Linee guida in materia di marketing: i primi dubbi
Curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza è uno dei compiti che l’Autorità garante per la protezione dei dati personali, soprattutto negli ultimi tempi, prende molto sul serio.
L’intensa attività di divulgazione ha prodotto le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 (pubblicate in Gazzetta Ufficiale il 26 luglio) che si prefiggono di essere un “testo unico” che riconcili tra loro le varie possibilità applicative del trattamento per finalità di marketing alla luce anche di altre normative nazionali e non, che ci richiamano ad una disciplina comune o quanto meno ad un’interpretazione uniforme di quella già esistente.
Pertanto la lettura del provvedimento non può esulare da quella degli altri ad esso presupposti e correlati oltre che diligentemente richiamati nel complesso articolato in esame. Nella breve disamina che segue l’attenzione sarà concentrata proprio sul loro reciproco confronto. Necessario ad avviso di chi scrive.
Un importante contributo è dato, fra tutti, dal provvedimento relativo al “Consenso al trattamento dei dati personali per finalità di marketing diretto attraverso strumenti tradizionali e automatizzati di contatto” del 15 maggio dell’anno in corso pubblicato contestualmente a quello che ci occupa.
Il legame tra i due provvedimenti è chiaro, non solo per la loro contemporaneità, ma soprattutto laddove il primo spiana la strada, o tanto si prefigge, all’applicazione concreta e coerente del canone codicistico della manifestazione del consenso per le finalità di marketing. Il nodo interpretativo viene sciolto con una soluzione tendenzialmente conciliante (il provvedimento del 15 maggio nasce dalla necessità di dar seguito alle proposte degli operatori telefonici impegnati a rendere al pubblico dei loro clienti un trattamento conforme alle prescrizioni di legge).
In sintesi, il consenso acquisito dai titolari del trattamento in ambito privato, nel perseguire le finalità in argomento tramite le modalità di cui all’art. 130, commi 1 e 2 del Codice per la protezione dei dati personali (di seguito solo il Codice), ovvero le cc.dd. modalità automatizzate di contatto, se non espressamente distinto, deve intendersi esteso al medesimo trattamento effettuato con le diverse modalità tradizionali. A fronte, ovviamente, di un’informativa chiara e trasparente che tenga conto delle diverse possibilità e delle cautele da assicurare comunque ai destinatari del trattamento.
Messa così sembra facile. Ma andiamo con ordine.Per modalità automatizzate secondo l’art. 130, comma 1 e 2, del Codice (letto in uno e in conformità con la direttiva n. 2002/58/CE – la direttiva E-privacy – e in particolare con il suo articolo 13 e del D.lgs. n. 206/2005 – il Codice del Consumo – e con il suo articolo 58) si intende l’uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica, a cui si aggiungono i messaggi del tipo sms e mms.
Le modalità tradizionali corrispondono, invece, alle chiamate con l’intervento dell’operatore e, de iure condendo, all’invio di posta cartacea. Il trattamento relativo, come noto, è sottoposto altresì alla ulteriore e preliminare misura di esclusione dell’iscrizione al registro pubblico delle opposizioni per le numerazioni comprese negli elenchi pubblici di abbonati/contraenti.
L’iter logico seguito dall’Autorità parte con sicurezza dall’opportunità, urgente anche nel resto d’Europa, di prevedere misure volte a tutelare gli interessati da interferenze nella vita privata attraverso forme di comunicazione commerciale particolarmente invasive oltre che onerose per i relativi destinatari, per le quali è giustificato il previo consenso di questi ultimi. E si conclude con la necessità di colmare l’apparente conflitto tra due norme dello stesso Codice, ovvero quella di cui all’art. 23 e la disposizione in esame contenuta nell’art. 130, commi 1 e 2. Senza essere ridondanti, si dica che l’Autorità spiega la posizione interpretativa ribadendo il rapporto tra regola generale e regola speciale che informa la relazione tra l’art. 23 e l’art. 130 del Codice.
Ma nonostante i buoni propositi rimane qualche incertezza nel coordinamento tra le norma. Ci piacerebbe soffermarci sulle sue cause indagando per esempio sull’uso che il provvedimento in questione fa del “termine” interessato dissociandolo il più delle volte da quello di contraente (che comprende, nella specialità della disposizione di cui all’art. 130 del Codice, anche quella di persona giuridica). Pur se l’Autorità nel settembre 2012, all’avvento dell’allora D.L n. 201/2011, interpretava le modifiche da questo introdotte, poi confermate, con la necessità di calcare ancora di più la specificità delle disposizioni di cui all’art. 130 del Codice e soprattutto dei suoi primi due commi confermando la necessità di estendere le diverse cautele ivi considerate anche alle persone giuridiche/contraenti.
Quindi anche il consenso o no?
