Consenso per l’invio di newsletter: in che modo la recente normativa a tutela dei dati personali si coniuga con le esigenze del marketing
di Carmela Miranda
Introduzione
La ricezione di messaggi di posta elettronica per scopi promozionali, pubblicitari o di informazione commerciale, inviati senza che gli interessati abbiano manifestato in precedenza il proprio consenso, è divenuta, nell’attuale società dell’informazione, in preda all’incessante sviluppo delle nuove tecnologie, una pratica costante, tanto da giustificare l’intervento del Legislatore, sia nazionale che comunitario e, a più riprese, del Garante per la protezione dei dati personali.
L’indebito impiego della posta elettronica per finalità promozionali e pubblicitarie, infatti, si intreccia con la protezione dei dati personali dei soggetti destinatari: ciò in quanto l’utilizzo di un indirizzo di posta elettronica costituisce trattamento di dato personale[1], per la cui liceità è necessario che ricorra un’idonea base giuridica. Questa, nell’ipotesi in cui il trattamento abbia ad oggetto l’inoltro di comunicazioni aventi le finalità di cui sopra, si rinviene nel preventivo consenso dell’interessato, di talché l’assenza di quest’ultimo è suscettibile di determinare un trattamento illecito di dati personali, sanzionabile exart. 130 del Codice in materia di protezione dei dati personali (D.lgs. 196/2003 da ultimo modificato dal recentissimo D.lgs. 101/2018). Non da meno, sfociando tale pratica il più delle volte nella ricezione di notevoli quantitativi di pubblicità indesiderata, alla tematica in oggetto è strettamente connessa quella relativa al c.d. “spamming”, attività la quale consiste nell’invio di posta elettronica non richiesta, solitamente a carattere commerciale, in grossi quantitativi e in diverse riprese, a individui con i quali il mittente non ha alcun precedente contatto. Tale fenomeno, di regola, si verifica successivamente alla raccolta di un indirizzo mail in uno spazio pubblico internet. In tutti questi casi, l’utilizzo spesso massivo della posta elettronica comporta una lesione ingiustificata dei diritti dei destinatari, costretti ad impiegare diverso tempo per mantenere un collegamento e per ricevere, come pure per esaminare e selezionare, tra i diversi messaggi ricevuti, quelli attesi o ricevibili oppure ad adottare “filtri” atti a verificare più attentamente la presenza di virus, o a cancellare rapidamente materiali inadatti a minori specie in ambito domestico. Il fenomeno interessa anche piccole e grandi imprese destinatarie di un elevato numero di messaggi, le quali devono farsi carico di misure interne e di costi anche organizzativi per contrastarlo.
Tanto premesso, il presente lavoro si propone di ripercorrere le tappe fondamentali caratterizzanti l’evoluzione normativa della materia, con lo scopo di fornire al lettore utili coordinate atte ad orientarsi nel complesso di regole che, ad oggi, disciplinano la questione.
Il quadro normativo di riferimento e gli interventi chiarificatori del Garante
Nell’attuale cornice ordinamentale, il tema dell’inoltro di e-mail a scopi promozionali/commerciali senza il preventivo consenso dell’interessato rinviene il suo principale fondamento normativo nel D.lgs. 196/2003 (Codice in materia di protezione dei dati personali), il cui impianto originario è stato, di recente, oggetto di nuova profonda trasformazione, data dall’esigenza di coordinare il relativo testo con la nuova disciplina comunitaria di cui al Reg. (UE) 2016/679 (più comunemente noto come G.D.P.R.).
