È ancora attuale/sostenibile, per le imprese, una disciplina che imponga di dover raccogliere un consenso per inviare una e-mail di marketing – anche su indirizzi di persone giuridiche – quando un semplice unsubscribe si rivelerebbe estremamente efficace per scongiurare ulteriori contatti?
La disposizione ‘incriminata’, di derivazione comunitaria, è come noto l’art. 130 del Codice Privacy. Ad oggi, per fare una campagna di Direct E-mail Marketing (DEM) anche su account tipicamente non riferibili a persone fisiche, quali ad esempio gli “info@…”, occorre sincerarsi di aver previamente acquisito il consenso di un legale rappresentante della persona giuridica/associazione/ente cui si vuole indirizzare la comunicazione.
Direct marketing e soft spam: le novità del nuovo regolamento ePrivacy
Su questo la Direttiva 2002/58/CE è granitica. Già al considerando 17, si può leggere che: “Ai fini della presente direttiva il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/ CE”.
Questo viene ribadito all’art. 2, ove si sancisce che: “Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva 95/46/CE. Esse prevedono inoltre la tutela dei legittimi interessi degli abbonati che sono persone giuridiche”.
Con specifico riferimento agli indirizzi e-mail attribuiti a persone giuridiche, ironia della sorte, non è neppure possibile invocare il soft spam, posto che la formulazione dell’art. 130 comma 4 lo riserva agli ‘interessati’, ergo alle sole persone fisiche.
I tempi cambiano: un’email non è più fastidiosa di una telefonata
La disciplina delle comunicazioni indesiderate mediante sistemi automatizzati, in particolare ove riferita ad account e-mail riferibili a persone giuridiche, è strettamente imperniata sul meccanismo dell’opt-in e scaturisce da una concezione “anni Novanta”, in base alla quale ricevere una comunicazione di marketing a mezzo e-mail/sms fosse molto più afflittivo che riceverla mediante telefono o posta cartacea.
Tale concezione è in effetti stata ripresa anche dalla nostra Autorità Garante nel primo e nel secondo decennio degli anni duemila, in particolare nel provvedimento generale del 2012 in ordine all’applicabilità del Codice Privacy alle persone giuridiche.
In chiusura del provvedimento, infatti, il Garante affermava: “il telemarketing effettuato per il tramite di un operatore riveste indubbiamente carattere di minor afflittività per l’interessato rispetto ai contatti che si avvalgono di modalità automatizzate quali chiamate preregistrate, fax, sms, mms, messaggi di posta elettronica etc.”
Sicuramente, un’email era più indisponente di una chiamata quando le nostre connessioni viaggiavano su modem a 56k (ecco il suo suono, per chi volesse vivere un momento di nostalgia).
Ci trovavamo a dover attendere minuti interi per scaricare la posta elettronica, per poi scoprire che la maggior parte della stessa era composta di spam. Non credo ci sia bisogno di rilevare che oggi la situazione è cambiata.
Un’e-mail di marketing ci infastidisce per lo più se non abbiamo una way-out comoda e veloce per opporci ad ulteriori invii. Ci infastidisce sicuramente meno della telefonata di un contact center, che ci raggiunge mentre stiamo cenando o mentre stiamo lavorando.
Quanto costa a un’azienda, una campagna di e-mail-marketing conforme alla normativa
Le campagne DEM, si basano su tre tipologie di remunerazione. La prima prevede un costo calcolato in base al numero di e-mail che vengono effettivamente aperte dai destinatari. In gergo tale formula si chiama Cost Per Click (CPC). È il canale meno costoso, poiché l’invio è massivo e affatto profilato e la redemption bassissima. Ciò nonostante, il costo è di circa 0,2 cent di euro a “click”.
Il secondo canale di invio viene valorizzato in base al numero di Lead ottenuti tramite la campagna, quindi in base alla redemption. Questo tipo di campagna viene definita anche a performance e per essa si utilizzano liste profilate che, pertanto, dovrebbero per legge essere munite di almeno due consensi (profilazione a fini di marketing e ricezione di comunicazioni di marketing) se non addirittura tre (consenso al trasferimento a terzi a fini di marketing/invio marketing di terzi).
Infine, ove si voglia andare a ’colpire’ un panel particolarmente ‘verticale’, quindi un settore estremamente specifico, si può attivare una campagna su contatti iper-profilati, con tasso di apertura dell’e-mail (c.d. open rate) garantito e tasso di interazione con link o format (lead) pre-stimato in base al livello di profilazione della lista.
Si parla di un costo che va da 10 euro ad oltre 100 per ciascun lead generato, soprattutto se il contatto è debitamente ‘consensato’ (cosa, quest’ultima, non scontata, posto che moltissimi dei Titolari e dei List Providers continuano ed essere fermamente convinti che per il B2B non occorre raccogliere consensi al marketing diretto, vedi infra nel prosieguo).
I canali utilizzati dai Titolari per attivare campagne DEM
Sicuramente il canale più battuto è attualmente quello dei data base dei sistemi di informazione creditizia (S.I.C.) che, per tutt’altre finalità, mettono a disposizione dei propri clienti i dati delle aziende suddivisi per settore merceologico, area geografica o altro.
L’utilizzo di queste informazioni a fini di marketing, ad opinione di chi scrive, non è affatto conforme alla disciplina in materia, con i rischi di sanzione di seguito meglio evidenziati.
Lo stesso si può dire, con in più il conforto di vari provvedimenti sanzionatori da parte dell’Autorità Garante, rispetto al cosiddetto ‘scraping’ su siti web, albi professionali, data base di pec e tutti gli altri DB in qualche modo pubblicamente consultabili.
Infine, ma non meno importante, vi è il canale dell’acquisto delle liste presso lists providers e/o list brokers, che più o meno consapevolmente dichiarano di cedere liste pienamente conformi al GDPR dimenticando o non sapendo che:
- La materia non è disciplinata dal GDPR, ma dalle norme nazionali attuative della Direttiva ePrivacy;
- I dati di contatto (in questo caso e-mail) delle persone giuridiche richiedono, a fini di marketing, il consenso sia per il trasferimento a terzi che per la ricezione di comunicazione di marketing, esattamente come i dati di contatto delle persone fisiche.
I rischi di chi non tiene in debito conto il consenso
Ma cosa rischia un Titolare che, a fronte dei maggiori costi di una campagna conforme alla normativa, sceglie invece di raccogliere il dato di contatto ‘e-mail’ dei propri clienti prospect senza curarsi del consenso?
Se si tratta di indirizzi e-mail di persone fisiche, ovviamente il Titolare rischia tutto il catalogo di sanzioni amministrative previste dal GDPR.
Limitatamente agli indirizzi riferibili esclusivamente a persone giuridiche (gli “info@” e poco altro, per capirci) non sussiste la possibilità di accedere al rimedio del Reclamo al Garante ex art. 140 bis del Codice Privacy ma restano comunque esperibili i rimedi civilistici.
Questione di non poco conto, inoltre, è la presenza dell’art. 130 del Codice Privacy nel novero di quelli la cui violazione, ai sensi dell’art. 167 (trattamento illecito di dati personali), configura una fattispecie di reato punibile, salvo che il fatto non costituisca più grave.
La situazione, quindi, è seria e si potrebbe intervenire con successo, al fine di semplificare la vita ai Titolari del trattamento senza andare a gravare troppo interessati, consumatori e persone giuridiche, operando almeno rispetto alla possibilità di effettuare campagne DEM nei confronti di queste ultime.
La stessa Autorità Garante, nel suo provvedimento del 2012 sopra richiamato, sollecitava Parlamento e Governo concludendo il suo atto con queste parole: “Si ritiene, in definitiva, che le problematiche evidenziate rendano opportuna un’ulteriore valutazione da parte del Parlamento e del Governo tesa alla verifica dei presupposti per l’adozione degli eventuali provvedimenti di competenza».
Provvedimenti all’orizzonte e margini di manovra
Quali sono, quindi, i provvedimenti di competenza di Parlamento e Governo a fronte di una disciplina di derivazione comunitaria? Quali sono i margini di manovra? Cosa possiamo attenderci dal Regolamento ePrivacy?
Una riforma dell’art. 130 del Codice Privacy è pertanto auspicata ed auspicabile non solo dai players di mercato. Attualmente sono stati già presentati alcuni disegni di legge che, a modesta opinione dello scrivente, sono del tutto fuori strada sia rispetto alle possibilità di modifica che con riferimento ai veri obiettivi da perseguire.
Con specifico riferimento al marketing effettuato a mezzo e-mail la Direttiva ePrivacy prevede che:
“1. L’uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso.
2. Fatto salvo il paragrafo 1, allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio ai sensi della direttiva 95/46/CE, la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche qualora il cliente non abbia rifiutato inizialmente tale uso”.
La definizione di “abbonato”, poi sostituita da “contraente”, è senza dubbio riferibile sia alle persone fisiche che a quelle giuridiche, stabilendo come unico regime quello dell’opt-in. Consenso senza via di uscita. Su questo punto, quindi, nessuna apertura.
Rispetto invece al “soft spam”, declinato nel secondo paragrafo, laddove la traduzione italiana della Direttiva 2002/58/CE si riferisce a “clienti”, il legislatore italiano ha scelto di indicare la categoria degli ‘interessati’, limitando quindi l’applicabilità della norma solo e soltanto alle persone fisiche.
Ci si chiede quindi se tale aspetto possa forse costituire un primo margine di manovra, al netto di successive interpretazioni che hanno motivato la scelta del legislatore italiano.
Per amor di precisione si sottolinea come nelle definizioni di cui alle premesse della Direttiva non compaia né quella di ‘cliente’ né quella di ‘abbonato’ e che, rispetto a quest’ultima, si deve far riferimento al già citato considerando n. 12 (persone fisiche e persone giuridiche…).
Quando il direct marketing è illecito: la sanzione del Garante Privacy
Cosa potrebbe fare il Garante privacy
Il Garante potrebbe forse disciplinare con un provvedimento la questione, aprendo all’invio di comunicazioni a fini di marketing a mezzo e-mail, quantomeno ad indirizzi di persone giuridiche, sulla scorta di una base di legittimazione rinvenibile nel GDPR (legittimo Interesse) e non nella Direttiva ePrivacy?
Ad esempio, per il tramite di un provvedimento reso un caso specifico o magari nell’alveo dell’art. 57, par. 1, lett. b) e d) del GDPR e dell’art. 154, comma 1, lett. f) e g) del Codice Privacy, che attribuiscono al Garante il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonché agli obblighi imposti ai titolari ed ai responsabili del trattamento.
Sebbene si tratti di un’ipotesi estremamente delicata, si rileva come l’Autorità di Controllo belga abbia già fatto qualcosa di simile, con riferimento ad un caso specifico, con il provvedimento n. 32 del 10 marzo 2022 aprendo alla – opinabile – possibilità di effettuare e-mail marketing sulla base del legittimo interesse.
Francamente fui scettico allora e resto scettico oggi, visto anche l’approccio quantomeno ondivago della medesima Autorità rispetto all’argomento.
Lascio pertanto la questione aperta. Per poter rispondere, infatti, occorrerebbe quantomeno un intero articolo.
Ed il Regolamento ePrivacy, attualmente in discussione, offre spunti interessanti (oltre alla virtuale possibilità di intervenire nuovamente sul suo testo)?
Ecco come si esprime sul punto specifico la bozza 6187/21 del 10 febbraio 2021: se nei considerando si nota un ‘barrato’ sull’inciso ‘and legal person’, la speranza crolla alla lettura dell’art. 4b, che espressamente prevede: “The provisions for consent provided for under Regulation (EU) 2016/679/EU shall apply to natural persons and, mutatis mutandis, to legal persons”.
Conclusioni
Tuttavia, la speranza si riaccende prepotentemente quando si arriva all’art. 16, dedicato alle comunicazioni indesiderate a fini di marketing (Unsolicited and direct marketing communications): “Natural or legal persons shall be prohibited from using electronic communications services for the purposes of sending direct marketing communications to end-users who are natural persons unless they have given their prior consent”.
Citando una vecchia ma nota pubblicità: non basta, ma aiuta.
