La gestione e l'invio di comunicazioni elettroniche, sia commerciali che non commerciali, richiede un'attenta valutazione della base giuridica applicabile per garantire la conformità alle norme vigenti in materia di protezione dei dati personali.
Le principali fonti normative includono il Regolamento Generale sulla Protezione dei Dati (GDPR), il Codice della Privacy (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e la Direttiva ePrivacy (Direttiva 2002/58/CE).
Per comprendere appieno le condizioni di liceità delle comunicazioni elettroniche, è fondamentale distinguere tra comunicazioni commerciali e comunicazioni non commerciali.
1. Comunicazioni commerciali
Le comunicazioni elettroniche (email) commerciali sono tutte quelle che mirano alla promozione o vendita di prodotti e servizi e la loro trasmissione può essere svolta osservando i principi del consenso esplicito (opt-in) manifestato dai c.d. Interessati (clienti, o contraenti così definiti dalla disciplina ePrivacy) o sulle eccezioni previste, come quella del "soft spam".
1.1 Consenso ai sensi del GDPR
Secondo l'articolo 6 comma 1(a) del GDPR, il consenso dell’interessato è una delle basi giuridiche principali per trattare i dati personali a fini di marketing. L’articolo 4(11) definisce il consenso come:
- Libero: l’interessato deve poter scegliere senza subire coercizioni.
- Specifico: deve essere chiaro per quale finalità si raccolgono i dati (es. invio di newsletter).
- Informato: l’interessato deve ricevere tutte le informazioni necessarie sul trattamento, come richiesto dagli articoli 12 e 13 del GDPR.
- Esplicito: il consenso deve essere manifestato chiaramente, ad esempio tramite l’azione attiva di selezionare una casella.
Il GDPR vieta l’utilizzo di caselle preselezionate, l’ottenimento del consenso implicito o basato sull’inerzia del destinatario. Un consenso valido deve includere anche informazioni su eventuali terzi che riceveranno i dati.
1.2 L'eccezione del "soft spam" ai sensi del Codice Privacy
L’articolo 130 comma 4 del Codice della Privacy consente l'invio di comunicazioni commerciali senza il consenso preventivo, purché siano soddisfatte alcune condizioni:
- i contatti elettronici del cliente devono essere stati raccolti nel contesto della vendita di un prodotto o servizio;
le comunicazioni devono riguardare prodotti o servizi analoghi a quelli precedentemente acquistati;
- al momento della raccolta dei dati, il cliente deve essere informato sull’ulteriore utilizzo dei propri contatti per fini di marketing e deve essere fornita una chiara opportunità di opt-out (rifiuto);
ogni comunicazione successiva deve contenere un meccanismo facile e gratuito per l’opt-out.
Secondo l’Opinion 5/2004 del Gruppo di Lavoro Articolo 29 questa eccezione, che disciplina il soft spam, regolata dall’articolo 13 comma 2 della Direttiva 2002/58/CE, deve essere interpretata restrittivamente osservando i requisiti di seguito specificati:
Clienti esistenti: l’eccezione si applica solo a persone fisiche o giuridiche che abbiano acquistato un prodotto o servizio.
Stesso Titolare del Trattamento: solo la stessa organizzazione che ha raccolto i dati può inviare le comunicazioni per “soft-spam” in assenza di consenso;
Prodotti o servizi simili: sebbene il concetto di “prodotti e servizi simili” non sia facile da applicare nella pratica e meriti particolare attenzione, la valutazione della similarità dovrebbe basarsi in primo luogo sulla prospettiva oggettiva (aspettative ragionevoli) del destinatario, anziché su quella del mittente.
1.3 Obblighi aggiuntivi del mittente
- Ogni messaggio deve includere l’identità del mittente e un recapito valido per opporsi al trattamento (articolo 13(4) della Direttiva 2002/58/CE).
- Non è consentito mascherare l’identità del mittente.
- È vietata la raccolta automatica degli indirizzi email (email harvesting).
Comunicazioni elettroniche trasmesse alle persone giuridiche: ai sensi del Codice Privacy (D.Lgs. 196/2003), il termine "contraente" viene utilizzato per includere sia le persone fisiche sia le persone giuridiche (società di capitali ed enti), rendendo applicabili le stesse regole per la trasmissione delle comunicazioni elettroniche; di conseguenza, gli obblighi relativi al consenso e alla protezione contro le comunicazioni indesiderate si estendono anche alle persone giuridiche.
2. Comunicazioni non commerciali
Le comunicazioni non commerciali, che non hanno finalità promozionali, seguono regole diverse e possono essere basate su altre basi giuridiche previste dal GDPR.
2.1 Esecuzione di un contratto
Ai sensi dell’articolo 6 comma 1 (b) del GDPR, le comunicazioni strettamente necessarie all’esecuzione di un contratto non richiedono il consenso dell’interessato. Esempi includono:
- Conferme di ordini.
- Aggiornamenti sullo stato di spedizione.
- Comunicazioni relative al servizio clienti.
2.2 Legittimo interesse del titolare
L’articolo 6 comma 1 (f) del GDPR consente il trattamento dei dati personali per finalità di legittimo interesse, purché tale interesse non prevalga sui diritti e le libertà fondamentali dell’interessato. Le comunicazioni informative, come aggiornamenti aziendali o inviti a eventi, possono rientrare in questa categoria se:
- La finalità è chiara e non commerciale.
- Gli interessati possono facilmente disiscriversi (opt-out).
2.3 Obblighi di legge
Ai sensi dell’articolo 6 comma 1 (c) del GDPR, le comunicazioni obbligatorie per adempiere a requisiti legali non richiedono il consenso. Questo include:
- Comunicazioni imposte da normative fiscali o contabili.
- Avvisi relativi a violazioni di sicurezza dei dati (data breach), come previsto dall’articolo 34 del GDPR.
Per garantire la conformità normativa, è fondamentale:
- Classificare correttamente le comunicazioni in base alla loro natura (commerciale o non commerciale).
- Definire la base giuridica appropriata per ogni tipo di comunicazione, verificando la presenza di un consenso valido o l’applicabilità di un’eccezione come il "soft spam".
- Garantire trasparenza: ogni messaggio deve contenere informazioni chiare sul mittente e sul diritto di opporsi.
- Implementare meccanismi di opt-in e opt-out semplici ed efficaci.
Con l’evoluzione delle normative, tra cui il futuro Regolamento ePrivacy, le aziende dovranno continuare a monitorare e aggiornare le proprie pratiche per garantire la conformità alle regole europee sulla protezione dei dati personali.
