Social spam: è legittimo alla luce del Gdpr?
II c.d. "social spam" consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Ciò si inquadra nel problema dell'indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell'ambito dei social network, tanto più rispetto a profili di tipo "aperto".
(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
L’argomento è stato affrontato a suo tempo da alcuni provvedimenti del Garante come le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 oppure al provvedimento sul Consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto del 15 maggio 2013, ma sarà sicuramente oggetto del Regolamento e-privacy il cui schema approvato dal Consiglio UE adesso è in discussione presso il Parlamento europeo.
Riguardo a tale tipo di spam, si fa presente che i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti naturalmente alla disciplina comunitaria.
La medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messenger, etc.
Per questi ultimi strumenti, si ricorda il rischio di proliferazione dello spam dato che tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smartphone e nei tablet (quali rubrica, contatti, sms, dati della navigazione Internet) o l'accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell'utente per reperire e/o conservare tali dati personali.
Il rischio di ricevere spam, e in particolare il c.d. "spam mirato", basato sulla profilazione degli utenti, si potrebbe aggravare in considerazione della tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre più semplificate che, unificando i profili sui diversi servizi resi dalle medesime piattaforme, consentono di pervenire ad una conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni.
Ma proprio al riguardo è opportuno esaminare due ipotesi interessanti che possono verificarsi su Internet ed in special modo sui social network.
Una prima ipotesi è quella in cui l'utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un'impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto.
In questo caso il trattamento, in assenza di una specifica e dettagliata informativa, sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall'interessato un consenso preventivo, specifico, libero e documentato ai sensi di quanto prescritto dal GDPR.
Una seconda ipotesi è quella in cui l'utente sia diventato "fan" della pagina di una determinata impresa o società oppure si sia iscritto a un "gruppo“di follower di un determinato marchio, personaggio, prodotto o servizio (decidendo così di "seguirne" le relative vicende, novità o commenti) e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi.
In questo caso l'invio di comunicazioni promozionali riguardanti un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, si considerava lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, poteva evincersi in modo inequivocabile che l'interessato aveva in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Ma oggi si nutrono seri dubbi alla luce dei principi del GDPR.
Va però evidenziato che la bozza di Regolamento e-privacy lascia intendere che viene mantenuta la possibilità di inviare comunicazioni di marketing in base alla cosiddetta eccezione soft spam, mantenendo anche le stesse regole quanto a informativa e opt-out, ma si estende la definizione di messaggio elettronico: non solo email ma anche qualsiasi messaggio contenente informazioni quali testo, voce, video, suono o immagine inviato su una rete di comunicazione elettronica che può essere memorizzato nella rete o in strutture informatiche correlate, o nell’apparecchiatura terminale del suo destinatario, compresi SMS, MMS e applicazioni e tecniche funzionalmente equivalenti.
Il marketing "virale", invece, è una modalità di attività promozionale mediante la quale un soggetto promotore sfrutta la capacità comunicativa di pochi soggetti destinatari diretti delle comunicazioni per trasmettere il messaggio ad un numero elevato di utenti finali. È un'evoluzione del "passaparola", ma se ne distingue per il fatto che fin dall'inizio emerge la volontà dei promotori di avviare una campagna promozionale.
Come un "virus", la comunicazione contenente l'idea, il prodotto o il servizio, che può rivelarsi interessante o conveniente per un utente, viene veicolata da questo ad altri contatti, da questi ad altri e così via.
Ebbene, tale attività, quando viene svolta con modalità automatizzate e per finalità di marketing, può presentare seri problemi alla luce delle regole dettate dal GDPR. Altra forma di marketing strettamente collegata ad Internet è l’utilizzo di liste per l’invio di più mail o messaggi (vedi whatsapp, messenger, ecc.).
I soggetti che si avvalgono di tale modalità per finalità di marketing devono rispettare principi e norme proprie del quadro normativo comunitario.
Peraltro, nel caso dell'invio di e-mail, chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini più vari.
L'attività promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari della promozione.
Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione "ccn" (ossia l'inoltro per conoscenza in "copia conoscenza nascosta"), gli indirizzi di posta utilizzati per l'invio della promozione.