Un marketer considera il marketing diretto (la comunicazione commerciale rivolta a un singolo individuo per indurlo a comprare) e la profilazione (l’analisi delle preferenze e dei comportamenti dell’individuo per meglio calibrare le comunicazioni) come due metodi diversi ma naturalmente convergenti, da integrare a seconda delle possibilità. Invece, la normativa a protezione dei dati personali li vede come finalità distinte.
Il marketing diretto è il push commerciale, realizzabile anche solo con i dati di contatto dell’interessato. La profilazione è l’elaborazione/raffronto di varie informazioni, che genera un valore aggiunto (il profilo, appunto). Ovviamente, un marketing diretto può essere profilato, ma quando ciò avviene la sua impostazione legale sarà corretta solo se riesce a garantire le condizioni di liceità previste per entrambe le finalità.
Negli ultimi anni, è stata la profilazione ad attrarre maggiormente gli studiosi. Il Privacy Symposium di Venezia del 2023 ha giustamente destinato un panel al marketing diretto, finalità che il GDPR considera meno rischiosa, e che invece gli interessati avvertono come più invasiva. Il confronto fra relatori è stato molto ricco. Qui, ripercorriamo il mio personale contributo al dibattito.
Come tutelare le persone da comunicazioni commerciali indesiderate
A distanza di 28 anni dalla direttiva 95/46/CE, il perno della discussione su come tutelare le persone da comunicazioni commerciali indesiderate è ancora se, in quali casi e a quali condizioni sdoganare, per di più con norme ad hoc, meccanismi di opt-out. Questi ultimi sono ancora considerati come un’eccezione da dosare col contagocce rispetto all’opt-in (consenso preventivo), ritenuto comunque più tutelante per l’interessato. Tutto ciò come se non ci fosse il GDPR; come se, nella scelta della base giuridica per un trattamento di dati personali a fini di marketing diretto, solo eccezionalmente potessimo dare la risposta che l’art. 5 del GDPR ci suggerisce di dare – sempre – alla domanda “posso farlo?”. E cioè: “dipende dal contesto e da come lo fai”.
Cosa è successo? Come è possibile che per il marketing diretto non sia ancora percorribile quell’approccio basato sui rischi, quella responsabilizzazione del Titolare (accountability) che il GDPR ci indica come la chiave di volta per un sistema flessibile ed equo? Perché, salvo rari casi ammessi dalla norma, un Titolare non può fare caso per caso un’analisi dei rischi che tenga conto dei contesti di raccolta dei dati personali, dei canali utilizzati per le comunicazioni e della pervasività delle stesse, ed assumersi caso per caso la responsabilità di scegliere fra la richiesta di un consenso preventivo o la messa a disposizione di un opt-out?
La protezione dei dati personali nelle comunicazioni elettroniche
La ragione è ben nota agli addetti ai lavori, ma merita di essere rivisitata e discussa. Sulla carta, il GDPR permette al Titolare di scegliere fra consenso e legittimo interesse, e al considerando 47 afferma che «può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto».
Tuttavia, il GDPR non copre la protezione dei dati personali nelle comunicazioni elettroniche. Per queste ultime, prevale la disciplina speciale dettata dalla direttiva 2002/58/CE, recepita in Italia nel Titolo X della Parte seconda del codice privacy, in particolare agli articoli 129 e 130. Questa prevede che per le comunicazioni elettroniche di natura commerciale sia sempre necessario il consenso, salvo due eccezioni:
- le telefonate commerciali su numeri estratti dagli elenchi telefonici a disposizione del pubblico (per le quali gli Stati membri possono introdurre un regime di opt-out preventivo)
- l’invio di comunicazioni commerciali via e-mail, se fatto verso clienti, a seguito di una vendita diretta, se avente ad oggetto prodotti o servizi analoghi a quelli acquistati nell’interessato, e se si dà all’interessato l’opzione “cancellami” (soft spam).
Perciò, l’approccio basato sui rischi e l’accountability possono essere applicati solo per comunicazioni commerciali che avvengono mediante canali non elettronici, cioè il marketing postale, utilizzato ormai in ambiti molto ristretti, come il non profit o le vendite per corrispondenza. Per le comunicazioni commerciali nel contesto digitale, con buona pace dell’intento del GDPR di favorire lo sviluppo dell’economia digitale, valgono tuttora le norme del 2002, peraltro applicate in modo un po’ diverso nei vari Stati!
Inutile sperare nella normativa che avrebbe dovuto sostituire la direttiva 2002/58/CE, e cioè il Regolamento e-privacy. È stato presentato in bozza nel 2017, ma è sparito dai radar e considerato ormai come abortito. D’altra parte, la bozza, nelle versioni note, sembrava ferma all’idea di vincolare ex lege al consenso preventivo.
Naturalmente, le legislazioni nazionali non sono state ferme. Soprattutto per il tele-marketing e il tele-selling, ci sono stati interventi aggiuntivi volti a porre un argine al debordare di chiamate indesiderate. In Italia abbiamo avuto la legge 5/2018, seguita dalla riforma del Registro Pubblico delle Opposizioni (D.P.R. 26/2022). Disciplina estremamente complessa, connotata dal consueto ginepraio regole/eccezioni. Dietro impulso del Governo Draghi, con grande sforzo del Gestore del Registro (Fondazione Bordoni), del Garante e delle tante imprese intenzionate a conformarsi, il Registro è stato creato, pubblicizzato, popolato. Eppure, il tasso di evasione, di mancato rispetto delle norme, è altissimo: forse ancora più alto che in passato. Adesso riponiamo attese nel Codice di condotta per le attività di telemarketing e tele-selling, promosso da associazioni di committenti, call center, tele-seller, list provider e consumatori, e approvato dal Garante a marzo. Occorre che si concluda la fase di accreditamento dell’Organismo di monitoraggio (Odm) e che il Codice sia pubblicato in Gazzetta Ufficiale. Dopo di che, le imprese aderenti inizieranno ad applicarlo, e a sottoporsi al monitoraggio. Quali imprese aderiranno? Presumibilmente, non quelle che violano deliberatamente la legge, ma quelle che nell’ultimo anno si sono attrezzate a consultare il Registro delle Opposizioni, incluse quelle che, ai sensi della legge 5/2018, possono fare prevalere i consensi loro conferiti da interessati con cui hanno rapporti contrattuali di durata (somministrazione, ecc.), indipendentemente dall’iscrizione di questi ultimi al Registro.
