PRIVACY

Vademecum sul Marketing – I consigli del Garante

Scritto da Alberto Nicolai

Pochi giorni fa il Garante ha pubblicato un opuscolo informativo (Vademecum), destinato sia alle aziende che ai consumatori, per fare chiarezza sulle regole vigenti in ambito Marketing, così da poter rispondere ai più frequenti dubbi relativi a diverse pratiche lesive della nostra privacy quotidiana. Vediamo assieme i punti più interessanti di questo opuscolo.

(Foto di copertina del Vademecum “Viva i consigli, abbasso lo Spam”)

L’ultimo vademecum pubblicato dal “Servizio relazioni con i mezzi di informazione” del Garante della Privacy, intitolato “W i Consigli, abbasso lo Spam” – eviterò di pronunciarmi sull’opportunità di un titolo di questo genere – è diviso in 9 capitoletti, e nell’ordine:

  1. Privacy e Marketing nell’impresa
  2. Libertà al consumatore: informativa e consenso
  3. Finalità e disponibilità: asso pigliattuto?
  4. Le differenze tra i personal shopper e i disturbatori
  5. La ricerca del cliente e lo scambio dei dati
  6. Le promozioni al telefono
  7. Web e social network, liberi dallo spam
  8. Aiuto! A chi mi rivolgo
  9. Appendice per approfondire

Il linguaggio utilizzato per l’opuscolo è semplice e alla portata di tutti, strutturato sullo schema domanda-risposta, ma i contenuti non sono per niente banali, rappresentando un interessante sunto dei più recenti provvedimenti del Garante in ambito Marketing.

Pertanto vi consiglio vivamente la lettura integrale del vademecum, che non vi ruberà più di 10-15 minuti.

Nel presente articolo scorreremo assieme i 9 capitoli dell’opuscolo, e vi indicherò alcuni punti che ritengo di maggior interesse.

1. Privacy e Marketing nell’impresa

Il capitolo iniziale introduce le definizioni di Titolare del Trattamento, di Responsabile del Trattamento e di Incaricato del Trattamento.
Voi, che siete assidui lettori ed ascoltatori di DirittiWeb, già siete perfettamente a conoscenza di queste fondamentali figure individuate dal nostro Codice della Privacy, alle quali abbiamo dedicato un’intera puntata del nostro Podcast.

2. Libertà al consumatore: informativa e consenso

Nel secondo capitolo viene introdotta la figura dell’Interessato, e vengono brevemente spiegati i requisiti di un’informativa ex art. 13 Codice Privacy, e dell’acquisizione del Consenso ex art. 23.
In particolar modo, con riferimento al consenso, l’opuscolo evidenzia come non sia lecito consegnare un modulo per l’ordine di un prodotto con la casella per il consenso al trattamento già contrassegnata (stesso discorso può farsi per i siti web che spuntano già in partenza la corrispondente casella), così come non è lecito che un sito internet imponga di rilasciare un consenso per finalità promozionali, onde usufruire dei servizi offerti attraverso il portale stesso.
Analoga considerazione può essere svolta per i supermercati che, rilasciando una tessera fedeltà, richiedono forzatamente al cliente anche il consenso a trattare i suoi dati per fini di profilazione o marketing: detto consenso PUO’ essere richiesto, e concesso dal cliente, ma deve essere indipendente dal rilascio della tessera stessa.
Per quanto riguarda l’invio di depliant pibblicitari, nei confronti di una persona che è già cliente, ciò è consentito nei limiti del cosiddetto Soft Spam (art. 130, comma 4, Codice Privacy).
Non avendolo trattato in precedenti articoli, apro una piccola parentesi sul punto.

