L’utilizzo di dati personali per finalità di marketing, anche se provengono da pubblici registri, richiede di norma il consenso dell’Interessato.

Considerando che ancora oggi buona parte dei provvedimenti sanzionatori del Garante Privacy riguarda proprio il marketing effettuato in assenza del consenso, vediamo allora quali sono gli errori da non commettere per non incorrere in un trattamento illecito di dati personali, e di conseguenza evitare reclami o sanzioni.

Quando un dato può essere considerato pubblico? I dati pubblici godono delle tutele privacy?

Innanzitutto, occorre chiarire quando un dato può essere considerato pubblico. Un dato si considera pubblico quando è conoscibile da chiunque perché contenuto in registri, elenchi, atti o documenti pubblici o, altrimenti, perché reso tale direttamente dall’interessato.

Pensiamo, per esempio, a nome o un dato di contatto (numero di telefono, indirizzo email o PEC) pubblicato in un albo professionale, un elenco telefonico, in un sito internet o social network, o presente in un pubblico registro.

È comune pensare che tali dati in quanto liberamente accessibili e conoscibili da chiunque possano essere utilizzati per qualsiasi finalità senza particolari accorgimenti o tutele.

Occorre però prestare molta attenzione. Questi dati, anche se pubblici, se sono riconducibili ad una persona fisica identificata o identificabile sono a tutti gli effetti dati personali, e dunque godono di tutte le tutele previste dalla normativa privacy.

I dati dei registri pubblici possono essere utilizzati per finalità di marketing?

Chiarito quando un dato è pubblico, vediamo ora se il suo utilizzo a fini promozionali è libero o se incontra dei limiti.

Il GDPR, sull’utilizzo dei dati personali, pone un importante vincolo di finalità, secondo cui i dati raccolti devono essere trattati da ciascun Titolare per finalità specifiche, esplicite e legittime.

Di conseguenza il carattere pubblico dei dati non legittima il loro utilizzo indiscriminato. Infatti, la loro pubblicità o conoscibilità al pubblico nella maggior parte dei casi è finalizzata a soddisfare esigenze diverse da quelle commerciali o promozionali.

Quindi, la prima cosa che un Titolare deve chiedersi prima di iniziare qualsiasi trattamento è: qual è la finalità per cui i dati sono pubblici? Se è diversa da una finalità commerciale, i dati personali contenuti non possono essere usati per scopi promozionali. In questo caso per utilizzarli in modo corretto sarà necessario raccogliere il consenso dell’Interessato, rilasciando previamente l’informativa ai sensi degli art. 13 o 14 del GDPR.

In tema di spamming, il Garante si è espresso in più occasioni. In primo luogo, nelle Linee guida in materia di attività promozionale e contrasto allo spam. Sono infatti numerose le violazioni riscontrate sul tema. A partire dal semplice invio di comunicazioni promozionali tramite email in assenza del consenso dell’interessato, all’acquisizione e utilizzo di contatti pubblicati in un sito internet, in un elenco pubblico o social network o l’utilizzo improprio di quest’ultimo per l’invio di messaggi diretti (DM) promozionali all’utente.

Vediamo di seguito alcuni casi specifici.

Uso dei dati tratti da elenchi o pubblici registri

Gli elenchi o pubblici registri sono istituiti per finalità specifiche regolamentate dalla normativa di riferimento, che stabilisce i limiti e le modalità per la conoscibilità e pubblicità dei dati.

Per quanto riguarda la loro utilizzabilità a fini promozionali, è necessario fare una distinzione tra due modalità di contatto dell’interessato: automatizzate (ad esempio email, fax, sms, telefonate preregistrate senza operatore) e non automatizzate (ad esempio telefonate da parte di un operatore).

Nella prima ipotesi, l’utilizzo dei dati personali per finalità di marketing è lecito solo con il preventivo consenso dell’interessato.

Nella seconda ipotesi, invece, esiste una deroga. È possibile contattare telefonicamente mediante operatore, per acquisire il consenso, i numeri presenti in elenchi o pubblici registri, ma solo se:

  • la specifica disciplina che regolamenta l’elenco o il registro pubblico prevede espressamente tale attività;
  • le comunicazioni sono direttamente funzionali all’attività svolta dall’interessato, che ha determinato l’inclusione dei dati nei pubblici registri;
  • non c’è stata opposizione al trattamento. Dunque, se l’interessato non è iscritto nel Registro pubblico delle opposizioni o non ha esercitato il suo diritto di opposizione nei confronti del Titolare.

Con un recente Provvedimento il Garante Privacy ha affrontato il tema relativo all’utilizzo degli indirizzi PEC rinvenuti online e, in particolare, all’interno del registro pubblico INI-PEC per l’invio di comunicazioni a contenuto promozionale. L’Autorità ha ritenuto illecita tale attività e ha sottolineato ancora una volta, come la reperibilità dei dati personali in un elenco pubblico non ne autorizza il trattamento per qualsiasi scopo ma esclusivamente per le finalità sottese alla loro pubblicazione.