Nel dettaglio, l’art. 130 dell’attuale Codice della privacy, seppur nel solco di quanto già precedentemente previsto, sotto la rubrica “Comunicazioni indesiderate”, prescrive che le comunicazioni elettroniche effettuate mediante posta elettronica, telefax, messaggi del tipo mms o sms o di altro tipo, aventi quale finalità il compimento di ricerche di mercato o scopi commerciali, sono consentite solo con il consenso preventivo del contraente o utente (c.d. opt-in che, nel glossario del marketing indica l’opzione attraverso la quale l’utente esprime il proprio consenso ad essere inserito in una mailing list per ricevere email pubblicitarie o informative). L’applicazione concreta di tale impostazione, sin da tempi meno recenti, è stata rimessa al Garante per la protezione dei dati personali, il quale è più volte intervenuto in materia per il tramite di Linee guida, provvedimenti generali o, più semplicemente, newsletter a scopo informativo e/o divulgativo. Risale, infatti, a più di un decennio addietro, un provvedimento di carattere generale, dal titolo emblematico “Spamming. Regole per un corretto invio delle e-mail pubblicitarie”[2]nell’ambito del quale, partendo dal presupposto che gli indirizzi di posta elettronica costituiscono dati di carattere personale (alla luce della normativa vigente allora in materia, rappresentata dalla L. 675/1996), si affermava che la loro utilizzazione per scopi promozionali e pubblicitari fosse consentita unicamente nell’ipotesi in cui il soggetto destinatario avesse manifestato in precedenza un consenso libero, specifico e informato. In tale occasione, inoltre, l’Autorità, ribadendo un costante orientamento, escludeva il diritto di disporre liberamente degli indirizzi di posta elettronica per inviare messaggi pubblicitari per il solo fatto che tali indirizzi fossero facilmente reperibili in Internet. In particolare, precisava il Garante, i dati dei singoli utenti che prendono parte a gruppi di discussione in Internet sono resi conoscibili in rete per le sole finalità di partecipazione ad una determinata discussione e non possono essere utilizzati per fini diversi in mancanza di un consenso specifico. Analoga conclusione era da applicarsi all’ipotesi in cui gli indirizzi di posta elettronica fossero compresi nella lista “anagrafica” degli abbonati ad un Internet provider oppure pubblicati su siti web di soggetti pubblici per fini istituzionali.
In altri termini, non può, proclamava il Garante, farsi a meno del consenso ritenendo che i dati personali relativi all’indirizzo di posta siano “pubblici” in quanto conoscibili da chiunque. La sola eccezione è rappresentata dall’esistenza di un pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico, e non anche quando i dati personali sono conoscibili da chiunque per mere circostanze di fatto (si pensi, ai casi di raccolta su siti web o di messaggi trasmessi su newsgroup o su mailing list, agli indirizzi di posta elettronica raccolti in rete tramite appositi software o mediante comuni motori di ricerca).
Spingendosi più in avanti nel tempo, risalgono al 2013 le adottate “Linee guida in materia di attività promozionale e contrasto allo spam”[3]le quali, pur prendendo atto del mutato panorama normativo (come sopra indicato, il provvedimento generale citato in precedenza si basava sulla normativa al tempo in vigore e, in particolare, sulla L. 675/1996), evidenziavano, in premessa, l’emergere di nuove forme di spam, quali il “marketing virale”, le comunicazioni promozionali inviate tramite piattaforme tecnologiche di proprietà di soggetti terzi spesso situati all´estero e non agevolmente individuabili, il “marketing mirato”, grazie all´uso di meccanismi di profilazione dell´utente e il c.d. “social spam”. Nella presa d’atto che le suddette modalità comportassero rischi sempre più insidiosi ed invasivi della sfera personale degli interessati, anche in ragione dell’evolversi di nuove tecnologie, sempre più avanzate e di rapida diffusione, il Garante forniva alcuni chiarimenti utili ad offrire un aggiornato quadro di riferimento: affermava, infatti, che, ai fini della legittimità della comunicazione promozionale effettuata, non fosse lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né fosse lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali.
Pertanto, senza il consenso preventivo – come costantemente ribadito in precedenti interventi – era da escludersi la possibilità di inviare comunicazioni promozionali con i predetti strumenti neanche nel caso in cui i dati personali fossero tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque. Analogamente, senza il consenso preventivo degli interessati, non era lecito utilizzare per inviare e-mail promozionali gli indirizzi pec contenuti ne “l’indice nazionale degli indirizzi pec delle imprese e dei professionisti”. L’idoneità del consenso preventivo a costituire un’idonea base giuridica ai fini della ricezione di messaggi promozionali, come chiarito nelle esaminande Linee guida, rileva anche nell’ambito delle nuove forme di spam, prive attualmente di un’espressa disciplina normativa. In particolare, con riferimento al c.d. social spam (intendendosi con tale locuzione l’insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online, come i social network), interessante risultava la precisazione del Garante, secondo il quale nell’ipotesi in cui l’utente fosse diventato “fan” della pagina di una determinata impresa o società oppure si fosse iscritto a un “gruppo” di follower di un determinato marchio, personaggio, prodotto o servizio, l’invio di comunicazione promozionale effettuato dall’impresa a cui faceva riferimento la relativa pagina, poteva considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, poteva evincersi in modo inequivocabile che l’interessato avesse in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa.
Più di recente, intervenendo[4]ancora una volta sulla tematica in oggetto, il Garante per la protezione dei dati personali, segnalava il caso di una società di consulenza finanziaria, la quale lamentava l´invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione. Dai successivi accertamenti emergeva che la raccolta degli indirizzi di posta elettronica da parte della società “incriminata” avveniva reperendo i medesimi da un albo pubblico di categoria presente su internet, nonché attraverso l´instaurazione di rapporti su LinkedIn e Facebook o “pescando” contatti sui social. A fronte della giustificazione addotta dalla società mittente – secondo la quale l’iscrizione a un social network implicava un consenso all’utilizzo dei dati personali per l’attività di marketing – l’Autorità, nel provvedimento in esame sanciva che tale finalità non è in alcun modo compatibile con le funzioni dei social network, le quali sono preordinate alla condivisione di informazioni e allo sviluppo di contatti professionali, e non anche alla commercializzazione di prodotti e servizi. Confermando un indirizzo ormai costante, veniva precisato che non ha valore legittimante la circostanza della disponibilità online dei dati trattati poiché il requisito del consenso (informato e documentato per iscritto, oltre che libero e specifico) sussiste anche quando i dati personali (come, nella fattispecie, gli indirizzi di posta elettronica) siano rinvenibili in internet, in quanto l´agevole reperibilità di tali dati non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione. Non da meno, considerato che il consenso in questione deve avere carattere preventivo, resta illecito, in sua mancanza, l’invio di comunicazioni aventi oggetto promozionale che (come nel caso di specie) contengano l’avviso della possibilità di opporsi a ulteriori invii mediante apposito link per la cancellazione dalla newsletter. Tale misura trova infatti applicazione solo nella diversa in cui i destinatari delle comunicazioni promozionali siano già clienti della società mittente e le comunicazioni promozionali abbiano ad oggetto prodotti o servizi analoghi a quelli in precedenza acquistati dai medesimi.