L’art. 130, comma 4, Codice Privacy così recita:

(…) se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

In sostanza, per la promozione di prodotti o servizi analoghi – si badi, solo per quelli analoghi – a quelli oggetto di una vendita già intercorsa con l’Interessato, il Titolare non avrà necessità di acquisire un preventivo consenso in tal senso (OPT-IN), ma potrà inviare liberamente tale comunicazione all’indirizzo di posta elettronica di cui già dispone, specificando però chiaramente che l’Interessato potrà rifiutare di ricevere ulteriori mail di quel tipo (OPT-OUT), consentendogli di manifestare tale volotnà in maniera agevole e gratuita (in genere, il classico unsubscribe in calce alla mail pubblicitaria).

3. Finalità e disponibilità: asso pigliattuto?

In questo capitolo vengono accennati alcuni dei principi ispiratori del nostro Codice della Privacy, tra cui il principio di necessità, di proporzionalità e di non eccedenza.
Viene inoltre spiegato come debba sempre sussistere uno stretto vincolo di finalità nella raccolta dei dati: occorre acquisire un autonomo consenso per ogni finalità, prevedendo apposite caselle per i diversi scopi a cui mira il Titolare.
Interessante sottolineare come sia tuttavia sufficiente richiedere all’interessato un unico consenso per attività riconducibili al marketing (es. ricerca di mercato e vendita diretta non necessitano di due distinti consensi), e come il consenso prestato per la ricezione di comunicazioni automatizzate (Sms, e-mail, telefonate preregistrate, etc.) si estenda anche alle modalità tradizionali cartacee, o tramite operatore di call-center, in quanto considerate meno invasive. Tale ragionamento non sarà applicabile, per ovvie ragioni, a contrario. Pertanto, per fare un esempio, il consenso per la ricezione di materiale cartaceo NON farà venire meno la necessità del consenso a ricevere e-mail (per approfondire si vedano le “Linee guida in materia di attività promozionale e contrasto allo spam”).

4. Le differenze tra i personal shopper e i disturbatori

Il capitolo tratta della Profilazione, di cui abbiamo già trattato su DirittiWeb sia QUI che QUI.
Basti in questa sede ricordare che per poter profilare – attività altamente invasiva della Privacy spesso svolta in modo occulto o celato – occorre SEMPRE il consenso preventivo dell’Interessato, e che è inoltre necessario effettuare la notificazione al Garante ex art. 37 Codice Privacy.

Interessante il caso delle Pay Tv: le aziende del settore devono – o dovrebbero – adottare pratiche di profilazione poco invasive, suddividendo gli utenti in macrocategorie di consumo ed evitando di incrociare i dati tra utenti telefonici e televisivi, oltre a limitare la conservazione dei dati ai tempi strettamente necessari.
Stesse cautele sono prescritte dal Garante con riferimento alla profilazione con i dati di pagamento tramite credito telefonico: anche in questo caso il Garante prescrive di evitare la profilazione “incrociata” dell’utenza tra beni acquistati e consumo telefonico.

5. La ricerca del cliente e lo scambio dei dati

Il Garante, in questo capitolo, ci ricorda come sia possibile contattare telefonicamente, mediante operatore, solamente i numeri presenti negli elenchi che non siano iscritti nel Registro Pubblico delle Opposizioni.
Per quanto riguarda la cessione e l’acquisto di dati personali (o di intere banche dati), a fare la differenza tra lecito ed illecito è ancora una volta l’informativa rilasciata ed il consenso acquisito: il Titolare deve premunirsi di un consenso preventivo alla comunicazione e/o cessione a terzi (chiaramente individuati o, quantomeno, appartenenti a precise categorie), l’Interessato deve verificare attentamente le caselle che sta barrando, e i consensi che sta prestando, se non vuole che i suoi dati circolino di società in società, in forza di un consenso da lui stesso prestato (sempre che ciò avvenga in maniera informata, libera e specifica).

Infatti, qualora sia stata consentita la cessione dei propri dati a fini Marketing alle società X, Y, e Z, ovvero alle società di un medesimo settore merceologico (es. abbigliamento), queste potranno compiere le loro attività di promozione, dopo aver acquisito i dati dell’Interessato, senza la necessità di rilasciare ulteriori informative, nè acquisire ulteriori consensi: l’Interessato è già stato informato, il consenso è già archiviato.

