Le comunicazioni commerciali indesiderate ai professionisti iscritti in albi pubblici

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – Per espressa e specifica previsione legislativa, le modalità automatizzate di contatto, come la posta elettronica, ove utilizzate per finalità anche latamente commerciali, richiedono sempre il previo libero e specifico consenso degli interessati (art. 130 del Codice privacy, commi 1 e 2), con l’unica eccezione della c.d. «soft spam», di cui al comma 4 del medesimo art. 130. Non può, quindi, ritenersi ammesso inviare comunicazioni a mezzo posta elettronica utilizzando dati raccolti sul web, anche ove si tratti di albi ufficiali e pubblici.

Massima (2) – Non può ritenersi applicabile all’attività promozionale effettuata a mezzo posta elettronica a dati di contatto estratti da albi pubblici la base giuridica del legittimo interesse, non potendosi ravvisare, nel caso di specie, le condizioni per la sua operatività, quali una pregressa e costante interazione positiva fra titolare e interessato che dunque possa ragionevolmente aspettarsi di ricevere comunicazioni promozionali. Al riguardo, non può avere rilievo liceizzante il contenuto formativo specialistico, anche ove di comprovata utilità, interesse o gradimento per i destinatari, dei messaggi in questione.

Provvedimento: GPDP, Docweb n. 9696708 del 22 luglio 2021

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9696708

Keywords: marketing, comunicazioni commerciali indesiderate, spam, soft spam, albi pubblici, condizioni di liceità, consenso dell’interessato, legittimo interesse del titolare del trattamento

Riferimenti normativi: art. 130 d.lgs. n. 196/2003 (Codice privacy), art. 5, par. 1, lett. b), 6, par.1, lett. a) ed f), 7, 21 GDPR

Data del commento: 21 febbraio 2022

Massime e Commento di Ilaria Speziale

1. Il caso

Il Garante per la protezione dei dati personali si occupa qui di una situazione ricorrente nella prassi e, quindi, meritevole di particolare attenzione: l’invio massivo di comunicazioni promozionali indesiderate. Un consulente finanziario presentava reclamo avverso la Moneycontroller S.r.l. (anche a nome di altri colleghi), denunciando le molteplici e-mail di contenuto sostanzialmente pubblicitario ricevute dalla società, senza che questa avesse acquisito alcun consenso preventivo e – a detta del reclamante – senza neppure dare seguito alla sua istanza di opposizione. Appare significativo che i dati di contatto del consulente finanziario fossero stati estratti dall’albo professionale a cui lo stesso era iscritto e che i messaggi trasmessi via web fossero attinenti all’attività economica svolta dall’interessato.

2. Le questioni

Il caso sottoposto all’attenzione dell’Autorità riguarda le condizioni di liceità del trattamento dei dati personali nelle comunicazioni elettroniche per finalità di marketing diretto, inviate ad indirizzi e-mail estratti da elenchi o albi pubblici.

La fattispecie ricade nell’ambito applicativo dell’art. 130 cod. privacy, riferito specificamente alle modalità automatizzate di contatto per l’invio di materiale pubblicitario. Gli strumenti di comunicazione elettronica sono oggi assai variegati e comprendono un’ampia gamma di tecnologie che la norma elenca almeno in parte e senza pretese di esaustività: sistemi automatici di chiamata e di comunicazione, SMS, MMS e posta elettronica. A fronte della forte intrusività di simili strumenti, comunemente associati al fenomeno dello spamming, l’art. 130 subordina il loro utilizzo a fini di marketing al preventivo consenso espresso di contraenti e utenti. Tale consenso, come il Garante ha ripetutamente chiarito, è valido solo se rispetta tutte le condizioni individuate dall’art. 7 del GDPR (Reg. UE n. 679/2016), ossia se è informato, manifestato liberamente e con atto inequivocabile e specifico.

La società reclamata, che pure aveva legittimamente svolto altra attività promozionale via e-mail, rivolgendosi esclusivamente agli utenti registrati sul proprio sito web e dietro loro specifico consenso, veicolava qui messaggi pubblicitari ai professionisti iscritti all’albo dei consulenti finanziari, senza il loro consenso. E ciò, nell’erroneo convincimento che il trattamento dei dati di contatto così acquisiti fosse necessario per il perseguimento di un legittimo interesse del titolare del trattamento, ai sensi dell’art. 6, par. 1, lett. f), del GDPR.

