L’Autorità di controllo CNIL, Commission Nationale de l'Informatique et des Libertés, ha pubblicato le regole per la trasmissione di dati a terze parti per finalità promozionali. Le indicazioni della Commissione francese per la protezione dei dati fissano per lo più concetti già consolidati ma, al tempo stesso, per alcuni specifici profili, si discostano dall’interpretazione data dal nostro Garante all’attività promozionale. Quali considerazioni trarre?
I principi base: l’importanza del GDPR
Le nuove regole della CNIL si aprono con una importante considerazione: per garantire il rispetto del Regolamento europeo in materia di protezione dei dati personali, non è sufficiente che le organizzazioni seguano quanto disposto all’interno delle stesse. Ogni ente o impresa, infatti, deve essere in grado di garantire, e poter dimostrare, il rispetto di tutti gli obblighi previsti dal GDPR per i trattamenti di cui detiene la responsabilità.
A titolo esemplificativo, la CNIL cita: facilitare l'esercizio dei diritti, ridurre al minimo i dati, limitarne il periodo di conservazione, garantirne la sicurezza, fornire la prova di un consenso valido, etc. Ciò si traduce nella necessità di porre in essere i seguenti adempimenti, fondamento della compliance privacy di ogni organizzazione:
- Fornire agli interessati un canale dedicato all’esercizio dei diritti e facilitarne la gestione, anche attraverso una procedura dedicata che consenta, al titolare del trattamento dei dati, di fornire riscontro alle richieste degli interessati entro i termini previsti dal Regolamento europeo;
- Analizzare e configurare ogni trattamento nell’ottica di privacy by default, raccogliendo, per impostazione predefinita, soltanto i dati strettamente necessari al fine perseguito;
- Definire un periodo di conservazione per i dati trattati e garantirne il rispetto, anche attraverso una policy dedicata alla retention dei dati e istruzioni agli autorizzati in merito alla pulizia periodica delle banche dati;
- Implementare misure di sicurezza adeguate al trattamento svolto, in funzione dei criteri di cui all’art. 32 del Regolamento europeo;
- Ove lo specifico trattamento si basi sul consenso, verificare che lo stesso abbia le caratteristiche di cui agli artt. 4 e 7 del Regolamento europeo (libero, specifico, informato e inequivocabile) e che sia facile fornirne prova in caso di controlli.
Linee guida Garante 2013 vs Regole CNIL 2022: pubblicazioni a confronto
Questa premessa è fondamentale in quanto, anche il Garante per la protezione dei dati personali, nelle Linee guida in materia di attività promozionale e contrasto allo spam, in apertura, rinvia ai principi fondamentali del Codice che devono guidare ogni trattamento: correttezza, finalità, proporzionalità e necessità. L’Autorità nostrana richiama anche gli obblighi in materia di trasparenza, che impongono “un’informazione chiara e completa, dunque adeguata, relativamente al trattamento dei dati, nonché un eventuale consenso al medesimo che sia effettivamente consapevole”.
Fra le Linee guida pubblicate dal Garante nel 2013 e le recenti regole del CNIL, emergono tuttavia differenze importanti. Tali differenze, a discapito di quanto si possa pensare, visti i nove anni di distanza fra le due pubblicazioni, non discendono tanto dal mutamento dello scenario complessivo e delle prassi in materia di marketing, quanto piuttosto da una differente interpretazione del Regolamento europeo. Vediamo di cosa si tratta.
Le Linee guida del Garante del 2013
Le Linee guida in materia di attività promozionale e contrasto allo spam del 2013 chiarivano e ancora chiariscono “alcuni profili problematici relativi alle diverse modalità di spam, affinché gli operatori del settore possano conformarsi alla disciplina sul trattamento dei dati personali”. La ratio del documento era quella di riordinare e riassumere i principali adempimenti da seguire per svolgere attività di marketing, conformemente alla normativa in materia di protezione dei dati personali. Con l’entrata in vigore del GDPR, il provvedimento continua ad essere il principale riferimento guida sull’attività promozionale, ai sensi dell’art. 22 comma 4 del D.lgs. 101/2018 (che ha fatto salvi i provvedimenti del Garante compatibili con il Regolamento europeo).
In particolare, si ricorda che le Linee guida del Garante:
- Definiscono il concetto di SPAM, qualificabile come la trasmissione di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, effettuata in violazione delle norme del Codice, a prescindere dal mezzo (tradizionale o automatizzato) utilizzato;
- Determinano le regole per evitare che l’attività promozionale possa qualificarsi come SPAM, specificando quale contenuto deve necessariamente avere l’informativa e come raccogliere il consenso preventivo (opt-in);
- Chiariscono che il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l’invio di loro comunicazioni promozionali.
La cessione dei dati a terzi per marketing nelle Linee guida del Garante
In merito a quest’ultimo punto, il Garante specifica che il titolare del trattamento che intenda raccogliere i dati degli interessati per comunicarli (o cederli) a terzi per le loro finalità promozionali, deve previamente rilasciare ai medesimi un’idonea informativa, che individui anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: "finanza", editoria", "abbigliamento").
Inoltre, occorre che il titolare acquisisca un consenso, specifico e documentabile, per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale. Tale disposizione si applica anche quando i soggetti terzi siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati.
L’unica eccezione alla regola del consenso è costituita dal c.d. “soft spam”, di cui all´art. 130, comma 4 del Codice, il quale prevede che: “se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni”.
La cessione dei dati a terzi per marketing nelle regole della CNIL
Come anticipato, l’approccio della CNIL al tema dell’attività promozionale si differenzia dall’impostazione data dal Garante. Nelle regole pubblicate nel corso del 2022, infatti, la Commissione francese chiarisce che, tali regole, dipendono, prima di tutto, dai mezzi utilizzati dalle terze parti per effettuare l’attività promozionale.