6. Le promozioni al telefono

Tasto estremamente dolente per molti cittadini italiani.

Il sistema degli elenchi telefonici rappresenta un unicum in Italia (assieme al soft-spam che abbiamo visto poco sopra) funzionando in regime di OPT-OUT.
La regola generale del consenso preventivo per qualunque tipo di trattamento dati subisce un estremo capovolgimento: “non deve essere l’azienda a chiedere all’utente di potergli proporre offerte commerciali, ma deve essere l’utente a iscriversi nel Registro Pubblico delle Opposizioni nel caso non desideri essere disturbato.” (così a pag. 25 dell’Opuscolo).

In questo capitolo il Garante ci ricorda che, oltre a potersi iscrivere al Pubblico Registro della Fondazione Bordoni (RPO), così da manifestare il proprio dissenso a ricevere telefonate commerciali tramite operatore (per le telefonate tramite dischi preregistrati occorre sempre uno specifico consenso dell’Interessato), l’Utente può richiedere al proprio operatore telefonico di rendere “riservata” la propria utenza, e così non più visibile negli elenchi (in sostanza, l’eliminazione del proprio numero dagli elenchi telefonici). In caso di utenza riservata, non sarà però possibile effettuare l’iscrizione al Registro della Opposizioni.
In breve:

  • voglio il numero sull’elenco, ma non voglio ricevere telefonate pubblicitarie: mi iscrivo al RPO;
  • non voglio il numero sull’elenco (e pertanto non voglio telefonate di alcun tipo, essendo l’utenza riservata): ne faccio esplicita richiesta al mio operatore telefonico.

Cosa fare se le telefonate indesiderate continuano? Bisognerebbe chiedere all’operatore chi è il Titolare del Trattamento, come ha avuto i nostri riferimenti telefonici, e chiederne la cancellazione.
Se tale tentativo non porta alcun risultato, il Garante ha predisposto dei moduli semplificati per segnalare le violazioni di Marketing telefonico sia per gli utenti iscritti al registro delle Opposizioni, che per le utenze riservate.
Grande ostacolo, in tal caso, è rappresentato dagli stessi operatori telefonici, che alle nostre puntuali domande – da cittadini informati in tema privacy – tenderanno a glissare, a scusarsi oppure, nei casi peggiori, a “sbatterci” il telefono in faccia (con imprecazioni annesse…).

Attenzione: bisogna sempre ricordare che sia l’iscrizione all’RPO, che l’utenza riservata, non tutelano l’Interessato qualora abbia prestato idoneo consenso alla ricezione di telefonate a favore di una determinata società!
Quindi, se non volete ricevere telefonate, verificate sempre le informative e i consensi che prestate quando comunicate il vostro numero di telefono.

Per quanto riguarda gli iscritti ad Albi Professionali, questi possono essere contattati alle utenze ivi indicate solo per promozioni strettamente attinenti all’attività da loro svolta, oppure se la specifica disciplina di riferimento prevedere espressamente tali attività di marketing (e sempre che non siano iscritti all’RPO).

7. Web e social network, liberi dallo spam

In questo capitolo di parla di Cookies, di cui ho già scritto approfonditamente.
Ma si parla anche di Social Network, nello specifico si sottolinea come:

Chi desidera inviare i messaggi promozionali agli utenti dei social network (come Facebook), in privato o pubblicamente sulla loro bacheca virtuale, è tenuto a rispettare tutte le regole previste dal Codice della privacy, come quella di aver prima acquisito lo specifico consenso del destinatario.

e con riferimento ai “Fun Club” (le pagine sociali du Fb, per esempio) viene detto che:

Un’impresa può inviare offerte commerciali ai propri “follower” sui social network (utenti che decidono di “seguire” le relative vicende, novità o commenti della società) quando la loro iscrizione manifesta chiaramente l’interesse a ricevere messaggi concernenti il marchio, prodotto o servizio offerto.