Il Garante è intervenuto più volte, oltre che in questa occasione, per chiarire l’esatta portata di una simile base giuridica. Per orientamento costante dell’Autorità – che si è espressa, ad esempio, nei casi di chiamate pubblicitarie indesiderate effettuate tramite call center – le condizioni di operatività del legittimo interesse si traducono in «una pregressa e costante interazione positiva fra titolare e interessato che dunque possa ragionevolmente aspettarsi di ricevere comunicazioni promozionali» (GPDP, docweb n. 9696708 del 22 luglio 2021, in commento, par. 2). È il caso del c.d. soft spam, previsto dall’art. 130, comma 4, cod. privacy, che ammette una deroga al principio dell’opt-in nell’ambito delle comunicazioni commerciali effettuate con mezzi automatizzati di contatto.

Al di là della definizione fin troppo rigida formulata dal Garante, il quale esige, come si è detto, un’interazione «costante» tra i due soggetti coinvolti nel trattamento, il considerando n. 47 del GDPR, nella sua prima parte, dispone: «I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio – prosegue la norma –, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, [il che accade] ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine».

La deroga al principio dell’opt-in si basa sulla considerazione che nel contesto di una relazione di clientela preesistente sia ragionevole consentire all’impresa che ha legittimamente ottenuto le coordinate elettroniche dei propri clienti di continuare ad utilizzarle per fini commerciali. Ciò, tuttavia, è possibile solo a determinate condizioni, previste, ancora una volta, dall’art. 130 cod. privacy: il cliente deve essere preventivamente e adeguatamente informato circa l’ulteriore utilizzo dei suoi dati di contatto e non deve rifiutare tale uso in occasione sia della prima, sia delle successive comunicazioni. Inoltre, l’offerta deve riguardare servizi analoghi a quelli oggetto del rapporto preesistente, rispetto ai quali il cliente abbia già manifestato il proprio interesse, salvo, in ogni caso, il suo diritto di opporsi al trattamento in qualunque momento, gratuitamente e in maniera agevole.

Nella vicenda in esame, la Moneycontroller S.r.l. insisteva sulla (asserita) funzione sociale educativa svolta dal proprio servizio informativo, che consisterebbe in comunicazioni (pubblicitarie) strettamente funzionali all’attività economica del reclamante. Ma, come il Garante ha opportunamente puntualizzato, il contenuto formativo specialistico, anche ove di comprovata utilità, interesse o gradimento per i destinatari dei messaggi inviati, non può avere alcun rilevo liceizzante, ragion per cui «non può ritenersi ammesso inviare comunicazioni a mezzo posta elettronica utilizzando dati raccolti sulweb, anche ove si tratti di albi ufficiali e pubblici». Tra l’altro, il quadro legislativo di riferimento e, in particolare, l’art. 5, par. 1, lett. b), del GDPR valorizzano il principio-vincolo della finalità del trattamento e tale principio non può che operare «anche con riguardo a “limiti” e “modalità” per il trattamento di dati presenti su elenchi ed albi pubblici» (GPDP, docweb n. 9696708 del 22 luglio 2021, in commento, par. 2).

La società reclamata, a sostegno della propria tesi, menzionava il provvedimento contenente «Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l’impiego del telefono con operatore, a seguito dell’istituzione del registro pubblico delle opposizioni» (GPDP, docweb n. 1784528 del 19 gennaio 2011). Tuttavia, secondo il Garante, un simile riferimento risulta «incongruo» per due ragioni: il provvedimento riguarda specificamente il telemarketing, che è altro dall’invio automatizzato di e-mail promozionali; inoltre, esso «si preoccupa in vero di ricordare che: “resta impregiudicato quanto previsto dall’art. 130 del Codice riguardo alle attività promozionali effettuate attraverso sistemi automatizzati di chiamata senza l’intervento di un operatore, per le quali è sempre necessario il consenso espresso dell’interessato”» (GPDP, docweb n. 9696708 del 22 luglio 2021, in commento, par. 2). Ecco, quindi, che la regola del consenso, non più centrale nella generalità delle operazioni di trattamento dei dati – nella misura in cui l’art. 6 del GDPR lo equipara alle altre condizioni di liceità ivi previste –, mantiene un suo ruolo primario nell’ambito specifico delle comunicazioni elettroniche. Ciò non toglie, però, che – come pure il considerando n. 47 del GDPR, ultima parte, precisa – «può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto» in presenza dei presupposti già indicati supra (e cioè, in base al medesimo considerando, «quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento» e «l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine»).

Un’ultima annotazione sul diritto di opposizione, ex art. 21 del GDPR. Nella vicenda in commento, non è stato dato seguito alla doglianza del reclamante, perché, a dispetto del riscontro negativo fornito alla sua istanza di cancellazione, la società aveva de facto tempestivamente provveduto a rimuovere i dati di contatto dell’interessato, accogliendo la sua istanza al pari delle altre ricevute. Appare, però, degno di rilievo il tentativo della Moneycontroller S.r.l. di negare tale diritto, ancora una volta in ragione dell’erroneo convincimento che la stessa potesse veicolare messaggi sui propri servizi a professionisti i cui dati fossero presenti in albi pubblici.

