Chi intende svolgere attività di email marketing è tenuto a rispettare la normativa in materia di protezione dei dati personali, che prescrive, in capo al titolare del trattamento, l’obbligo di acquisire previamente dal destinatario della comunicazione un consenso espresso, libero, informato e specifico (cfr. art. 130 D. Lgs. 196/2003 – Codice privacy).
Pertanto, quando si raccolgono i dati di un potenziale cliente tramite un form su un sito web o attraverso comunicazioni avviate mediante altri canali – social network, moduli cartacei, contatti telefonici – e si intende utilizzare l’indirizzo email conferito anche per lo svolgimento di attività di marketing tramite strumenti automatizzati, tra cui rientra la posta elettronica, occorre indicarlo espressamente nell’informativa privacy e richiedere il consenso al trattamento dei dati per la citata finalità.
La sola eccezione, in presenza della quale è possibile svolgere attività di email marketing anche senza consenso, è quella del c.d. soft spam (cfr. art. 130 comma 4 del Codice privacy) che trova però applicazione solo nel caso in cui si intenda utilizzare l’indirizzo email rilasciato dal cliente in fase di adesione a un servizio o di acquisto di un bene per promuovere servizi analoghi a quelli oggetto della vendita.
Al di fuori del soft spam, invece, il consenso è sempre necessario e – diversamente da come potrebbe pensarsi – anche nel caso in cui un indirizzo email sia liberamente accessibile, perché pubblicato su una pagina web o all’interno di un albo, non potrà essere utilizzato da una società per finalità di marketing senza aver acquisito il consenso della persona cui si riferisce.
Infatti, l’art. 24 lett. c) del Codice privacy, che consente di trattare, anche senza consenso, i dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, purché entro i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la loro conoscibilità e pubblicità, non trova applicazione nel caso di trattamenti effettuati per finalità di marketing tramite posta elettronica.
In sintesi allora, con la sola eccezione del soft spam, chi intende inviare comunicazioni promozionali a un indirizzo email acquisito, ad esempio, tramite un form contatti oppure in sede di adesione a un servizio o da una pagina web o registro pubblico, dovrà acquisire il consenso del destinatario.
Nel caso invece in cui l’indirizzo di posta elettronica non venisse acquisito direttamente dalla società interessata a svolgere la campagna di email marketing ma rientrasse in liste di contatti create da terzi, quali sarebbero i profili da considerare in ordine alla gestione degli obblighi privacy?
Spesso infatti, in sede di pianificazione di una campagna di marketing, si procede all’acquisizione di banche dati per ampliare il numero di destinatari cui poter inviare le comunicazioni promozionali.
In questo caso l’indirizzo email non viene acquisito direttamente dalla società interessata a svolgere l’attività di email marketing ma da un soggetto terzo che crea apposite liste di contatti.
Ebbene, in quest’ipotesi, spetta al soggetto che acquisisce l’indirizzo di posta elettronica e crea la mailing list acquisire il consenso alla comunicazione dei dati a società esterne per loro finalità di marketing, mentre, in capo a chi acquista la mailing list rimane solo l’obbligo di fornire l’informativa privacy al momento della registrazione dei dati o della prima eventuale comunicazione.
Ma cosa avviene nel caso in cui la società da cui si decida di acquisire la lista di contatti non si sia minimamente preoccupata dei profili privacy e abbia raccolto, ad esempio, le email da pagine web, nel falso convincimento che, in quanto dati pubblici, potessero essere liberamente utilizzati per finalità di marketing oppure, ancora, abbia acquisito gli indirizzi di posta elettronica attraverso apposito form online, senza però richiedere alcun consenso alla comunicazione dei dati a terzi per loro finalità di marketing?
In tale ipotesi sussisterebbero delle responsabilità in capo a chi svolge l’attività di email marketing inviando le comunicazioni a soggetti che in realtà non hanno mai autorizzato il trattamento dei loro dati per la ricezione di comunicazioni promozionali?
Come indicato dal Garante Privacy, «chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione … ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario» (cfr., ex multis, il provvedimento del Garante Privacy n. 136 del 5 aprile 2012)
Chi svolge l’attività di email marketing, pertanto, anche se decide di avvalersi di indirizzi acquisiti da terzi, è comunque tenuto a verificare se i destinatari abbiano conferito il loro consenso al trattamento e non può considerarsi esente da responsabilità nel caso in cui dovesse emergere che in realtà i soggetti cui si riferiscono gli indirizzi di posta elettronica riportati nella mailing list non abbiano mai autorizzato il trattamento per finalità di marketing.
Così, ad esempio, il Garante Privacy, con provvedimento n. 49 dell’11 febbraio 2016, ha ritenuto illecito l’invio di comunicazioni promozionali effettuato da una società utilizzando l’indirizzo email presente nelle liste acquistate da un terzo, in quanto non risultava, tra l’altro, che il destinatario avesse manifestato il proprio consenso per l’invio delle menzionate comunicazioni promozionali, come richiesto dall’art. 130, commi 1 e 2, del Codice privacy.
Alla luce di quanto indicato allora, quando si decide di acquisire una mailing list da utilizzare per fini marketing occorre prestare attenzione ai profili privacy, diffidando dalle società che offrono liste di indirizzi di posta elettronica assicurando la possibilità di utilizzarli per l’invio di comunicazioni promozionali in quanto dati pubblici e avendo cura di affrontare tale aspetto a livello contrattuale. In ordine a tale ultimo profilo potrà, ad esempio, essere inserita apposita clausola con cui chi cede la banca dati dichiari che le informazioni fornite si riferiscono a soggetti che abbiano conferito valido consenso alla trasmissione a terzi per fini marketing e concordare apposite verifiche in tal senso, magari con controlli a campione.
Roberta Rapicavoli
Avvocato