Email marketing e Regolamento generale sulla protezione dei dati: cosa cambia? (parte 1)

Normativa e tutela dei dati_07a

Come sarà noto ai più nella scorsa primavera è entrato in vigore il Regolamento generale sulla protezione dei dati (REGOLAMENTO UE 2016/679) che troverà piena applicazione il 25 maggio 2018 (infatti ai titolari e ai responsabili – ma anche alle autorità e alle istituzioni- è stato accordato un biennio per adeguare i trattamenti e l’organizzazione alla nuova  normativa).

Sebbene ancora non siano state date indicazioni specifiche in ordine alle misure da prendere in concreto, neppure da parte del Gruppo dei garanti (o Gruppo di lavoro art. 29, che pure le ha calendarizzate), sarà utile per i Titolari cominciare sin d’ora a prendere confidenza con le nuove norme, e al contempo fare una ricognizione interna, mappando i trattamenti operati, i consensi raccolti, le informative rese, la durata dei trattamenti, eventuali trasferimenti di dati o ipotesi di contitolarità o ancora eventuali conferimenti a responsabili esterni.

Infatti al maggio del 2018 occorrerà aver completato la procedura di adeguamento, non iniziare ad adeguarsi.

Molto utili, sul punto, possono rivelarsi le indicazioni fornite dall’ICO (che è la Data Protection Autority del Regno Unito) che ho provato ad adattare al nostro ordinamento qualche tempo fa.

Cosa cambia per l’email marketing?

Innanzi tutto bisogna distinguere tra le regole che sono state adottate in attuazione della direttiva sulla privacy (Direttiva 95/46/CE) da quelle che invece derivano dalla direttiva e-privacy (Direttiva 2002/58/CE).

In estrema sintesi, infatti, la Direttiva sulla protezione dei dati era rivolta alla protezione dei dai personali delle persone fisiche, ma gli stati potevano ampliare il novero delle tutele, ad esempio estendendole anche alle persone giuridiche. Cosa che infatti era avvenuta anche in Italia, almeno fino a qualche anno fa, quando si è deciso di eliminare dalla definizione di interessato il riferimento alle persone giuridiche.

Le persone giuridiche però non sono uscite da qualsiasi tutela, la loro inclusione nel novero di “contraente” fa sì che possano essere ancora oggetto di protezione per alcuni aspetti, come ad esempio nell’email marketing, ove occorre acquisire il loro consenso prima di iniziare l’attività promozionale. Questa tutela, che è ancora presente nel Codice della Privacy, deriva dalla direttiva e-privacy: al considerando 17 della Dir. 2002/58/CE si legge infatti: “Ai fini della presente direttiva il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/ CE. Il consenso può essere fornito secondo qualsiasi modalità appropriata che consenta all’utente di esprimere liberamente e in conoscenza di causa i suoi desideri specifici, compresa la selezione di un’apposita casella nel caso di un sito Internet.” E sempre dalla medesima Direttiva (art. 13 -“Comunicazioni indesiderate

  1. L’uso di sistemi automatizzati di chiamata senza inter- vento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso. (…) – ) deriva il primo comma dell’articolo 130 che, come abbiamo visto fonda l’obbligo di acquisire il consenso anche per le comunicazioni elettroniche dirette alle persone giuridiche.

Questa lunga introduzione non è fine a se stessa, ma serve a focalizzare l’attenzione su un aspetto preciso riguardo al fatto che l’email marketing si colloca nel punto di intersezione tra più normative e non bisogna essere troppo frettolosi nel valutare le modifiche eventualmente apportate dal Regolamento su questo tema, ma bisogna considerare sempre anche la contestuale e concorrente applicazione della  normativa relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) ossia la e-privacy. Il rapporto tra le due normative è specificato all’articolo 95 del Regolamento, ove si precisa che questo non aggiunge obblighi a materie già disciplinate dalla direttiva e-privacy per gli stessi obiettivi.

La direttiva e-privacy è anche essa al momento in fase di modifica, quindi occorrerà attendere che il processo di revisione sia giunto a compimento prima di valutare eventuali facilitazioni in ordine alle comunicazioni elettroniche delle quali fossero destinataria le persone giuridiche.

Il consenso

Tanto premesso ci sono comunque delle considerazioni che possono essere fatte con relativa certezza in ordine ad almeno due aspetti: il consenso e il legittimo interesse. Ora analizzeremo il primo, e tornerò in futuro sul secondo.

