Digital Marketing al tempo del Gdpr
Il tema delle attività di marketing svolte dalle aziende, costantemente alla ricerca di nuovi clienti, è ricorrente nei miei incontri con gli imprenditori o i responsabili del marketing aziendale. Il loro obiettivo è massimizzare i contatti con i potenziali clienti contattandoli massivamente con i metodi elettronici che sono i meno costosi (tendenzialmente e-mail, ma anche sms, whatsapp, …). Una lettura affrettata dell’ultimo capoverso del Considerando 47: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, ha portato molti a considerare ammissibile qualsiasi comunicazione anche in assenza del consenso del destinatario.
In realtà, il riferimento corretto è il D.lgs. 196/2003, così come modificato dal D.Lgs. 101/2018, che indica nell’art. 130 “Comunicazioni indesiderate” i comportamenti ammessi e non ammessi, disciplinando sostanzialmente il fenomeno delle comunicazioni promozionali/pubblicitarie/commerciali non richieste e, quindi, indesiderate (spam).
L’articolo 130, al comma 1, recita: “Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5.”
L’articolo 130, al comma 2, spiega che: “La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.”, dove in altro tipo ci finiscono anche i sistemi di messaggistica via web quali WhatsApp, Telegram, Skype, Messenger, …
Da sottolineare come il consenso serva:
1) Anche se invio comunicazioni a mail di proprietà di persone giuridiche, enti o associazioni (es. [email protected]) in quanto “contraenti” del servizio [cfr. D.Lgs. 196/2003 art. 121.1.f)] ed ai loro dipendenti in quanto “utenti” del servizio [cfr. D.Lgs. 196/2003 art. 121.1.g)]
2) Anche per l’invio di una prima singola comunicazione;
3) Anche se l’indirizzo mail o il numero di cellulare è disponibile pubblicamente perché pubblicato in pubblici registri o pubblicato in un sito web [cfr. Garante Privacy doc. web n. 29840];
4) Non solo per le comunicazioni di carattere commerciale ma anche per quelle legate a social spam, catene di Sant’Antonio, marketing virale ed il marketing mirato [cfr. Garante Privacy doc. web n. 2542348];
5) Anche per l’invio di mail agli indirizzi P.E.C. contenuti nell’“indice nazionale degli indirizzi P.E.C. delle imprese e delle professioni” [cfr. Garante Privacy doc. web n. 2542348].
(Nella foto: Gianluca Lombardi, Gdpr Specialist e Delegato Federprivacy nella provincia di Como)
Inoltre, il consenso deve sempre essere:
1) Documentabile per iscritto o con altre tecnologie probanti (es. registrazione di data, ora ed ip di connessione al momento della compilazione della checkbox presente nel sito web), ancor meglio con un doppio opt-in tramite un invio di una mail con un link da cliccare per confermare l’iscrizione [cfr. GDPR art. 7.1];
2) Specificatamente rispetto ogni trattamento, pertanto, ad esempio, nei form presenti nei siti web deve esserci un consenso specifico legato al marketing e all’invio di “newsletter” con sua specifica informativa distinto da altri consensi [cfr. GDPR art. 7.2];
3) Facilmente revocabile in qualsiasi momento [cfr. GDPR art. 7.3];
4) Espresso liberamente, quindi mai condizionato, pertanto mai preimpostato nei form dei siti web [cfr. GDPR art. 7.4];
5) Prestato dai titolari della responsabilità genitoriale per i minori [cfr. il combinato disposto del GDPR art. 8 e D.Lgs. 196/2003 Art. 2-quinquies];
6) Accordato dopo aver ricevuto adeguata informativa [cfr. GDPR art. 13].
Eccezione: il soft spam - Nel ricordare che le norme inerenti la privacy non vogliono ostacolare le attività commerciali lecite, l’unica eccezione al consenso per l’invio di mail commerciali risulta essere quella prevista dal D.Lgs. 196/2003 all’art. 130, comma 4: “Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.”
Questo comma deve essere attentamente letto in quanto molto insidioso, e vale la pena sottolineare i seguenti punti:
1) Si applica solo agli “interessati”, quindi solo a persone fisiche identificate o identificabili nell’ambito dell’acquisto;
2) Vale solo per la “posta elettronica” non per tutti gli strumenti utilizzabili per le comunicazioni elettroniche;
3) E’ applicabile per prodotti/servizi analoghi a quelli comprati in passato, pertanto il Titolare deve effettuare una verifica preliminare su questo punto prima dell’invio;
4) Deve essere presente nell’informativa che sarà possibile inviare mail commerciali all’indirizzo indicato e che l’interessato può opporsi;
5) Deve essere presente in ogni successivo invio la possibilità di opporsi ad ulteriori invii.
Raccolta delle mail durante eventi o webinar - E’ sempre possibile raccogliere il consenso all’invio di comunicazioni via mail anche in occasioni particolari come eventi, webinar, fiere … E’ necessario, in questo caso, che la raccolta dei dati avvenga in modo rigoroso, con un consenso all’invio di newsletter separato dal consenso per l’iscrizione all’evento o al webinar. Non è possibile gestire un unico consenso per tutto !
Conclusioni - Per svolgere attività di marketing inviando comunicazioni massive è importante raccogliere il consenso dell’interessato, il soft spam è sempre possibile ma ricco di insidie e deve essere gestito con cura. Sta nella capacità della funzione marketing trovare il modo più interessante per convincere gli utenti ad iscriversi alle newsletter, magari con premi o regali per chi decide di iscriversi.