Marketing e Privacy: un eterno conflitto sanabile con logica e senso di responsabilità
Il GDPR attribuisce grande rilevanza alla profilazione, ma meno spazio al marketing poiché ciò che più preoccupa il legislatore comunitario è l’attività di profilazione condotta con l’ausilio di strumenti automatici. L’attività di marketing non viene certo considerata di per sé un’attività illegittima, ma può diventare oggetto di particolare interesse dal punto di vista privacy (vedi ad esempio l’art. 21 del GDPR).
(Nella foto: Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
Come è noto il termine marketing deriva dall'inglese market (mercato), cui viene aggiunta la desinenza del gerundio per indicare la partecipazione attiva, cioè l'azione sul mercato stesso da parte delle imprese destinata al piazzamento di prodotti o servizi, considerando come finalità il maggiore profitto e come causalità la possibilità di avere prodotti capaci di realizzare tale operazione finanziaria.
Oggetto di maggiore interesse per i nostri fini è il direct marketing che è un insieme di tecniche di marketing attraverso le quali aziende commerciali, ma anche enti (ad esempio organizzazioni pubbliche e no profit) comunicano direttamente con clienti e utenti finali consentendo di raggiungere un target definito, con azioni mirate che utilizzino una serie di strumenti, anche interattivi, ottenendo in tal modo delle risposte oggettive misurabili, quantificabili e qualificabili.
Gli strumenti di promozione e comunicazione più utilizzati a tale scopo sono:
- promozione commerciale a mezzo di incaricati alla vendita diretta;
- promozione telefonica, ovvero telemarketing via telefono fisso o mobile;
- campagne pubblicitarie sui Social Network;
- campagne pubblicitarie su siti internet;
- comunicazioni commerciali via posta cartacea (direct mail);
- comunicazioni commerciali via posta elettronica (email marketing);
- comunicazioni commerciali via cellulare (mobile marketing);
- coupon (tagliandi di offerte, omaggi o sconti) inseriti in annunci stampa o siti internet;
- televendite e spot televisivi su TV interattiva.
E’ evidente, quindi, come una campagna di marketing vada condotta nel rispetto dei principi generali di cui all’art. 5 del GDPR, con adeguata informativa e consenso realmente consapevole.
Proprio in tale ottica bisogna considerare che il GDPR ha introdotto il concetto di “legittimo interesse” del titolare quale base giuridica su cui valutare la liceità delle operazioni di trattamento di dati personali.
Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati anche qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f).
Il perseguimento di un legittimo interesse si pone come base giuridica alternativa alle altre previste nell’art. 6 del GDPR.
Nel Considerando 47 il GDPR elenca anche alcuni esempi di legittimo interesse, tra cui il rapporto tra cliente/fornitore o tra datore di lavoro e dipendente, situazioni in cui è evidente che l’interessato non può non aspettarsi che venga effettuato il trattamento dei propri dati personali proprio per la necessità di perseguire legittimi interessi. Il considerando in esame espressamente prevede anche che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Quest’ultima frase ha fatto nascere non poca confusione tra gli operatori del settore e da più parti si leggono commenti secondo cui non sarebbe più necessario acquisire il consenso degli interessati per attività di marketing diretto, in quanto, appunto, il legittimo interesse del titolare costituirebbe oramai la base giuridica per lo svolgimento di tale attività.
In realtà deve da subito precisarsi che detta interpretazione non può essere considerata corretta e ciò almeno fino a quando resterà in vigore la direttiva 2002/58/CE (cd. direttiva e-Privacy) che disciplina specificamente il trattamento dei dati personali nel settore delle comunicazioni elettroniche.
La semplice menzione, da parte del considerando n. 47 delle finalità di marketing diretto quale attività che può essere considerata legittimo interesse del titolare, quindi ipoteticamente idonea a far venir meno la necessità di acquisire il consenso dell’interessato, deve essere letta sia alla luce di quanto chiarito nel medesimo considerando sia tenendo in considerazione il rapporto tra il GDPR e la direttiva sopra menzionata.
L’art. 95 del Regolamento, infatti, prevede che il GDPR “non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE“.
Il rapporto tra le due norme di rango comunitario è preso in considerazione anche dal considerando n. 173, che, nel chiarire appunto la “neutralità” del GDPR rispetto agli obblighi specifici previsti dalla direttiva e-Privacy, espressamente dichiara la necessità di riesaminare la disciplina dettata da tale direttiva per assicurarne la coerenza con il GDPR, riesame che in realtà è già in atto avendo presentato la Commissione Europea, una proposta di regolamentazione specifica della materia (cd. Regolamento e-Privacy).
Di conseguenza, allo stato attuale, con specifico riferimento all’attività di marketing diretto sono quindi applicabili tuttora le regole dettate dall’art. 130 del d.lgs. n. 196/2003.
In effetti sia il GDPR che la bozza di Regolamento e-Privacy, si sono posti e si stanno ponendo l'obbiettivo di bilanciare gli interessi degli operatori economici rispetto a quelli degli interessati per quanto riguarda, nello specifico, le attività di trattamento per finalità di marketing diretto. L'intento è senz'altro quello di favorire le attività commerciali senza però invadere in maniera abusiva e selvaggia la sfera di interessi di ogni singolo soggetto interessato rendendo la normativa applicabile più chiara e trasparente.
La semplificazione della disciplina sul marketing diretto, seppur apparentemente pro business, costituisce un forte elemento di responsabilizzazione degli operatori economici che si trovano ad avere maggiori responsabilità ed oneri rispetto al passato nel pieno rispetto del principio della accountability, tra i pilastri fondanti della nuova normativa europea in materia di privacy.
Si ricorda, inoltre, che l’uso corretto di nuove tecnologie come Internet e la posta elettronica per condurre una campagna di marketing rappresenta la principale preoccupazione dell’Autorità Garante che è intervenuta in materia con diversi provvedimenti.
Si pensi in particolare alle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 oppure al provvedimento sul Consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto del 15 maggio 2013.
Molti principi contenuti in questi provvedimenti sono ancora validi come la necessità di un’informativa chiara e completa e di un consenso preventivo che sia libero, informato, specifico e documentato.