È il consenso la salvezza?
Se davvero il consenso fosse stato la diga che il legislatore europeo del 2002 aveva immaginato, non saremmo tutti subissati di spam, soprattutto di tele-selling molesto. Talvolta, un nostro consenso c’è stato, ma non ci siamo accorti di averlo dato, oppure siamo stati sottilmente costretti a darlo: non abbiamo avuto vera libertà.
L’interrogativo è: siamo sicuri che l’obbligo di richiesta del consenso per le comunicazioni commerciali attraverso canali elettronici dia agli interessati maggiori garanzie di non essere bersagliati da comunicazioni indesiderate e/o di interromperle? È il consenso la salvezza? Non è forse meglio permettere al Titolare – per tutti i canali di comunicazione, compresi quelli elettronici – di valutare volta per volta, assumendosene responsabilità e rischi, quale base giuridica fra il consenso e il legittimo interesse con opt-out è più idonea?
All’art. 5.1, a) il GDPR esige che i dati personali siano trattati in modo corretto e trasparente nei confronti dell’interessato. Correttezza e trasparenza sono il contrario della slealtà, dei metodi che –nel contesto digitale – permettono a un Titolare smaliziato di usare le interfacce ingannevoli o dark patterns. Un Titolare incline alla scorrettezza può esserlo sia se si avvale dell’opt-out (opzione «cancellami» minuscola) sia se segue un sistema di opt-in (un consenso preselezionato o posizionato in modo che l’interessato sia indotto a darlo).
Rispettare la limitazione della finalità prevista dall’art. 5.1, b) del GDPR dovrebbe significare, fra l’altro, scegliere volta per volta un mezzo di trattamento appropriato al fine. Un Titolare dovrebbe selezionare il canale di comunicazione commerciale (telefono, mail, ecc.) tenendo conto della ragionevole aspettativa dell’interessato a essere contattato lì, e a seconda delle circostanze dovrebbe valutare se per l’interessato è più comodo o intuitivo essere invitato a dare un consenso oppure essere posto nelle condizioni di opporsi.
Non dovrebbe essere la legge a scegliere fra opt-in e opt-out
Non dovrebbe essere la legge a scegliere fra opt-in e opt-out. Dovrebbe essere il Titolare a scegliere volta per volta quella fra le due soluzioni che permette all’interessato una migliore auto-determinazione informativa. Come? Semplicemente considerando la user experience (landing page dedicata? form in un percorso di registrazione?), la relazione che sussiste fra interessato e il Titolare (cliente, prospect, lead?) e le modalità con cui le comunicazioni saranno realizzate (chiamate su fisso? su mobile? SMS? Whatsapp?).
Gli spunti dalle altre legislazioni
Alcune esperienze legislative ci offrono spunti, specie perché vengono da Paesi di cultura anglosassone che siamo soliti considerare meno attenti e rigorosi di noi nella protezione dei dati personali.
La normativa britannica sulle nuisance calls
Una è la normativa britannica sulle nuisance calls, le comunicazioni indesiderate a mezzo telefono. Talora, il Regno Unito passa per la patria della deregulation, ma non è così. Anche nel Regno Unito esiste una sorta di Registro Pubblico delle Opposizioni: il Telephone Preference Service, ma non solo. Dal 2018, per l’amministratore di una società che viene sanzionata dall’ICO per tele-selling abusivo (effettuato nei confronti di interessati iscritti al Telephone Preference Service) è prevista la disqualification. Un manager può essere squalificato (interdetto) fino a 15 anni. Per la durata della squalifica non può essere amministratore di una società registrata nel Regno Unito né essere coinvolto nella costituzione di nuove società: è bannato.
Il California Privacy Rights Act
L’altra è il California Privacy Rights Act del 2020 (CPRA), operativo dal 1° gennaio 2023. Fra gli Stati Uniti d’America, la California è fra quelli che hanno ritenuto il GDPR un modello cui ispirarsi, adattandolo però in molti elementi alla mentalità e al sistema statunitense. Rispetto al marketing diretto, il CPRA sceglie l’opt-out. È interessante che il rispetto del sistema di l’opt-out sia: a) corredato dall’obbligo di gestirlo in un modo che permetta all’interessato di accorgersene e di farlo valere; b) presidiato da sanzioni (come da noi). Particolarmente interessante è la corsia preferenziale creata per agevolare il consumatore ad opporsi alla condivisione o vendita di suoi dati personali. L’impresa deve rendere visivamente chiaro ai consumatori che possono opporsi, ad esempio, inserendo sulla home page un link a uno spazio dedicato recante la dicitura “Do Not Sell or Share My Personal Information“. Il CPRA offre al business varie soluzioni tecniche per l’opt-out, a patto però che il meccanismo non sminuisca l’esperienza del consumatore sulla pagina, anzi gli offra la medesima percezione visiva, di apparenza e dimensioni che hanno altri eventuali link sulla stessa pagina. Interessante esempio d’oltreoceano di una declinazione normativa della privacy by design.