- In caso di utilizzo di posta o telefono (mezzi tradizionali), infatti, la trasmissione a terzi dei dati può basarsi sul legittimo interesse dell’organizzazione che li trasmette, purché vengano fornite agli interessati adeguate informazioni preliminari e venga garantito il diritto di opposizione.
L'organizzazione che trasmette i dati, quindi, deve preventivamente informare gli interessati. Tali informazioni devono includere dettagli sull'obiettivo (finalità) della trasmissione e sulle categorie di destinatari dei dati (ad esempio, i settori interessati, il tipo di comunicazione commerciale, il numero approssimativo di terze parti coinvolte, ecc.). Nell’interesse della trasparenza, la CNIL raccomanda di mettere a disposizione degli interessati un elenco esaustivo e aggiornato delle terze parti, che includa la loro identità e un link alla privacy policy di ciascuna. Tale elenco dovrebbe essere accessibile già dal modulo di raccolta dati.
Inoltre, l’organizzazione che trasmette i dati deve consentire agli interessati di opporsi alla trasmissione, al momento della raccolta e successivamente, in modo semplice e gratuito. Secondo la CNIL, il diritto di opposizione può essere espresso, ad esempio, da una casella di spunta con il seguente messaggio: “Mi oppongo alla trasmissione del mio indirizzo postale e/o del mio numero di telefono ai soci [link all'elenco dei soci"> della società X ai fini della attività commerciale per posta e/o per telefono”.
- In caso di utilizzo di e-mail, SMS, dispositivi automatici di chiamata, ecc. (mezzi elettronici), la trasmissione può avvenire unicamente previo consenso dell’interessato. La CNIL evidenzia che, in questo caso, possono manifestarsi due scenari:
- L'organizzazione che trasmette i dati raccoglie il consenso anche per le operazioni promozionali della terza parte. Il consenso può essere raccolto mediante formule di questo tipo: “Acconsento alla trasmissione del mio indirizzo e-mail ai partner [link all'elenco dei partner"> della società X ai fini della attività commerciale via e-mail”. Questo scenario consentirà alla terza parte di rivolgersi direttamente alle persone che hanno acconsentito.
- L'organizzazione che trasmette i dati non raccoglie il consenso anche per le operazioni promozionali della terza parte. Questo scenario è più complesso e prevede che sia la terza parte, prima di effettuare una campagna, a contattare le persone per ottenere il loro consenso. La CNIL chiarisce che tale prima comunicazione può basarsi sul legittimo interesse dell'organizzazione, purché gli interessati possano ragionevolmente aspettarsi di ricevere tale comunicazione (essendo preventivamente stati informati dall’azienda che ha trasmesso i dati alla terza parte) e purché, tramite la stessa comunicazione, non vengano già promossi beni o servizi.
Interesse legittimo o consenso?
Le due Autorità di controllo adottano quindi un differente approccio nel fornire indicazioni, ai titolari del trattamento, in merito all’attività di marketing e, in particolare, nel regolamentare la trasmissione dei dati personali a terze parti.
La CNIL esplicita chiaramente che, qualora la terza parte utilizzi esclusivamente mezzi tradizionali di comunicazione per effettuare attività promozionale, quali la posta cartacea o il telefono, la trasmissione dei dati alla stessa può avvenire sulla base del legittimo interesse dell’organizzazione che trasmette tali dati.
Il Garante, invece, parla di consenso per le modalità di marketing tradizionali e automatizzate, limitandosi a prevedere una semplificazione: “Al fine di attuare l´esigenza di semplificazione degli adempimenti connessi al trattamento dei dati personali, questa Autorità ritiene che sia parimenti legittimo interpretare la regola della specificità del consenso rispetto alle modalità utilizzate per le finalità di marketing, prevedendo due appositi e distinti consensi rispettivamente per le modalità tradizionali e per quelle di cui all´art. 130, commi 1 e 2 del Codice, oppure, in alternativa, un unico consenso che comprenda i due tipi di modalità”. Sempre secondo il Garante, la cessione dei dati a terze parti, costituendo una finalità distinta ed ulteriore rispetto all’attività promozionale condotta direttamente dal titolare, necessita di un consenso specifico: “Il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l’invio di loro comunicazioni promozionali”. Ancora “occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale”. L’unica eccezione esplicitamente ammessa dal Garante alla regola del consenso, è data dal sopracitato “soft spam”, di cui all´art. 130, comma 4 del Codice.
Prospettive future
Dal 2017 siamo in attesa di una svolta nel settore dell’attività promozionale, ovvero da quando è stata sottoposta alla Commissione Europea la prima bozza della e-Regulation, aggiornamento dell’attuale Direttiva 2002/58/CE in materia di comunicazioni elettroniche. Nel tempo si sono susseguite molteplici versioni, ma nessuna è stata ufficialmente approvata. Fino ad allora o fino a quando il Garante non rinnoverà le Linee guida del 2013, i titolari del trattamento aventi sede in Italia, dovranno rispettare quanto disposto all’interno delle stesse.
Per restare costantemente informato e ricevere gli ultimi aggiornamenti in merito alla e-Regulation e alle novità in materia di marketing e attività promozionale, ti consigliamo di iscriverti alla newsletter dell’Associazione: https://www.assodpo.it/news/.
Se desideri confrontarti con altri professionisti del settore per comparare esperienze e raccogliere ulteriori pareri, ti invitiamo ad aderire all’Associazione: https://www.assodpo.it/adesione/
Fonti