In ogni caso e senza indagare oltre sui limiti dell’ambito soggettivo o dell’interpretazione che ne discende, anche per le fattispecie disciplinate nell’art. 130, commi 1 e 2, del Codice, le caratteristiche del consenso sembrerebbero mutuate dall’art. 23 del Codice. Ovvero il consenso deve essere espresso liberamente e specificamente e documentato per iscritto per le finalità di c.d. marketing diretto che l’Autorità nelle sue linee guida semplifica riunendo indistintamente in esse quelle dell’invio di materiale pubblicitario, della vendita diretta, del compimento di ricerche di mercato e di comunicazioni commerciali. Il cumulo delle dette attività non è un caso ma è giustificato dal Garante con la loro sostanziale funzionalità a perseguire un’unica finalità che è quella (lato sensu) di marketing. Con la conseguenza che il connesso trattamento appare giustificare l’acquisizione di un unico consenso. Così riaffermando, seppur nell’intento di semplificazione che anima l’Autorità, la necessità che il consenso sia prestato per lo specifico trattamento che, però, non è più frammentato tra le diverse attività che lo caratterizzano. Il Garante così fa salvi i principi fondamentali del codice quale, primo fra tutti, quello di finalità e in stretta correlazione quelli di proporzionalità e di necessità.
Pari interpretazione non è data dall’Autorità quando accorpa le modalità di trattamento di cui all’art. 130, commi 1 e 2, del Codice riconducendole tra quelle in senso lato automatizzate. Esse, nella loro indivisibilità (almeno nell’apparenza normativa), sono distinte solo da quelle individuate come tradizionali. Per completezza e per ulteriore semplificazione, il Garante prevede l’alternativa tra due distinti consensi per le modalità nella loro macro classificazione e un unico consenso che comprenda i due tipi di modalità. E ancora, sempre senza smentire né confermare la separazione tra i diversi strumenti considerati nell’art. 130 ai commi 1 e 2 del Codice, l’Autorità privilegia il consenso per le modalità automatizzate, che, con esclusione della volontà specularmente opposta, può estendersi ai trattamenti effettuati per le note finalità mediante il contatto telefonico presidiato dall’operatore o mediante la posta cartacea, ovvero per il tramite delle cc.dd. modalità tradizionali.
Coerentemente con l’intento della semplificazione di cui all’art. 2, comma 2, del Codice, l’Autorità interpreta la specificità del consenso anche rispetto alle modalità utilizzate per il loro perseguimento pur dando rilievo alla particolare invasività di quelle automatizzate. Di cui, alla luce dei testi in esame, il Garante avrebbe considerato la misura in base al complesso dei mezzi di comunicazione rientranti nella categoria. Senza, però, rintracciarne, allo stato, la reciproca funzionalità rispetto quanto meno alla gravità del loro uso improprio, ma solo valutando la natura del mezzo più o meno riconducibile nell’alveo circoscritto dalle disposizioni in esame. Un passo indietro rispetto al passato?
Il dovere di semplificare finora non ha mai tolto coerenza ai principi che informano la tutela degli interessati e/o dei destinatari dei trattamenti, difesa in passato, anche a costo di una politica fin troppo repressiva, dall’Autorità. Il riferimento è, per esempio, agli interventi chiarificatori del Garante di cui al provvedimento del 29 maggio 2003 recante le regole per il corretto invio delle mail pubblicitarie o ancora le sanzioni negli anni inflitte per il trattamento illecito perpetrato attraverso fax pubblicitari.
Le linee guida dovevano essere l’occasione per evitare anche gli ultimi effetti di una disciplina aperta a troppe interpretazioni scoordinate, restituendo finalmente un quadro normativo/precettivo conforme e certo e l’equilibrio tra gli interessi in gioco.
Quindi ben venga il privilegio attribuito al consenso per le modalità automatizzate che permette di circoscrivere l’uso di tecniche di comunicazione massive. Ma quali saranno le conseguenze del detto uso a fronte ad un consenso indistinto? Basterà ad evitarle che l’informativa avverta in modo generico che il trattamento si svolgerà secondo le modalità di cui all’art. 130, commi 1 e 2, del Codice? Sul punto l’Autorità nel provvedimento del 15 maggio scorso prescrive ai titolari del trattamento che: “dall’informativa e dalla richiesta di consenso risulti che il consenso prestato per l’invio di comunicazioni commerciali e promozionali (marketing diretto?) sulla base dell’art. 130, commi 1 e 2, del Codice, implica la ricezione di tali comunicazioni, non solo attraverso modalità automatizzate di contatto, ma anche attraverso modalità tradizionali”, e ancora che: “dall’informativa risulti, altresì, la possibilità per l’interessato, il quale non intenda prestare il consenso nei termini sopra indicati, di manifestare l’eventuale volontà di ricevere comunicazioni per le suddette finalità esclusivamente attraverso modalità tradizionali di contatto ove previste”.
Sarà il caso di associare ad una scelta semplice (più o meno condivisibile) consentita al titolare, nei termini sopra descritti, la garanzia di un’interpretazione coerente e definitiva che non rinneghi l’equilibrio tra precetto e sanzione a discapito dei consociati, titolari, interessati o contraenti che siano.
