Con un recente provvedimento (378 del 21 settembre 2017) il Garante della Privacy torna a fare luce su alcuni aspetti relativi all’invio di comunicazioni commerciali attraverso mail e social network (cd. social spam).
Cosa è successo?
I promotori finanziari di una Banca lamentavano di ricevere da circa un paio d’anni comunicazioni commerciali da parte di una società sia attraverso mail che sui propri profili social, senza che quest’ultima disponesse dei necessari consensi.
Da dove erano stati raccolti i dati personali?
La società in questione si difendeva sostenendo di aver raccolto i dati personali dei promotori attraverso le seguenti modalità:
- dati raccolti in occasione di fiere o eventi del settore;
- dati raccolti mediante lo scambio di biglietti da visita;
- dati raccolti mediante la compilazione, da parte dei promotori, del form “contatti” presente sul sito web della società;
- dati raccolti mediante interazione sui social network (es. Linkedin, Facebook – cd. social spam)
- dati raccolti mediante banche dati pubbliche
La società, inoltre, precisava come sotto ogni mail vi fosse il link “cancella iscrizione/unsubscribe”.
Dati raccolti in occasione di fiere o eventi
Con riferimento al punto 1, il Garante ha ribadito che l’invio di comunicazioni commerciali a mezzo mail è lecito nella misura in cui gli interessati, vale a dire i destinatari delle stesse, siano stati informati dell’utilizzo dei propri dati personali per finalità di marketing online e che abbiano prestato il relativo consenso.
Nel caso in questione, invece, la società non ha provato né di aver fornito l’informativa ai promotori, né di aver raccolto i relativi consensi; la società, inoltre, non è stata nemmeno in grado di fornire un elenco delle persone i cui dati sarebbero stati raccolti in occasione di questi eventi.
Dati raccolti mediante lo scambio di biglietti da visita
Medesime considerazioni possono essere svolte in relazione al punto 2.
Anche qui la mancanza dell’informativa, nonché del relativo e specifico consenso, rendono il trattamento dei dati personali per finalità di marketing online illecito.
Dati raccolti mediante la compilazione del form “Contatti”
Per quanto riguarda, invece, il successivo punto 3, la società aveva sì fornito l’informativa privacy ed aveva raccolto il consenso degli interessati, ma l’invio delle mail promozionali agli indirizzi così raccolti è stato comunque considerato illecito.
La ragione è semplice e costituisce un errore tipico nel mondo web: il consenso per l’invio di comunicazioni commerciali deve essere libero, specifico e preventivo, per cui non è sufficiente richiedere un generico consenso sotto la privacy policy
Dati raccolti mediante interazione sui social network (cd. social spam)
Il punto 4 costituisce uno dei punti più “caldi” degli ultimi anni, anche in considerazione del proliferare dei social network, i quali vengono visti dalla maggior parte degli operatori come un’occasione per fare marketing a costo zero (vedi la Ns. Guida).
In merito al social spam, tuttavia, il Garante della Privacy ha specificato che “l’invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall’impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l’interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa“.
Come ricorda il Garante, peraltro, sul social spam è intervenuto anche il Gruppo art. 29 (si tratta di un organismo composto da un rappresentante per ogni autorità garante UE), il quale ha espressamente escluso che “il mero accesso ad un sito web, e non diversamente deve ritenersi la mera iscrizione ad un social network, per ciò solo comporti la legittimità del trattamento dei dati conferiti da parte di altri partecipanti alla medesima piattaforma ai fini dell’invio di informazioni commerciali“.
Dati pubblici
L’ultimo punto ci consente di affrontare un altro tema particolarmente delicato, vale a dire quello relativo ai cd. dati pubblici.
Contrariamente a quello che si potrebbe pensare, infatti, l’accessibilità di un dato personale non equivale a libera utilizzabilità dello stesso per qualsivoglia finalità.
Facciamo un esempio: se io trovo su internet la banca dati pubblica relativa ad una determinata categoria (es. quella degli Avvocati) potrò inviare una mail al professionista per chiedergli informazioni sullo Studio (es. Vi occupate anche di diritto societario?) oppure per richiedere un appuntamento, ma non potrò inviare mail a carattere commerciale, senza aver prima raccolto il relativo consenso.
Quest’ultima osservazione, peraltro, ci consente di ribadire un altro principio che spesso viene ignorato dalle aziende: il consenso, oltre ad essere libero e specifico, deve necessariamente essere preventivo.
La presenza del link “unsubscribe/cancella iscrizione”, infatti, non legittima in alcun modo l’invio di mail a carattere commerciale senza che l’interessato abbia precedentemente espresso il relativo consenso
Ovviamente, anche dopo aver raccolto il consenso, ogni mail inviata dovrà comunque contenere il predetto link, per consentire al destinatario di cambiare idea e non ricevere più le predette comunicazioni.
CONTATTI
Avv. Daniele Costa
KBL Law
daniele.costa@kbl-law.com
L’immagine del post è stata realizzata da Tanja Cappell, rilasciata con licenza CC.