecito, con le relative conseguenze sanzionatorie. Ciò, ferma comunque restando la possibilità, talora fornita dai social network ai loro utenti, di bloccare l’invio di messaggi da parte di un determinato “contatto” o di segnalare quest’ultimo come spammer.
Nell’ipotesi dei “contatti” (i c.d. “amici”) dell’utente, dei quali spesso nei social network o nelle comunità degli iscritti ai servizi di cui sopra, sono visualizzabili numeri di telefono o indirizzi di posta elettronica, l’impresa o società che intenda inviare legittimamente messaggi promozionali dovrà aver previamente acquisito, per ciascun “contatto” o “amico”, un consenso specifico per l’attività promozionale.
Con il presente articolo abbiamo cercato di riportare le linee operative e organizzative che le società che effettuano un trattamento dei dati personali mediante l’invio di comunicazioni elettroniche sono tenute a seguire correttamente al fine di evitare di incorrere in sanzioni che, in relazione alla gravità della condotta, potrebbero essere non solo amministrative ma anche penali.

(Visited 1 times, 3 visits today)