SVOLGERE ATTIVITÀ DI MARKETING È ANCORA POSSIBILE? SÌ, MA OCCHIO AL GDPR!
Siamo stati tutti vittime di un’aggressiva attività di marketing. Talvolta neppure ce ne accorgiamo, pur essendo una pratica alquanto diffusa che genera non poche problematiche in materia di privacy. È recente, peraltro, la pronuncia del Garante che ha ordinato a Vodafone il pagamento di una sanzione di oltre €12.250.000,00 per aver trattato in modo illecito i dati personali di milioni di utenti ai fini di attività di telemarketing.
Qui si parla di differenti pretese – o, meglio, diritti – che contrappongono l’esigenza del titolare del trattamento di mantenere il rapporto con il cliente (oltre che di ampliarne il proprio portfolio) al diritto dell’interessato di non vedere lesa la propria sfera di libertà attraverso telemarketing o pubblicità aggressiva, in totale spregio delle leggi in materia di protezione dei dati personali.
Vodafone non è il primo operatore telefonico ad aver subito una sanzione di tale calibro: il 9 luglio dello scorso anno, Wind Tre S.p.A. venne sanzionata al pagamento di circa 17 milioni di euro per trattamenti illeciti dei dati dovuti ad un esercizio non meditato delle attività promozionali.
Più decisivo, peraltro, fu il provvedimento del 15 gennaio 2020 emesso dal Garante nei confronti di TIM S.p.A., che ha chiarito il concetto di legittimo interesse quale base giuridica a fondamento dell’attività di marketing, non senza destare qualche perplessità. Secondo l’Autorità, il legittimo interesse di cui all’art. 6, par. 1, lett. f), GDPR “non può surrogare – in via generale – il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso … lo ammette solo ‘a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali’”. Il Garante prosegue ritenendo che è lo stesso GDPR, con specifico riguardo all’applicabilità del legittimo interesse al marketing, ad esigere che si tengano in debito conto “le ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali” (v. sul punto Considerando 47).
Il Garante conclude osservando come “l’applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo) di quest’ultimo sui diritti, libertà e meri interessi degli interessati (nello specifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l’attenta ponderazione dell’impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato…), ed è necessaria altresì, nel rispetto dei principi di responsabilità e trasparenza, la concreta attuazione di misure adeguate per garantire i diritti degli interessati, quale in particolare quello di opposizione… Pertanto – qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. ‘soft spam’ (art. 130, comma 4, Codice), nonché del sistema di ‘opt-out’ per i dati presenti negli elenchi pubblici – si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati” (v. pag. 14 del provvedimento citato).
La pronuncia del Garante è chiara nel ritenere che, in via generale, l’attività di marketing promossa dal titolare del trattamento dei dati personali, necessiti di una specifica base giuridica, ossia quella del consenso specifico e consapevole di cui all’art. 6, co. 1, lett. a), GDPR. Ciò significa che il titolare, in piena ottica di accountability e in ossequio al principio di trasparenza, dovrà curarsi di informare l’interessato dell’ulteriore attività promozionale, pur ritenendo che la medesima possa avvenire esercitando il legittimo interesse.
Nella pratica, tuttavia, non sempre la procedura è di agevole comprensione, rendendo necessario uno studio meditato delle regole da rispettare per non incorrere nell’illiceità. In tali casi, infatti, è necessario rispettare alcune regole che garantiscano un operato compliant rispetto al GDPR. Ecco quindi una serie di consigli che il titolare del trattamento dovrebbe seguire per svolgere attività di marketing senza intaccare la libertà e i diritti dell’interessato.
Richiedere il consenso all’interessato. Sempre. Il Considerando 32 del GDPR è chiaro del delineare come il consenso “dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”. Lo stesso Garante, pronunciandosi sul caso TIM, ha evidenziato come il legittimo interesse ex art. 6, co. 1, lett. f), del GDPR non sostenga appieno le pretese del titolare a vedersi soddisfatta l’esigenza di esercitare la propria attività di marketing senza oltrepassare il limite della liceità del trattamento.
È spontaneo dunque chiedersi quale sia una modalità concreta per richiedere il consenso dell’interessato ai fini di un lecito esercizio delle suddette attività. Viene nuovamente in aiuto il Considerando citato sostenendo che “Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto … Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Confrontarsi coi fornitori. Nel caso Vodafone sono stati rilevati profili di violazione nella gestione delle liste dei nominativi da contattare acquisite da fornitori esterni. Si trattava di liste che i partner commerciali di Vodafone avevano ricevuto da altre aziende e trasferito all’operatore senza il necessario consenso libero, informato e specifico degli utenti. Ricollegandosi all’importanza del consenso di cui al precedente punto, il rischio di un trattamento illecito dei dati è maggiore qualora la mole dei dati sia notevole e vengano coinvolti più titolari o responsabili nel trattamento dei dati medesimi. Una mole ingente rende più difficoltoso il controllo di come i dati vengano gestiti, per cui è consigliabile chiarire anzitempo non solo le procedure ma anche i rapporti con soggetti esterni all’attività dell’azienda medesima, in primis proprio i fornitori, che a loro volta dovranno trattare i dati dei clienti dell’azienda interessati. Sarà altresì opportuno valutare le loro competenze e le loro licenze, ai fini di una piena compliance al GDPR anche da parte dei fornitori stessi.
Svolgere una LIA (Legitimate Impact Assessment). Ferma restando l’imprescindibilità del consenso nel caso “italiano”, come stabilito dal Garante, sarebbe utile e proficuo dimostrare la legittimità – e non invasività – dell’attività di marketing svolta dal titolare medesimo. Nella LIA (un esempio della quale si può trovare sul sito dell’Information Commissioner’s Office – ICO) si dovranno specificare l’interesse perseguito dal titolare del trattamento, la necessità e infine il bilanciamento tra gli interessi del titolare e quelli dell’interessato. In tale ultimo caso, in particolare, il titolare dovrà tenere conto di una serie di elementi, quali: (i) le ragionevoli aspettative nutrite dall’interessato in base alla relazione intrattenuta da quest’ultimo con il titolare del trattamento (ii) il probabile impatto del trattamento sugli individui e (iii) la possibilità per il titolare di implementare presidi che possano mitigare l’impatto negativo sugli interessati. Del resto è lo stesso Considerando 69 del GDPR a prevedere che “è opportuno che incomba al titolare del trattamento dimostrare che i suoi interessi legittimi cogenti prevalgano sugli interessi o sui diritti e sulle libertà fondamentali dell’interessato”.
Valutare, in un’ottica di accountability, le misure di sicurezza ex art. 32 GDPR. Sono necessarie delle misure di sicurezza dei sistemi di gestione della clientela che garantiscano, tra l’altro, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico. Dette misure necessitano di una previsione ad hoc per ogni singolo caso concreto, tramite una valutazione preventiva e il coinvolgimento del Data Protection Officer, se presente.
Indubbiamente si tratta di procedimenti macchinosi che possono risultare ridondanti agli occhi del titolare del trattamento, nella presa in considerazione di una serie di elementi per svolgere un’attività finalizzata alla promozione del proprio business – per cui, apparentemente, lecita. Tuttavia è bene altresì considerare il carattere decisamente invasivo di detta attività, pertanto è bene tenere conto di tutte gli aspetti possibili per consentire un lecito esercizio del proprio diritto di promuoversi senza ledere o intaccare i diritti altrui.
Avv. Valeria Quadranti
