Direct Marketing per legittimo interesse: cosa vuol dire? Quando si può fare?

15 gennaio 2020Ultimo aggiornamento 17 gennaio 2020
Tempo di lettura stimato: 7'
Il GDPR consente di fare marketing usando la base giuridica del legittimo interesse e quindi senza richiedere il consenso? Sì, ma bisogna fare molta attenzione, perché si può fare solo in pochi casi e comunque il novellato del D.lgs 196/2003 ha limitato di molto il ricorso a questa possibilità. 

Cos’è il Direct Marketing per legittimo interesse

Le aziende fanno customer care. Fa parte del servizio. Lo sappiamo. Quindi il legislatore europeo ha giustamente pensato di legittimarlo e ha dato la possibilità alle imprese di inviare informazioni commerciali ai clienti che hanno sottoscritto un contratto di acquisto, senza dover richiedere il consenso. 
Ma quali informazioni? Solo quelle relative a prodotti e servizi simili e migliorativi rispetto a quelli già acquistati.
Esempio – Antonio acquista un computer completo di sistema operativo. Dopo qualche tempo, il negozio lo chiama per informarlo che il suo sistema operativo va aggiornato e che può acquistare la nuova licenza con uno sconto ed entro una certa data. Questo è un esempio di marketing per legittimo interesse. 
Fin qui tutto bene, se non fosse che la norma non ha esplicitato nel dettaglio in quali casi si potesse usare. E lì si è aperto il vaso di Pandora!
vaso di pandora - PrivacyLab
Molti consulenti e aziende hanno pensato di bene di usare la base giuridica del legittimo interesse così, ndo cojo cojo
Esempio - Invece di contattare Antonio per la licenza del sistema operativo del computer, il negozio gli manda offerte per comprare l’aspirapolvere, la vaporiera e il rasoio elettrico per la moglie. Prodotti che non hanno nulla a che vedere con il computer acquistato tempo prima.


Cosa dice il Regolamento europeo

Il considerando 47 del GDPR - anche se di natura squisitamente programmatica - dà la possibilità al titolare del trattamento di fare direct marketing sulla base del legittimo interesse del titolare che, però, dovrà essere ancorato a solide relazioni tra il destinatario della comunicazione e il titolare stesso - in pratica deve essere chiaro che c’è un rapporto commerciale fra i due - sulla base dell’aspettativa del primo ad essere contattato dal secondo, alla luce del rapporto già intercorrente tra loro: ergo il cliente che ha acquistato da un’azienda si aspetta di ricevere informazioni commerciali, proprio per la natura stessa della relazione con lei.
Ancora. 
L’articolo 33 della proposta del nuovo regolamento E-privacy - Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications) - dice che:
“È tuttavia ragionevole consentire l’uso dei recapiti di posta elettronica nell’ambito di una relazione commerciale esistente finalizzato alla proposta di prodotti o servizi analoghi. Tale possibilità dovrebbe applicarsi alla stessa impresa che ha ottenuto i recapiti elettronici a norma del regolamento (UE) 2016/679.“
Traduzione: il titolare del trattamento può inviare mail ai clienti con cui ha intrecciato una relazione commerciale per l’acquisto di prodotti o servizi, purché siano stati acquisiti in modo conforme al GDPR
Infatti, l’interessato - chi ha acquistato - nel momento in cui avvia la relazione commerciale, implicitamente consente al titolare del trattamento di presupporre non solo l’aspettativa ma anche un interesse dell’acquirente riguardo a comunicazioni commerciali da parte del fornitore/titolare, purché su prodotti analoghi o simili a quelli già acquistati. 
In parole povere: se acquisti da un’azienda, l’azienda può aspettarsi che ti interessino anche prodotti simili a quelli che hai già acquistato e che tu voglia ricevere comunicazioni commerciali. 
Ritroviamo la stessa ratio anche nel PECR - Il Regolamento sulla Privacy e sulle Comunicazioni Elettroniche (Direttiva CE) - che dice: non tutto il marketing richiederà consenso - gli interessi legittimi potrebbero potenzialmente essere applicati in situazioni in cui il PECR non richiede consenso, ad esempio marketing postale, chiamate in diretta a numeri non registrati nel servizio di preferenze telefoniche o posta elettronica in cui si applica il "opt-in soft".