Il dictum della Cassazione: no all’utilizzo dei dati personali indicati dall’interessato per l’iscrizione alla newsletter per l’invio di messaggi pubblicitari da parte di soggetti terzi senza che l’interessato abbia manifestato la volontà di riceverli (sent. n. 17278 del 2 luglio 2018)
Di recente, la Corte di Cassazione è intervenuta a identificare e delimitare la nozione di consenso, ai sensi della normativa vigente in materia di protezione dei dati personali, concentrandosi, in particolare, sulla manifestazione del consenso necessario al trattamento dei dati personali per finalità promozionali. I giudizi di Piazza Cavour, in primis, rifacendosi alla definizione di consenso contenuta nel GDPR[5]distinguono tra il consenso richiesto a fini negoziali e quello richiesto ai fini del trattamento dei dati personali. Quest’ultimo, precisa la Cassazione, rappresenta un consenso “rafforzato” in quanto “dettato dall’esigenza di rimediare alla intrinseca situazione di debolezza dell’interessato, sia sotto il profilo dell’evidente asimmetria informativa, sia dal versante della tutela contro possibili tecniche aggressive o suggestive”. Il consenso in esame, in altri termini, non solo, non sopporta di essere perturbato per effetto di vizio, errore, violenza o dolo, ma è tale da non ammettere possibili “stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie” da parte del titolare del trattamento. Tali caratteristiche inducono a poterlo qualificare come “informato”, in quanto espressione del diritto di autodeterminazione dell’interessato e strettamente connesso alla previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole. Soffermandosi sui caratteri peculiari della nozione di consenso, così come contenuta nell’art. 23 del Codice della privacy (ad oggi abrogato dal D.lgs. n. 101/2018) e nell’art. 4 del GDPR, la Corte pone l’accento sulla “specificità”, indicando tale attributo l’esigenza che il consenso vada singolarmente prestato per ciascuno degli effetti che è idoneo a produrre. Ciò significa che, laddove il consenso si estenda alla ricezione di messaggi promozionali anche da parte di terzi, occorre che il titolare del trattamento indichi trasparentemente tale effetto, cosicchè l’interessato sia posto nelle condizioni di averne contezza. Non da meno, la “specificità” è tale da caratterizzare il consenso in tutti i casi in cui questo viene riferito ad un trattamento chiaramente individuato: ciò comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti. Con riguardo all’aspetto della libertà, invece, con l’intervento in parola, i Giudici sono stati chiamati a stabilire se il consenso possa definirsi liberamente prestato nell’ipotesi in cui l’offerta di un determinato servizio da parte del gestore di un sito Internet – nello specifico quello di newsletter – sia condizionato al rilascio del consenso all’utilizzo dei dati personali per il successivo invio, da parte di terzi, di messaggi pubblicitari. Avendo come riferimento normativo l’art. 7, comma 4[6], del G.D.P.R., la Cassazione afferma che nulla impedisce al gestore di un sito, nell’ipotesi in cui il servizio offerto sia né infungibile né irrinunciabile, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è di utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie da parte di terzi soggetti a colui che non abbia manifestato la volontà di riceverli. È infatti da escludere che il consenso possa dirsi specificatamente e, dunque, liberamente prestato, nel caso in cui l’interessato nell’atto di iscriversi alla newsletter di un determinato gestore di un sito internet non abbia contezza che i suoi dati personali verranno trattati per l’invio di messaggi promozionali anche da parte di terzi, a nulla valendo che tale effetto venga descritto in un’altra pagina del sito web, consultabile dall’interessato mediante apposito link. Occorre, a tal fine, che l’interessato apponga una specifica spunta finalizzata a manifestare il suo consenso a ricevere messaggi promozionali anche da parte di terzi. In conclusione, fornendo alcune, rilevanti coordinate ermeneutiche, la sentenza in parola induce a concludere che l’ordinamento, sia nazionale che comunitario, non vieta affatto lo scambio di dati personali ma esige che tale scambio sia frutto di un consenso pieno, specifico ed in nessun modo coartato.
[1]Il Reg. UE 2016/679 (comunemente noto come G.D.P.R.), all’art. 4 identifica il “dato personale” in “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”, precisando che “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.”;
[2]Provvedimento generale del 29 maggio 2003 “Spamming. Regole per un corretto invio delle e-mail pubblicitarie” (doc. web n. 29840);
[3]“Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, pubblicate sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013 (Registro dei provvedimenti n. 330 del 4 luglio 2013);
[4]“Invio di e-mail promozionali senza consenso” (Registro dei provvedimenti n. 378 del 21 settembre 2017);
[5]Per consenso dell’interessato, ai sensi dell’art. 4, comma 11, del GDPR si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”;
[6]“Nel valutare se il consenso sia stato liberamente prestato, tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.
Autore