Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

PRIVACY

Marketing, con il Gdpr zampata del Gattopardo: cambia tutto per non cambiare nulla

Fa “rientrare dalla finestra quanto è uscito dalla porta” la versione italiana della normativa Ue in vigore da maggio: reintroducendo l’obbligo di acquisizione del consenso per gran parte delle ipotesi di trattamento di dati a fini di marketing. Viene così depotenziata così la portata dell’articolo 47 del regolamento. L’analisi di Luca Giacopuzzi e Francesca R. Pagliaro

30 Mar 2018

Luca Giacopuzzi Francesca Pagliaro

Studio Legale Giacopuzzi

Nel leggere lo schema di decreto legislativo di coordinamento della normativa nazionale in tema di privacy con le disposizioni del regolamento europeo (il Gdpr), approvato dal Consiglio dei ministri pochi giorni fa, balza subito agli occhi, all’art. 88, la disposizione che affronta il tema del marketing: una vera e propria entrata a gamba tesa. Ma facciamo un passo indietro.

Scorrendo l’articolo 6, paragrafo 1, lettera f e, soprattutto, il considerando 47 del Gdpr, in molti avevano visto con favore l’apertura del regolamento alla possibilità di fare marketing prescindendo dal consenso dell’interessato, e potendo invece invocare il legittimo interesse del titolare come condizione di liceità del trattamento dei dati. Il considerando 47, infatti, conclude con un’affermazione di principio che lascia poco spazio ad interpretazioni dissonanti: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

Ma la normativa italiana fa “rientrare dalla finestra quanto è uscito dalla porta”.

Di fatto, si reintroduce l’obbligo di acquisizione del consenso per larga parte delle ipotesi di trattamento di dati a fini di marketing, depotenziando così la portata della base giuridica del legittimo interesse del titolare e le chiare indicazioni del considerando 47 del regolamento.

Ciò detto, ed entrando nel dettaglio, osserviamo che il comma 1 dell’art. 88 introduce l’obbligo di consenso del contraente o dell’utente per l’invio di comunicazioni promozionali con l’uso di sistemi automatizzati di chiamata.

Passi il fatto che la “molestia” di questa forma di marketing possa aver indotto il nostro legislatore ad una soluzione che reintroduca la necessità del consenso, ma più incomprensibile è la previsione del comma 2 dell’articolo, che estende la disposizione del comma 1 anche alle comunicazioni elettroniche a fini di marketing, quali e-mail e sms: anche per tali comunicazioni, quindi, serve il consenso.

Il comma 3 dell’art. 88 disciplina le comunicazioni promozionali  con  “mezzi diversi” e, riferendosi agli artt. 6 e 7 del Gdpr, sembrerebbe lasciare spazio ad altre basi giuridiche diverse dal consenso (e, quindi, al legittimo interesse), quantomeno per le ipotesi residuali, quali, ad esempio, il marketing postale.

In realtà, il successivo comma 4 azzera anche questa possibilità: la norma, infatti, reintroduce il regime di opt-out già previsto nel D.Lgs. 196/03, imponendo a chi intende effettuare marketing postale o telefonico di consultare previamente il registro delle opposizioni. Non basta, quindi, avvisare il destinatario della possibilità di opporsi al trattamento, ma vi è, a monte, un onere da assolvere.

L’art. 7 dell’art. 88, infine, reintroduce, di fatto, il c.d. soft spam già previsto dall’art. 130 del D.Lgs. 196/03; in verità, peraltro, mentre il Garante aveva esteso l’ambito di applicazione del soft spam anche alla posta cartacea, il decreto legislativo (evidentemente “frettolosamente” confezionato) non ne tiene conto, e si limita a contemplare nel comma in esame solo “le coordinate di posta elettronica”.

Se così è, di fatto, poco spazio resta per il marketing fondato sul legittimo interesse.

Potrebbe essere il caso dei biglietti da visita raccolti presso l’interessato, o qualche ipotesi simile.

Come se non bastasse, infine, l’art. 79, comma 2, lettera f definisce “contraente” anche la persona giuridica; e poiché l’art. 88 si riferisce anche al consenso del “contraente”, ecco che pure i dati delle persone giuridiche tornano ad essere oggetto di tutela in ambito privacy (in piena contraddizione con un principio cardine del Gdpr, e cioè che lo stesso tutela solo i dati delle persone fisiche).

Se le indicazioni dello “schema” saranno confermate, il decreto legislativo in esame, più che coordinare la normativa privacy nazionale con il Gdpr, ne contraddice espressamente alcune previsioni, reintroducendo un regime che è sostanzialmente quello in vigore sino ad oggi. “Se vogliamo che tutto rimanga com’è, bisogna che tutto cambi”: “Il Gattopardo” insegna.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

G
GDPR
M
marketing

Articolo 1 di 5