Legittimo interesse: quando c’è e cosa fare

Entro quali limiti l’interesse dell’azienda è legittimo e tale da non dover richiedere il consenso? Per capirlo pensiamo alla videosorveglianza
Videosorveglianza e GDPR - PrivacyLab
Io ho un’azienda e installo un sistema di videosorveglianza per evitare che i ladri mi rubino i computer e facciano danni. Quindi non chiedo il consenso preventivo al fattorino, ai fornitori, ai clienti, ai dipendenti che entrano ed escono dalla mia azienda, perché il mio interesse legittimo (la tutela del patrimonio) è superiore al trattamento dei loro dati personali. 
Posso fare questa cosa senza chiedere il permesso.
Adesso pensiamo al marketing. In quali casi l’interesse dell’azienda a promuoversi è superiore alla tutela dei dati personali delle persone? Praticamente pochissimi!
Si può fare marketing per legittimo interesse, ma solo verso i clienti che hanno acquistato un prodotto o servizio e solo per inviare informazioni su prodotti e servizi simili o migliorativi di quelli acquistati. 
Quindi, per usare la base giuridica del legittimo interesse devi:
  • dimostrare che il marketing diretto è necessario per i tuoi scopi
  • fare un test di bilanciamento
  • dare agli interessati una chiara opzione già al momento della raccolta dei consensi e quindi mettere in chiaro che possono rinunciare al marketing diretto 
Cosa è successo invece? Il caos. Aziende e consulenti si sono scervellati per appigliarsi al legittimo interesse, quando sarebbe bastato chiedere il consenso in modo chiaro.
Il Garante Tedesco a questo proposito ha detto: “Mi sembra che molta energia e molti sforzi vengano spesi per cercare di trovare un modo per evitare il consenso. Quell'energia e lo sforzo sarebbero spesi molto meglio per stabilire un consenso informato, attivo e inequivocabile.”
Inoltre, l’art 130 del Codice della Privacy, sancisce che:
  • “1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5. 12 13 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.”  
Questo articolo mette nero su bianco che la base giuridica che legittima il titolare all’invio di comunicazioni pubblicitarie è il consenso liberamente espresso dall’interessato. Consenso che, per essere valido, deve presentare caratteristiche ben precise, essendo espressione di una “volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso [l’interessato] manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4 n. 11 GDPR). 
  • “Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.” 


Riepiloghiamo

L’eccezione prevista dall’art.130 co. 4 D.lgs. 196/2003, oltre ad applicarsi unicamente alla trasmissione di messaggi per posta elettronica (non per comunicazioni telefoniche o altre forme di trattamenti automatizzati), si applica a condizione che:
  • la mail sia indicata dal cliente nel contesto della vendita di un prodotto o servizio, e quindi, ad esempio, in fase di compilazione del modulo d’ordine o nel contratto di servizi
  • i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare (e non da terzi) 
  • il prodotto o il servizio devono essere analoghi a quelli già acquistati dall'interessato 
  • il destinatario non deve aver rifiutato all'inizio o nel corso di ulteriori comunicazioni tale invio di comunicazioni promozionali 
  • il destinatario deve avere la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente e in maniera agevole. 

Esempi già gestiti dal garante

Il Garante ha sanzionato una società che opera nel settore delle telecomunicazioni per aver realizzato delle campagne via SMS per chiedere ad un soggetto di prestare il consenso al fine di ricevere le proposte commerciali della società stessa. L’azienda si è appellata al principio di libertà di iniziativa economica - garantito costituzionalmente - per giustificare la liceità del suo operato. Facendo riferimento alla base giuridica dell’interesse legittimo, citava il disposto dell’art. 130 co. 4 del Codice della privacy, nonché il paragrafo 194 delle Linee guida in materia di direct marketing, redatte dall’Information Commissioner’s Office (ICO) nella parte in cui le stesse andavano a riferire che “Riteniamo che possa essere ragionevole inviare un messaggio immediatamente a coloro i quali non abbiano fornito il consenso confermando loro l'esercizio dell'opt-out e fornendo loro informazioni su come fornire nuovamente il consenso, o per ricordare loro che possono optare di nuovo per il trattamento ai fini commerciali”. 

Direct Marketing per legittimo interesse SMS - PrivacyLab
Il Garante della privacy ha condotto un’istruttoria e ha respinto le difese della società perché:
  • l’art. 130 co. 4 codice della privacy è espressamente riferito a comunicazioni pubblicitarie inviate utilizzando le coordinate di posta elettronica e non anche a mezzo SMS
  • nel caso in esame, la libertà di iniziativa economica non è stata compromessa, in quanto il punto di equilibrio tra quest’ultima e il diritto alla protezione dei dati è stato raggiunto dal Legislatore comunitario e da quello nazionale, stabilendo che la comunicazione per fini commerciali può essere effettuata, ma solo previo consenso dell’interessato
  • la disposizione delle linee guida in materia di direct marketing citata dalla ricorrente “non si conclude così, avendo precisato l’Autorità inglese: “if the reminder forms a minor and incidental addition to a message being sent anyway for another purpose”, ossia “purché questo promemoria costituisca un’aggiunta secondaria e incidentale rispetto a un messaggio che sia inviato comunque per altri scopi” 
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy