Fra le molteplici attività di social marketing, l’impiego dei dati di contatto degli utenti di un canale/gruppo/pagina social può presentare alcuni problemi con la normativa in materia di protezione dei dati personali, ricordando che in tal caso occorre tenere conto non soltanto del GDPR ma anche dei principi derivanti dall’applicazione della Direttiva ePrivacy (e, in futuro, del Regolamento ePrivacy).
La Direttiva ePrivacy e l’art. 130 Cod. Privacy, per le comunicazioni commerciali svolte tramite sistemi automatizzati e comunicazioni elettroniche, richiedono il previo consenso del destinatario imponendo così ad un titolare del trattamento di creare dei database di contatti cc.dd. consensati per le finalità di marketing. È bene ricordare che in forza del principio di responsabilizzazione il titolare dovrà non soltanto acquisire correttamente la base giuridica ma essere anche in grado di dimostrare (ad es. mediante procedure e audit) tale adempimento per sistema mediante l’adozione di misure tecniche e organizzative dedicate.
Il consenso è «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 4.1 n. 11) GDPR). Non può quindi essere un’azione passiva (ad es. lo scrolling, la prosecuzione della navigazione, l’inerzia per n secondi) né tantomeno essere una condizione per usufruire di un determinato servizio, né la mancata prestazione del consenso deve portare degli svantaggi o conseguenze negative per l’interessato (spesso di natura contrattuale o limitando l’accesso a determinati servizi). È consentito per il titolare però condizionare il rilascio di vantaggi o bonus (si pensi ad esempio a coupon o utenze premium) alla prestazione di consenso per finalità di marketing.
Nel social media marketing dunque non ha alcun rilievo che taluni dati siano stati resi pubblici da parte dell’interessato (ad es. nel proprio profilo), né il titolare può essere dispensato dal rendere le informazioni circa l’attività di trattamento svolta (ai sensi dell’art. 13 GDPR se il dato è fornito direttamente dall’interessato, mentre ai sensi dell’art. 14 GDPR se il dato non è stato raccolto direttamente presso l’interessato) prima di acquisirne correttamente il consenso.
L’unica eccezione al consenso per le finalità di marketing consiste nell’attività di c.d. soft spam, ovverosia le comunicazioni commerciali nei confronti dei dati di contatto (e-mail) di quegli interessati che sono già clienti per servizi analoghi rispetto a quelli oggetto di comunicazione commerciale. È necessario però che sia tutelata comunque la libertà dell’interessato, e dunque sia consentito in modo facile, agevole e gratuito il diritto di opt-out potendosi opporre così al trattamento dei dati per finalità di marketing diretto. È bene però chiarire che già l’art. 29WP con l’opinion 1/2017[1] ha inteso interpretare in via restrittiva ed eccezionale tale evenienza, consentendo così una limitata applicazione della base giuridica del legittimo interesse alle finalità di direct marketing.
Ovviamente va escluso che
l’iscrizione ad un social network possa comportare un implicito consenso al
trattamento dei dati, in quanto l’adesione ad una rete social ha per finalità
principali la condivisione di informazioni e lo sviluppo dei contatti
professionali. Qualora però l’interessato aderisca ad una pagina, canale o
gruppo, bisogna chiedersi se sia lecito per il gestore inviare comunicazioni
commerciali pertinenti di contenuto analogo a quelli già presenti.
[1] L’Autorità di controllo del Regno Unito (ICO) suggerisce lo svolgimento a riguardo del c.d. “three-part test” (Purpose, Necessity, Balancing).
[2] Art. 6.1 lett. f) GDPR.
