I post recentemente pubblicati dall’Avv. Maria Roberta Perugini sulla evoluzione della proposta di Regolamento e-privacy sono stati lo spunto per alcune considerazioni, condivise con la stessa Maria Roberta, in merito a quale sarà lo scenario normativo di riferimento da qui a pochi mesi per quanti si accingono a svolgere attività di mkt.
Oltre ai numerosi adempimenti il GDPR sembra infatti offrire anche delle insperate opportunità per lo svolgimento di attività di marketing superando i vincoli imposti dall’attuale normativa.
Infatti, appare chiaro che la normativa – così come quella del Codice Privacy attualmente ancora in vigore – tuteli esclusivamente i dati personali delle persone fisiche, lasciando intravvedere la possibilità di operare liberamente sulle persone giuridiche.
Inoltre, il considerando 47 propone il marketing diretto come una delle possibili applicazioni del rinnovato principio del legittimo interesse del Titolare [1]– che, a differenza della normativa attuale, viene valutato autonomamente dal Titolare stesso –:
“(47) I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento… Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
L’utilizzabilità in tale caso della base giuridica costituita dal legittimo interesse prevalente del Titolare esclude la necessità di richiedere al riguardo uno specifico consenso all’interessato.
Seguendo poi quanto indicato dall’Art. 29 WP nelle Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP 252 del 3.10.2017:
“6. Article 6(1) (f) – necessary for the legitimate interests (27) pursued by the controller or by a third party
Profiling is allowed if it is necessary for the purposes of the legitimate interests (28) pursued by the controller or by a third party. However, Article 6(1) (f) does not automatically apply just because the controller has a legitimate interest. The controller must carry out a balancing exercise to assess whether their interests are overridden by the data subject’s interests or fundamental rights and freedoms.
The following are particularly relevant:
- the level of detail of the profile (a data subject profiled within a broadly described cohort such as ‘native English teachers living in Paris’, or segmented and targeted on a granular level);
- the comprehensiveness of the profile (whether the profile only describes a small aspect of the data subject, or paints a more comprehensive picture);
- the impact of the profiling (the effects on the data subject); and
- the safeguards aimed at ensuring fairness, non-discrimination and accuracy in the profiling process.
- (…)
(27) Legitimate interests listed in GDPR Recital 47 include processing for direct marketing purposes and processing strictly necessary for the purposes of preventing fraud.
(28) The controller’s “legitimate interest” cannot render profiling lawful if the processing falls within the Article 22(1) definition”,
può concludersi che anche una delle azioni più presidiate dal GDPR, qual è la profilazione[2], possa essere eseguita invocando il legittimo interesse del Titolare, ove esso effettivamente ricorra, sia prevalente e la profilazione, necessaria per raggiungere le finalità del legittimo interesse, comunque –e non ricada nell’ipotesi dell’art. 22 comma 1:
“Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
1.L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2.Il paragrafo 1 non si applica nel caso in cui la decisione:
- a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
- c) si basi sul consenso esplicito dell’interessato”.
(…)
Ora, poiché come si è visto è ammissibile che la finalità di marketing diretto possa costituire legittimo interesse del Titolare idoneo a fornire una valida base giuridica al relativo trattamento, non si vede perché la profilazione – ove connessa necessariamente al raggiungimento della finalità di marketing espressione del legittimo interesse prevalente del Titolare e non ricadente nella fattispecie dell’art. 22.1 – non possa a sua volta essere ammessa in virtù di tale base giuridica, e pertanto senza bisogno del consenso.
Tutto bene quindi per le attività di marketing:
- le persone giuridiche sono fuori perimetro di tutela
- le attività di marketing diretto e la profilazione necessariamente connessa con tali attività dirette verso le persone fisiche (gli interessati) possono essere svolte invocando – ove ricorrano le condizioni sopra dette – il legittimo interesse del Titolare.
Ma è proprio così?
