NEWS

Soft spam, trattamento dei dati personali, e legittimo interesse

Il legittimo interesse "non può surrogare - in via generale - il consenso dell'interessato quale base giuridica del marketing", salvo quando ricorrano i presupposti previsti dall'art. 130 comma 4 del D.lgs. 30 giugno 2003, n. 196, ossia il caso di soft spam.

Il marketing può costituire un legittimo interesse, ma solo in specifici casi previsti dalla normativa privacy

Il legittimo interesse dal punto di vista giuridico - Il concetto di legittimo interesse è stato rimodellato (rispetto a quello previsto nella vecchia normativa) dal Regolamento UE. Con tale termine vengono ricompresi i trattamenti che, non trovando fondamento in altre basi giuridiche, risultano comunque essere necessari per svolgere compiti legati alle attività aziendali. Si tratta, in pratica, dell'interesse del titolare del trattamento a trattare determinati dati, necessari per esempio per proteggere i propri beni, come nel caso della videosorveglianza, i quali, però, devono essere bilanciati con i diritti degli interessati.

Questi trattamenti potranno quindi essere effettuati sulla base del legittimo interesse del Titolare del trattamento, ma, in ogni caso, non deve essere utilizzato alla leggera, soprattutto in quanto è necessario fare tutta una serie di valutazioni preliminari. Il legittimo interesse: che cosa è richiesto per usarlo - Il Regolamento UE prevede la possibilità di trattare i dati personali sulla base del legittimo interesse del titolare del trattamento.

In particolare all'art. 6 lett. f) sancisce che "il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore".

Il Gdpr ha inserito il legittimo interesse tra le basi giuridiche per il trattamento di dati personali

L'European Data Protection Board, nelle Raccomandazioni 02/2021, analizza le condizioni che devono essere rispettate al fine di poter legittimamente attuare un trattamento basandosi sul legittimo interesse:

1.Deve essere preliminarmente individuato dal Titolare del trattamento, di conseguenza deve essere esistente e attuale al momento del trattamento stesso;
2.Deve esserci la necessità di trattare i dati per il suo perseguimento.
3.È necessario effettuare un test di bilanciamento.Tale bilanciamento richiede che vengano analizzate le circostanze specifiche del trattamento e l'impatto potenziale che può avere sui diritti e libertà degli interessati. In particolare, richiede di valutare la natura dei dati e le ragionevoli aspettative degli interessati in base al rapporto con il titolare del trattamento, al contesto e alle finalità di raccolta dei dati.

Il Regolamento, nel Considerando 47, approfondisce la questione, affermando che può essere una corretta base giuridica qualora vi siano ragionevoli aspettative, di un trattamento effettuato a tal fine, da parte dell'interessato, in particolare quando questi è alle dipendenze o è cliente del titolare. In questo senso può anche essere considerato lecito l'uso del legittimo interesse per finalità di marketing.

I cookie e il legittimo interesse - Per lungo tempo il legittimo interesse è stato usato come base giuridica per l'attivazione dei cookie sui siti web, ma con il Provedimento 231 il Garante Privacy ha definitivamente bocciato tale procedura stabilendo una volte per tutte che l'unica base giuridica per i cookie (diversi da quelli tecnici) è il consenso dell'utente.

Il legittimo interesse come base giuridica per il Soft Spam - Nel Provvedimento del 15 gennaio 2020 , il Garante per la protezione dei dati personali - analizzando il reclamo proposto da interessati nei confronti di una società di telecomunicazioni - con specifico riferimento alle azioni di marketing effettuate tramite call centre, ha affermato che il legittimo interesse "non può surrogare - in via generale - il consenso dell'interessato quale base giuridica del marketing", salvo quando ricorrano i presupposti previsti dall' art. 130 comma 4 del D.lgs. 30 giugno 2003, n. 196 , ossia il caso di soft spam.

Con questo termine si fa riferimento alle azioni di marketing diretto volte alla vendita/pubblicizzazione di prodotti o servizi analoghi a quelli già acquistati dall'interessato.

L'articolo in questione, però, pone anche delle limitazioni, in particolare il titolare che utilizza "le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni".

Quindi, ai fini di soft spam, è necessario rispondere ai seguenti requisiti:

1.L'interessato deve essere un cliente o un ex cliente del titolare del trattamento;
2.L'attività di marketing nei suoi confronti deve riguardare servizi analoghi a quelli oggetto di vendita;
3.Nell'informativa deve essere presente l'indicazione che i dati potranno essere usati a scopo di soft spam;
4.L'interessato deve essere informato del diritto di rifiutare (subito o successivamente) l'invio di tali comunicazioni.

Il legittimo interesse per il consenso - Il legittimo interesse può, anche, essere correttamente utilizzato - nel caso in cui non si abbia la possibilità di richiedere fisicamente il consenso a un cliente - al fine di richiedere il consenso alle attività di marketing nei confronti di un cliente. Attenzione, però, perché occorre una precisazione: il legittimo interesse non può essere utilizzato come rimedio nel caso in cui il trattamento sia già stato effettuato senza chiedere il consenso.

Infine, con riguardo all'informativa e al registro dei trattamenti, quest'interesse deve essere ovviamente legittimo, chiaramente identificato e giustificato (ossia devono essere documentate le ragioni che hanno portato alla sua adozione, oltre al bilanciamento degli interessi). Queste devono essere inserite nel registro dei trattamenti e riferite al trattamento specifico (non possono essere generali e riferite a una generalità di trattamenti), inoltre devono essere portate a conoscenza degli interessati (anche in forma sintetica) tramite l'informativa.

A cura di Riccardo Ajassa (Fonte: Il Sole 24 Ore)

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Polizia locale: bodycam di servizio attivate durante il consiglio comunale solo nel rispetto delle regole sulla privacy
Next Corte Costituzionale: illegittima la sospensione della prescrizione introdotta dal Gdpr

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy