La necessità da parte delle imprese di svolgere attività promozionali e di marketing, da sempre ha comportato un’attenta riflessione circa le conseguenti implicazioni in ambito privacy.
Innanzitutto, è necessario chiarire se l’attività di marketing viene svolta direttamente dall’azienda (c.d. marketing diretto), ovvero se l’attività promozionale avviene tramite un intermediario specializzato (c.d. marketing indiretto).
Nel caso di marketing diretto, l’invio di materiale pubblicitario o promozionale avviene direttamente dal Titolare del trattamento (tramite strumenti elettronici o con lettera cartacea), attraverso l’utilizzo (trattamento) di dati personali del cliente. Tale trattamento impone immediatamente una duplice riflessione in capo al Titolare del trattamento.
In primo luogo, il trattamento può considerarsi lecito esclusivamente se l’interessato è stato informato del fatto che i suoi dati personali sarebbero stati utilizzati (anche) per finalità promozionali e di marketing. Pertanto, è possibile l’attività promozionale solo se l’informativa ex art. 13 GDPR contempli tale finalità per l’utilizzo dei dati del cliente.
Si pone poi la necessità di chiarire se sia necessario o meno il consenso dell’interessato per l’invio da parte del Titolare di materiale pubblicitario. Sul punto, prima dell’introduzione del GDPR, in applicazione quindi del D.Lgs n. 196/03, il Garante della Privacy italiano aveva adottato e promulgato due fondamentali documenti di riferimento:
- le linee guida in materia di attività promozionale e contrasto allo spam (del 4.7.13);
- la prescrizione n. 242 sul ‘consenso al trattamento dei dati personali per finalità di marketing diretto attraverso strumenti tradizionali e automatizzati di contatto‘ (del 15.5.13).
I chiarimenti del Garante Privacy
Con tali atti, il Garante ha chiarito che:
– per poter inviare comunicazioni promozionali e materiale pubblicitario è necessario aver acquisito il consenso dei destinatari. Tale consenso deve essere specifico, libero, informato e documentato per iscritto;
– è necessario il consenso anche per l’uso di dati già presenti su internet e sui social network;
– il consenso non è necessario in presenza di attività promozionali dirette a propri clienti, per la promozione di prodotti similari a quelli già acquistati o in precedenza proposti (c.d. soft spam);
– è valido l’unico consenso espresso dall’interessato, anche qualora riferito a varie attività di marketing (es. invio di materiale pubblicitario e svolgimento di ricerche di mercato).
Tali principi risultano pienamente confermati dal GDPR che, come noto, ha introdotto, quale nuova base giuridica il ‘legittimo interesse’ del Titolare del trattamento. Il considerando n. 47, infatti, così espressamente stabilisce: ‘può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto‘.
Dunque, riepilogando, l’invio di materiale promozionale non necessita di una specifica autorizzazione all’azienda da parte dell’interessato, se si tratta di propaganda di prodotti del medesimo tipo di quelli già proposti in precedenza ai propri clienti. Mentre, in caso di prodotti o attività nuove, il consenso è senz’altro indispensabile.
In conclusione, vale la pena di ricordare che il marketing indiretto è legittimo solo in presenza di un consenso dall’interessato, espresso dopo aver ricevuto la necessaria informativa da parte del Titolare del trattamento.