3. Precedenti

Il Garante privacy ha già avuto occasione di esprimersi sulle telefonate promozionali a fini di marketing verso numeri tratti da albi professionali senza il consenso specifico dell’interessato (v. GPDP, docweb n. 1851415 del 29 settembre 2011. La questione dell’estrazione di dati di contatto da registri o albi pubblici ricorre poi nelle plurime pronunce in materia di propaganda politica: cfr., ex multis, GPDP, docweb n. 9105201 del 18 aprile 2019, spec. par. 3, n. 1); GPDP, docweb n. 663323 del 7 marzo 2001, contenente «Un “decalogo” per l’utilizzazione di dati da parte di partiti e movimenti politici nella propaganda elettorale», spec. par. 1); GPDP, docweb n. 634369 del 12 febbraio 2004, spec. par. 2) e 3); e ancora GPDP, docweb n. 1107658 del 3 marzo 2005, spec. lett. b).

Inoltre, il Garante è intervenuto più volte sul problema del consenso per i trattamenti con finalità di marketing diretto, attraverso numerosi provvedimenti, mediante i quali ha fornito chiarimenti e indicato misure specifiche. Tra i tanti, si segnalano: GPDP, docweb n. 1784528 del 19 gennaio 2011 sulle Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l’impiego del telefono con operatore, a seguito dell’istituzione del registro pubblico delle opposizioni, citato nella decisione in commento e riferito specificamente al c.d. telemarketing; GPDP, docweb n. 2542348 del 4 luglio 2013, consistente nelle Linee guida in materia di attività promozionale e contrasto allo spam; GPDP, docweb n. 2543820 del 15 maggio 2013 sul Consenso al trattamento dei dati personali per finalità di «marketing diretto» attraverso strumenti tradizionali e automatizzati di contatto; GPDP, docweb n. 3867789 del 2015, quale vero e proprio Vademecummarketing e privacy che raccoglie consigli e raccomandazioni pratiche con riferimento alla protezione dei dati personali nelle attività di marketing.

A proposito della ricezione di chiamate promozionali indesiderate, si vedano: GPDP, docweb n. 9256486 del 15 gennaio 2020; GPDP, docweb nn. 9577042, 9577065 e 9577371 dell’11 marzo 2021, citati nella decisione in esame e riportati nella newsletter del 27 aprile 2021, con cui l’Autorità ha sanzionato tre call center; GPDP, docweb n. 9079005 del 29 novembre 2018.

Sull’invio massivo di comunicazioni commerciali non autorizzate si leggano: GPDP, docweb n. 9124420 del 20 giugno 2019, laddove l’invio avveniva tramite e-mail, proprio come nel caso di specie; GPDP, docweb n. 9486485 del 15 ottobre 2020, laddove, invece, l’invio avveniva tramite SMS.

Infine, con riferimento all’applicazione della base giuridica del legittimo interesse nelle comunicazioni commerciali in una prima analisi preliminare sulla corretta applicazione del GDPR, si veda GPDP, docweb n. 8080493 del 22 febbraio 2018.

4. Bibliografia

In commento al Reg. 679/2016 (GDPR), si leggano N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Milano, 2019; G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019; V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019.

A proposito delle condizioni di liceità del trattamento dei dati personali, si rinvia a F. Bravo, Le condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, cit., p. 110 ss.; D. Poletti, Le condizioni di liceità del trattamento dei dati personali, in Giur. it., 2019, 12, p. 2783 ss.

Sulle comunicazioni commerciali a fini di marketing, si vedano F. Iraci Ganvazza-F. Laviola, Finalità di marketing e consenso: profili in evoluzione, in Nuova giur. civ. comm., 2021, 5, p. 1066 ss.; F. Zanovello, Consenso libero e specifico alle e-mail promozionali, in Nuova giur. civ. comm., 2018, 12, p. 1778 ss.; M. Massimi, Quali orizzonti per il marketing?, in R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), Milano, 2019, p. 483 ss.; G. Scorza, Prospettive de iure condendo della protezione dei dati personali nel settore delle comunicazioni elettroniche, tra Regolamento generale 2016/679 e futuro Regolamento e-Privacy, in L. Califano-C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2017, p. 741 ss.; C. Rinaldo, Le comunicazioni commerciali non sollecitate tra libertà d’impresa e diritto alla tranquillità individuale, in Nuove leggi civ. comm., 2013, 3, p. 653 ss.