Per capirlo è necessario partire dalle origini dell’attuale normativa privacy ed in particolare dal fatto che il D.Lgs 196/03 deriva dal recepimento di più direttive europee fra cui la DIRETTIVA 95/46/CE e la DIRETTIVA 2002/58/CE (Direttiva e-privacy), poi modificata dalla DIRETTIVA 2009/136/CE.
Per intenderci, dalla direttiva e-privacy deriva il Titolo X – Comunicazioni elettroniche del D.Lgs 196/03.
Orbene, mentre il GDPR abroga la sopracitata direttiva 95/46/CE, come previsto dall’articolo 94:
Articolo 94 Abrogazione della direttiva 95/46/CE
1.La direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018. 2.I riferimenti alla direttiva abrogata si intendono fatti al presente regolamento. I riferimenti al gruppo per la tutela delle persone con riguardo al trattamento dei dati personali istituito dall’articolo 29 della direttiva 95/46/CE si intendono fatti al comitato europeo per la protezione dei dati istituito dal presente regolamento.
rimane invece in vigore la direttiva 2002/58/CE.
Al riguardo il considerando 173 recita:
173) È opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali che non rientrino in obblighi specifici, aventi lo stesso obiettivo, di cui alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio (2), compresi gli obblighi del titolare del trattamento e i diritti delle persone fisiche. Per chiarire il rapporto tra il presente regolamento e la direttiva 2002/58/CE, è opportuno modificare quest’ultima di conseguenza. Una volta adottato il presente regolamento, la direttiva 2002/58/CE dovrebbe essere riesaminata in particolare per assicurare la coerenza con il presente regolamento,
ed è in corso di stesura il nuovo Regolamento e-privacy, come riportato anche nei sopra citati post:
A questo riguardo, sembra utile segnalare che la relazione del Parlamento Europeo del 9 giugno scorso introduce la distinzione (assente nella versione originaria del Regolamento) tra utenti finali intesi come “una persona giuridica o una persona fisica che utilizza o richiede un servizio di comunicazione elettronica accessibile al pubblico” (cfr. emendamento 53) e utenti intesi come “qualsiasi persona fisica che utilizzi un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza necessariamente aver sottoscritto questo servizio” (cfr. emendamento 54).
In ragione di tale distinzione nel testo del Regolamento e-privacy è stata sostituita, in diversi punti, la definizione “utente finale” con quella di “utente” (ex multis, emendamenti 58, 59, 69, 70) limitando, in questo modo, alle sole persone fisiche la tutela della riservatezza delle comunicazioni e ciò nonostante la bozza di relazione abbia lasciato immutato il considerando 3 del medesimo Regolamento, che equipara la protezione delle comunicazioni delle persone fisiche a quella delle persone giuridiche:
“3) I dati delle comunicazioni elettroniche possono altresì rivelare informazioni relative a entità giuridiche, come segreti aziendali o altre informazioni sensibili aventi valore economico. Pertanto le disposizioni del presente regolamento dovrebbero applicarsi sia alle persone fisiche, sia alle persone giuridiche. Il presente regolamento dovrebbe inoltre garantire che le disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio si applichino anche agli utenti finali aventi natura di persone giuridiche. Questo include la definizione di consenso contenuta nel regolamento (UE) 2016/679. Qualora si faccia riferimento al consenso di un utente finale, comprese le persone giuridiche, si dovrebbe applicare tale definizione. Le persone giuridiche dovrebbero inoltre godere degli stessi diritti degli utenti finali aventi natura di persone fisiche per quanto attiene alle autorità di controllo; inoltre, le autorità di controllo ai sensi del presente regolamento dovrebbero essere responsabili anche del monitoraggio dell’applicazione del presente regolamento nei confronti delle persone giuridiche.”
Al momento permane comunque in vigore l’attuale direttiva, che continuerà in ogni caso ad essere valida per altri 24 mesi dalla pubblicazione del nuovo Regolamento.