Quando si può definire come “chiara” la manifestazione della volontà di ricevere messaggi commerciali sui Social? Su questo punto il Garante non è entrato nello specifico, e ha lasciato margine discrezionale agli interpreti.
Resta comunque ferma la possibilità, offerta dalle piattaforme sociali, di “bloccare” l’invio di messaggi non graditi, contrassegnando come “Spam” il messaggio pubblicitario.

8. Aiuto! A chi mi rivolgo

Oltre ad indicare i due principali strumenti per adire il Garante (ossia la Segnalazione ed il Ricorso), con tutti gli indirizzi del caso, e oltre a specificare come l’interessato possa anche rivolgersi all’autorità giudiziaria ordinaria per richiedere tutela in ambito civile, ergo per chiedere ed ottenere un risarcimento danni, ovvero in ambito penale, tramite apposita denuncia/querela nei casi previsti dal Codice, il Garante evidenzia come:

le persone giuridiche non possano più rivolgersi al Garante per chiedere interventi contro lo Spam. Le società, tuttavia continuano ad essere tutelate contro le comunicazioni promozionali automatizzate, in qualità di “contraenti” di servizi di comunicazione elettronica e possono rivolgersi all’Autorità giudiziaria per eventuali azioni contro gli spammer.

Questo è uno dei risultati (rectius, dei danni) della Legge 22 dicembre 2011, n. 214, che ha convertito in legge il D.l. 6 dicembre 2011, n. 201.
Di fatto tale legge, che negli intenti del Legislatore avrebbe dovuto semplificare ed alleggerire il carico burocratico della aziende nel settore della Compliance Privacy, ha comportato viceversa un affievolimento della tutela – dal lato passivo – delle persone giuridiche.
Queste infatti – dal lato attivo – devono continuare ancora ad applicare e rispettare tutti i dettati del Codice Privacy ove trattino dati di persone fisiche, dall’altro lato – quello appunto passivo – i dati delle stesse non vengono più considerati come dati personali ai fini dell’applicazione del nostro attuale codice, e pertanto non sono più tutelati dalla 196/2003.1
O meglio, con riferimento alle comunicazioni elettroniche di cui al titolo X del nostro Codice, le persone giuridiche vengono ancora ricomprese all’interno della categoria dei “Contraenti”, conservando così la possibilità di ricevere, almeno in tale settore, tutela Privacy.

9. Appendice per approfondire

Per finire un elenco dei principali provvedimenti del Garante in tema Marketing, che potrete ricercare sul sito garanteprivacy.it, dai quali i realizzatori del Vademecum hanno attinto per la sua realizzazione.


  1. d.lgs 196/2003, art. 4, lett. b) “dato personale”, qualunque informazione relativa a persona fisica, [persona giuridica, ente od associazione] identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
    Come si può notare, tra parentesi quadre vi è il previgente riferimento alle persone giuridiche che è stato espunto dal Codice, ad opera della Legge 22 dicembre 2011, n. 214. 

Info sull'Autore

Alberto Nicolai

Avvocato. Appassionato di informatica dai tempi del 286 con MS-Dos e Windows 3.1, mi occupo prevalentemente di Diritto Informatico, ICT, Privacy e Website Legal Compliance. Il mio sito personale è albertonicolai.it

Leggi articolo precedente:
Sfondo Podcast dirittiweb
Dirittiweb #06 – Google, servizi di comparazione prezzi, Android ed abuso di posizione dominante. La messa in mora della Commissione Europea.

Schermata-2015-04-17-alle-09.03.39
Allegato B al Codice Privacy (parte 2): i sistemi di autorizzazione informatica

Foto di srgpicker, Flickr
La disciplina delle intercettazioni in tensione tra esigenze investigative e tutela della Privacy

Chiudi