In particolare, gli elenchi dei domicili digitali hanno lo scopo di favorire la presentazione di istanze, dichiarazioni e dati e lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica. Le per finalità di marketing non rientrano tra gli scopi per i quali questi registri pubblici sono stati istituiti.

Uso dei dati raccolti nei siti internet o social network

L’errore in cui si può incorrere più facilmente è quello di raccogliere indirizzi email o numeri di telefono da pagine web o social network e utilizzarli per campagne promozionali.

I social network, è risaputo, per loro stessa natura permettono di accedere a numerosi dati personali e raggiungere agevolmente un grande bacino di utenti. Basti pensare a quante informazioni possiamo raccogliere, per esempio, dai singoli profili Facebook, LinkedIn, Instagram di un utente, o dalla combinazione degli stessi. Analogamente si possono reperire numerosi dati di regola nell’area “contatti” presente nei siti web.

L’agevole disponibilità di tali informazioni da una parte e le funzionalità alla base dei social dall’altra, comportano spesso il rischio di uso improprio da parte degli altri utenti.

È bene precisare, allora, che anche se di fatto sono conoscibili da chiunque, questi dati non possono essere utilizzati liberamente per qualsiasi scopo, tanto meno per inviare email a fini commerciali o contattare telefonicamente l’interessato in assenza del suo consenso.

Alla stregua di quanto già detto per gli elenchi pubblici, i dati potranno essere trattati per le sole finalità per cui sono resi pubblici. Ogni trattamento per finalità diverse ed ulteriori a quelle tipiche del trattamento originario comporta una condotta illecita.

Il caso del social spam

Il social spam consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link promozionali attraverso i social.

Se da un lato può facilitare il rapporto commerciale riducendo per il produttore i costi di marketing e per il consumatore i costi di ricerca del prodotto, dall’altro può ledere i diritti dell’Interessato che oltre a ricevere comunicazioni indesiderate, comprime anche la sua libertà di utilizzo dei servizi della società dell’informazione.

Sul tema è interessante una recente pronuncia del Garante Privacy. L’Autorità ha esaminato il reclamo dell’interessato che lamentava la ricezione di un contatto su Linkedin finalizzato a proporre servizi immobiliari, mai richiesti. L’Autorità ha ribadito alcuni importanti principi ed in particolare che:

  • l’accesso ai registri immobiliari è consentito per la verifica della titolarità di un immobile e non per acquisire dati a fini promozionali;
  • l’iscrizione a un social network non comporta un consenso implicito dell’interessato all’utilizzo dei propri dati per finalità di marketing;
  • l’utente iscrivendosi acconsente al trattamento dei dati, secondo i termini di utilizzo della piattaforma. Su queste clausole si basano le sue aspettative relativamente all’utilizzo che di tale strumento verrà fatto da parte anche degli altri utenti;
  • la funzionalità del social è mettere in contatto individui che condividono gli stessi interessi professionali per favorire lo scambio di conoscenze o le opportunità lavorative;
  • non ha alcuna rilevanza che il profilo di un utente sia aperto. Ciò che conta è la finalità per cui il messaggio è stato inviato, se promozionale, è in contrasto con le legittime aspettative dell’interessato.

Dunque, a far leva è ancora una volta il principio di finalità. Il registro immobiliare e il social network, istituiti per finalità determinate, sono stati utilizzati per proporre un servizio di vendita, finalità diversa e incompatibile con quelle originarie e pertanto non rientrante fra le legittime aspettative dell’interessato.

Dati pubblicati in registri pubblici e marketing: quando è necessario il consenso dell’interessato?

Abbiamo visto che il trattamento di dati personali per finalità di marketing deve sottostare a precisi vincoli posti dal GDPR e dalla normativa privacy in materia, anche se l’interessato proviene da elenchi o pubblici registri.

Prima di iniziare qualsiasi trattamento, il Titolare deve, quindi, valutare attentamente tre aspetti:

  • la fonte da cui raccoglie i dati;
  • la finalità per cui questi dati sono resi pubblici;
  • se l’uso che ne intende fare è compatibile con queste finalità.

Dunque, se la disciplina che regolamenta il registro o l’elenco pubblico non prevede espressamente che i dati contenuti possono essere utilizzati anche per fini commerciali o promozionali, il Titolare deve necessariamente raccogliere il consenso dell’interessato. Le stesse considerazioni devono essere fatte con riguardo alle altre fonti da cui raccoglie i dati.

Consenso che ricordiamo, per essere valido ai sensi del GDPR deve essere informato, preventivo, libero, specifico e inequivocabile. Il Titolare, dunque, deve fornire all’Interessato in termini semplici e chiari informazioni complete su come verranno trattati i suoi dati personali.

In secondo luogo, deve chiedere preventivamente il consenso per la specifica finalità di marketing. Non è considerato lecito avvisare l’interessato, con la prima comunicazione promozionale, della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per questa finalità.

È buona prassi, invece, se il consenso viene raccolto validamente dal Titolare ma in una forma non documentabile (per esempio oralmente), dare conferma all’interessato della manifestazione del suo consenso con una prima comunicazione.