Email marketing, come evitare lo spam. La differenza tra persona giuridica e persona fisica. L’opt-in e il consenso unico per le email commerciali
Abbiamo già accennato qualcosa sul soft spam («Soft spam, l’eccezione al Codice della Privacy»), ma è utile riportare alcuni puntualizzazioni proprio sull’email marketing, anche se è sempre opportuno rileggere con attenzione «Linee guida in materia di attività promozionale e contrasto allo spam».
Il primo chiarimento riguarda la differenza tra persona fisica e persona giuridica. In linea generale, e in riferimento al concetto di “interessato“, il Codice si applica alle persone fisiche (es. Gennaro, Doriana, Francesco, Vincenzo, ecc.) e non alle persone giuridiche (società, ditte individuali, associazioni, enti ecc.). Quando invece si svolge attività di marketing, il principio interessato è quello di “contraente“, che ricomprende anche le persone giuridiche. Qual è la differenza?
La differenza risiede nel differente livello di tutela riservato ai due diversi tipi di destinatari delle comunicazioni commerciali:
– la persona fisica può avvalersi dei rimedi previsti dal Codice Privacy (reclamo, segnalazione, ricorso, esercizio dei diritti di cui all’art. 7) e di quelli ordinari (es. proponendo un’azione inibitoria per “bloccare” il trattamento illecito di dati e/o un’azione di risarcimento danni);
– la persona giuridica può avvalersi degli strumenti ordinari di tutela (azione inibitoria e/o risarcitoria).
Per questo motivo, ti consigliamo sempre di trattare con cautela e attenzione i dati personali di persone fisiche e giuridiche (ricordando che gli indirizzo pseudo-giuridici, come email@società.com, sono da considerarsi come indirizzi “personali”)
Naturalmente, qualsiasi campagna di email marketing richiede la redazione di un’informativa (Privacy Policy) chiara e completa sulle modalità e finalità del trattamento dati. Il Garante ha specificato che la finalità di marketing ricomprende le «comunicazioni per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale». Per le modalità, il Garante ha rilevato che le comunicazioni commerciali possono essere inviate mediante l’utilizzo di modalità automatizzate (mail, telefonate preregistrate, sms, mms, fax ecc.) e non (telefonate con operatore o posta cartacea).
È sì vero che tutte queste informazioni devono essere specificate nell’informativa, la finalità di marketing può essere solo perseguita con il consenso libero, informato, specifico, con riferimento a trattamenti chiaramente individuati, dell’interessato. Per altro, il consenso, deve essere documentato per iscritto, mentre per il consenso online, oltre a raccogliere il/i relativo/i flag o spunte, è necessario adottare sistemi di verifica dell’identità dell’utente che si è registrato ad un sito web per ricevere comunicazioni e/o offerte promozionali. Il Garante, dunque, consiglia l’invio di un’apposita e-mail all’utente con cui si chiede di confermare la propria identità cliccando su un apposito link (modalità utilizzata da numerosi siti web).
Ti ricordiamo che per le campagne offline e online il consenso deve essere preventivo (sistema dell’opt in), cioè prima si acquisisce il consenso e poi si invia la prima comunicazione commerciale, e che il checkbox di accettazione della Privacy Policy non dev’essere mai prespuntato (il Garante ha più volte sanzionato come illecita questa prassi, in quanto in contrasto con il principio della libertà del consenso).
È doverosa una puntualizzazione sulle email commerciali per le quali potrebbe essere necessario anche un unico consenso, purché si rispettino le seguenti condizioni cumulative:
1. dall’informativa e dalla richiesta di consenso deve risultare che il consenso si estende ad entrambe le modalità;
2. dall’informativa deve risultare che il diritto di opposizione riguarda entrambe le modalità e che l’interessato può decidere di opporsi anche con riferimento ad una sola delle due modalità (es. opponendosi esclusivamente all’invio di comunicazioni commerciali effettuato tramite strumenti non automatizzati).
È necessario un ulteriore consenso nel caso in cui il titolare voglia comunicare e/o cedere i dati personali raccolti a soggetti terzi: bisogna specificare, nell’informativa, chi sono questi soggetti terzi o quantomeno indicarne la categoria merceologica (es. abbigliamento, turismo, automotive, editoria), nonché se si tratti di società del gruppo oppure di soggetti terzi a tutti gli effetti.
Buongiorno,
articolo molto interessante.
Ma è ancora valida la normativa sul soft spam con il nuovo GDPR?
Grazie.
Purtroppo, ad oggi in Italia abbiamo parecchia confusione sull’applicazione reale del GDPR.
È comunque sempre meglio considerare tutte le normative vigenti per non incorrere in sanzioni.