Privacy e E-mail marketing: Le 5 regole per non incorrere in sanzioni

Tra i vari strumenti offerti dal web-marketing l’invio di e-mail a scopi promozionali risulta quello più diffuso ed abusato.

L’utilizzo di email rientra fra le modalità automatizzate previste dall’art. 130  comma 1,2 cod. privacy che richiede espressamente il consenso dell’interessato. Che gli indirizzi email siano già in possesso dell’azienda, perché raccolti in fase di conclusione del contratto, o perché presenti in registri pubblici, poco importa:

l’email è un dato personale che non può essere utilizzato senza prima aver acquisito un consenso esplicito, libero ed informato.

L’unica ipotesi di liceità non subordinata al consenso, rientrante fra i legittimi interessi del titolare (vedi link) (art.6 Lett.f GDPR)  consta nell’invio di e-mail aventi ad oggetto la promozione di prodotti e servizi analoghi a quelli già acquistati dal cliente (cd: soft-spam). La disposizione è contenuta nel comma 4 dell’art. 130 che così recita: “(omissis) se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni”.L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione” dovrà tuttavia essere “informato della possibilità’ di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.

La soft spam rappresenta quindi uno strumento lecito di promozione dei propri prodotti che, pur non subordinato al consenso dell’interessato, dovrà mantenersi entro i limiti individuati dalla disposizione citata e sarà un’eccezione limitata alla sola posta elettronica.

L’e-mail, come premesso, è uno strumento molto diffuso tra le attività di marketing, non solo perché permette di raggiungere facilmente e direttamente più destinatari ma anche perché, con le attuali tecnologie di tracciamento (cookie, clear GIF, pixel di tracciamento, web beacon, etc), permette di acquisire informazioni finalizzate alla verifica dell’esito della campagna pubblicitaria.

Tracciando infatti il messaggio di posta sarà possibile verificare la visualizzazione del messaggio e del suo contenuto, gli indirizzi I.P. con i quali il messaggio viene ricevuto e eventuali re-inoltri dello stesso. In buona sostanza se l’operazione di trattamento restituisce dati analitici riferiti a singoli destinatari sarà anche possibile profilare l’utente così da orientare più specificamente le offerte promozionali.

In questi casi l’azienda, titolare del trattamento, oltre ad acquisire il consenso per la finalità di marketing, dovrà, al fine di svolgere lecitamente attività di profilazione strumentale all’invio di pubblicità mirata (cd marketing comportamentale), fornire idonea informativa, acquisire uno specifico consenso e svolgere una valutazione d’impatto così come previsto dall’art 35 GDPR.

Ci si chiede inoltre se l’attività di email marketing richieda le stesse attenzioni anche se svolta da società terze o mediante l’uso di piattaforme on  line. In realtà l’attenzione deve essere doppia.

Infatti, se anche la società di marketing, che ha originariamente agito come titolare autonomo del trattamento, abbia – a proprio dire – acquisito regolarmente il consenso alla comunicazione dei dati a società esterne,  permarrà comunque l’obbligo, a carico di chi successivamente utilizzi tali banche dati, di accertare che ciascun interessato abbia validamente acconsentito alla comunicazione ed al suo successivo utilizzo a fini pubblicitari (Provv. Garante Privacy 136/2012).

In buona sostanza, indipendentemente dalla buona fede del nuovo titolare, questo sarà ritenuto responsabile di ogni attività illecita fatta sul dato, anche da parte di precedenti aziende, permanendo su di esso un dovere di controllo e di difesa preventiva dei diritti dell’interessato, ovviamente contemperata ai propri mezzi e alle proprie possibilità.
(ad esempio, per alcune realtà aziendali, sarà sufficiente un’indagine a campione e delle verifiche periodiche su eventuali opposizioni fatte successivamente alla manifestazione del consenso).

Anche le piattaforme di email marketing nascondono delle insidie legate principalmente all’ubicazione dei server  utilizzati per la gestione del servizio. Secondo il GDPR è infatti vietato, salvo eccezioni, il trasferimento di dati in Paesi Extra UE.  Pertanto se l’azienda carica sulla piattaforma on line indirizzi e-mail di propri clienti per una gestione automatica delle proprie campagne di e-mail marketing, potrà correre il rischio di affidarsi a fornitori extra UE che non abbiano garantito un livello di protezione adeguato e/o idonee garanzie contrattuali.

In conclusione, i precetti che un’impresa, nell’attività di e-mail marketing, dovrà adottare per essere privacy compliant sono i seguenti:

  1. Salve le ipotesi di soft spam dovrà sempre chiedere il consenso prima dell’invio dell’email promozionale: riconoscere il diritto di opt-out dopo aver ricevuto l’email è considerato trattamento illecito.
  2. il consenso dovrà essere libero esplicito ed informato: no all’acquisizione del consenso obbligato e/o preimpostato e la cui finalità non sia chiara ed intellegibile.
  3. il consenso dovrà essere specifico e mai generico per le singole finalità: diversi consensi per diverse finalità:  marketing diretto, comunicazione dei propri dati a società esterne, profilazione, etc.
  4. Il consenso, seppur non necessariamente scritto, dovrà essere provato: è quindi consigliabile tenere sempre traccia del consenso raccolto.
  5. Qualora ci si avvalga di società esterne sarà necessario valutarne l’ubicazione (se piattaforme online) la serietà (individuazione delle misure di sicurezza adottate), individuarne il ruolo (magari attraverso specifiche nomine) e, possibilmente, convenire contrattualmente con le stesse profili di responsabilità per eventuali manleve nei confronti degli interessati. Se è vero infatti che l’azienda che sta trattando il dato illecitamente rimarrà sempre responsabile verso l’interessato, potrà almeno rifarsi su quel fornitore che abbia garantito che la lista di indirizzi email ad essa venduta sia stata regolarmente acquisita per quella specifica finalità.