Le conseguenze di questo sfasamento nella emissione dei nuovi Regolamenti in ambito privacy fanno sì che per i prossimi anni sarà necessario conciliare approcci diverse e tutele diverse.
In particolare sarà necessario capire se l’attuale articolo 130. Comunicazioni indesiderate (introdotto – con tutto il Titolo di riferimento – dalla direttiva e-privacy, e dunque non abrogato dal GDPR) resterà immutato.
Art. 130. Comunicazioni indesiderate
1 Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.
2 La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3 Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 nonchè ai sensi di quanto previsto dal comma 3-bis del presente articolo.
3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro pubblico delle opposizioni.
(…)
4 Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5 É vietato in ogni caso l’invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003. (5)
6 In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell’articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
Se così fosse, sia gli interessati / utenti [4] / contraenti [3] (persone fisiche) sia i contraenti [3] persone non fisiche continuerebbero ad avere una tutela per quanto attiene le comunicazioni elettroniche, che potranno avvenire solo con il loro consenso (art. 130 commi 1 e 2).
Da notare invece che sia il comma 3 (che consente i contatti promozionali con mezzi diversi da quelli prima indicati ai sensi degli art. 23 e 24, i quali sono applicabili solo agli interessati, ossia alle persone fisiche) sia il comma 4 dell’art. 130 si applicano solo agli interessati (persone fisiche) non anche ai “contraenti” o “utenti”: ciò con poco rilievo quanto alle persone fisiche appartenenti a tali categorie (che rientrano – essendo persone fisiche – nell’insieme degli interessati) ma con la conseguenza di escludere dalla protezione “contraenti” che siano persone non fisiche.
I Titolari quindi potranno probabilmente sì fare attività di marketing diretto invocando il legittimo interesse del Titolare (alle condizioni sopra ricordate), ma in quanto ai canali con cui poterlo fare potrebbero avere qualche difficoltà.
Restano inoltre da chiarire altri punti, come ad esempio cosa si intenda per persona fisica nell’ambito di un’attività economica, individuando quindi il perimetro di tutela.
L’attuale normativa italiana, o meglio l’Autorità Garante in alcuni suoi documenti[5] fa rientrare nel primo ambito anche le società di persone, mentre non è chiaro se tale interpretazione verrà mantenuta anche nel GDPR.
I Titolari, prima di dar luogo ad una qualunque azione di marketing, dovranno quindi in ogni caso valutare con estrema attenzione quali siano le specifiche normative applicabili al fine di mantenere un corretto approccio privacy by design e di individuare quali siano gli specifici adempimenti da mettere in atto.
[1] Su questo aspetto l’Autorità Garante si è espressa con le seguenti RACCOMANDAZIONI:
Il Regolamento offre alcuni criteri per il bilanciamento in questione (si veda considerando 47) e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo “Articolo 29” sul punto (WP217).
Si confermano, inoltre, nella sostanza, i requisiti indicati dall’Autorità nei propri provvedimenti in materia di bilanciamento di interessi [si veda, per esempio, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3556992 con riguardo ad alcune tipologie di trattamento di dati biometrici; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 con riguardo all’utilizzo della videosorveglianza; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6068256 in merito all’utilizzo di sistemi di rilevazione informatica anti-frode; ecc.] con particolare riferimento agli esiti delle verifiche preliminari condotte dall’Autorità, con eccezione ovviamente delle disposizioni che il Regolamento ha espressamente abrogato (per es.: obbligo di notifica dei trattamenti).I titolari dovrebbero condurre la propria valutazione alla luce di tutti questi principi.
[2] 4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
[3] f) “contraente”, qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
[4] g) “utente”, qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
[5] “Può essere sia una persona fisica (si pensi all’imprenditore individuale) sia una persona giuridica (ad esempio, una società a responsabilità limitata) che tratta i dati (con la raccolta, la registrazione, la comunicazione degli stessi o la loro diffusione…” (da La privacy dalla parte dell’impresa).