Innanzi tutto i riferimenti che la normativa e-privacy operava si intendono ora relativi al Regolamento generale, quindi si può certamente cominciare a valutare quali caratteristiche dovrà avere il consenso per essere considerato valido ed efficace ai sensi del Regolamento.

Un’altra circostanza alla quale prestare attenzione riguarda il fatto che, come sottolineano alcuni commentatori a livello europeo, mentre la Direttiva 95/46/CE ammetteva in alcuni casi che il consenso potesse essere dato implicitamente, oppure ammetteva ipotesi di opt out, per il Regolamento non è così. Secondo il Regolamento, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera specifica informata e inequivocabile accettare il trattamento dei dati che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale (considerando 32). A tal fine si può impiegare anche la selezione di un’apposita casella in un sito web, prosegue il legislatore nel medesimo considerando, mentre non possono configurare consenso il silenzio, l’inattività o la preselezione di una casella. Se si guarda alla normativa italiana, non emergono enormi differenze (quantomeno se la normativa è stata applicata scrupolosamente), dato che neppure la nostra normativa ammetteva ipotesi di consenso implicito. Diverso il caso in cui si trattino dati raccolti in altri paesi UE, dove la Direttiva può aver avuto una attuazione meno restrittiva.

Sempre secondo il Regolamento i consensi raccolti debbono essere tanti quante sono le finalità del trattamento, e anche in ciò si ha corrispondenza con la normativa italiana previgente. Inoltre se il consenso è richiesto attraverso mezzi elettronici, la richiesta dovrà essere chiara e concisa, e la prestazione di un servizio o l’esecuzione di un contratto non dovranno essere subordinati alla prestazione del consenso per altre finalità. Anche questi aspetti non dovrebbero essere sorprendenti per chi ha dimestichezza con la normativa italiana. Un’importante differenza, invece, riguarda il consenso espresso dai minori. A questo aspetto occorrerà prestare attenzione dato che il Regolamento pone limiti di età non presenti precedentemente nel nostro ordinamento. In particolare per il Regolamento i minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. “Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”.

Da notare anche come il Regolamento generale per la protezione dei dati faccia riferimento sia al “consenso” che al “consenso esplicito”. Il consenso esplicito costituisce la base giuridica del trattamento di alcune tipologie di dati, come i dati afferenti alla salute, o nei processi decisionali automatizzati.

Tanto riferito per sommi capi (ma bisognerà valutare anche l’obbligo che ha il titolare di dimostrare di aver acquisito un valido consenso, il diritto dell’interessato di revocare il consenso in qualsiasi momento o gli oneri informativi, tutti obblighi presenti nel Regolamento), occorre farsi una domanda: i consensi acquisiti secondo la vecchia normativa varranno qualcosa quando diventerà pienamente efficace il Regolamento europeo?

Ebbene, la risposta è affermativa, a condizione che i consensi siano stati acquisiti rispettando i medesimi requisiti di validità previsti dal Regolamento.

Tale indicazione è già stata fornita dal Garante spagnolo, e non c’è ragione di dubitare che tale orientamento non sarà seguito anche da tutte le altre DPA.

Verificare scrupolosamente i consensi acquisiti prima che il Regolamento acquisti efficacia (anche nel rispetto dei tempi di conservazione dei dati) è fondamentale, per evitare di trovarsi con banche dati inutilizzabili nel 2018.

Sull’autrice

Avv. Cristina Vicarelli

L’articolo è stato scritto dall’Avv. Cristina Vicarelli. Avvocato del Foro di Perugia, si occupa prevalentemente di privacy e protezione dei dati personali, diritto dell’informatica e dell’internet.
Twitter | Facebook

Über den Autor

Avv. Cristina Vicarelli
Avvocato del Foro di Perugia

War der Beitrag hilfreich?

Thank You!
Comments
  1. […] anche diretto – e la necessità di chiedere il consenso sono disciplinati, come abbiamo visto nella prima parte, dalla direttiva e-privacy.  Come ha notato il Gruppo di lavoro art 29 in WP 217, il direct […]

Lascia un commento

Newsletter2Go utilizza i cookies per offrirti un servizio migliore. Se continui a navigare su questo sito acconsenti all'utilizzo dei cookies. Acconsento.