pubblicità e privacy

Un’email di pubblicità scoccia meno di una chiamata: è ora di cambiare le norme sull’opt-in

Oggi per fare una campagna di Direct E-mail Marketing (DEM) occorre sincerarsi di aver previamente acquisito il consenso di un legale rappresentante, anche su indirizzi di persone giuridiche. Un meccanismo che scaturisce da una concezione “anni Novanta”, ai tempi dei modem 56k. Ma questo modello è ancora sostenibile?

Pubblicato il 09 Nov 2022

Sergio Aracu

Founding Partner di Area Legale S.r.l.

omnichannel-marketing

È ancora attuale/sostenibile, per le imprese, una disciplina che imponga di dover raccogliere un consenso per inviare una e-mail di marketing – anche su indirizzi di persone giuridiche – quando un semplice unsubscribe si rivelerebbe estremamente efficace per scongiurare ulteriori contatti?

La disposizione ‘incriminata’, di derivazione comunitaria, è come noto l’art. 130 del Codice Privacy. Ad oggi, per fare una campagna di Direct E-mail Marketing (DEM) anche su account tipicamente non riferibili a persone fisiche, quali ad esempio gli “info@…”, occorre sincerarsi di aver previamente acquisito il consenso di un legale rappresentante della persona giuridica/associazione/ente cui si vuole indirizzare la comunicazione.

Direct marketing e soft spam: le novità del nuovo regolamento ePrivacy

Su questo la Direttiva 2002/58/CE è granitica. Già al considerando 17, si può leggere che: “Ai fini della presente direttiva il consenso dell’utente o dell’abbonato, senza considerare se quest’ultimo sia una persona fisica o giuridica, dovrebbe avere lo stesso significato del consenso della persona interessata come definito ed ulteriormente determinato nella direttiva 95/46/ CE”.

Questo viene ribadito all’art. 2, ove si sancisce che: “Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva 95/46/CE. Esse prevedono inoltre la tutela dei legittimi interessi degli abbonati che sono persone giuridiche”.

Con specifico riferimento agli indirizzi e-mail attribuiti a persone giuridiche, ironia della sorte, non è neppure possibile invocare il soft spam, posto che la formulazione dell’art. 130 comma 4 lo riserva agli ‘interessati’, ergo alle sole persone fisiche.

I tempi cambiano: un’email non è più fastidiosa di una telefonata

La disciplina delle comunicazioni indesiderate mediante sistemi automatizzati, in particolare ove riferita ad account e-mail riferibili a persone giuridiche, è strettamente imperniata sul meccanismo dell’opt-in e scaturisce da una concezione “anni Novanta”, in base alla quale ricevere una comunicazione di marketing a mezzo e-mail/sms fosse molto più afflittivo che riceverla mediante telefono o posta cartacea.

Tale concezione è in effetti stata ripresa anche dalla nostra Autorità Garante nel primo e nel secondo decennio degli anni duemila, in particolare nel provvedimento generale del 2012 in ordine all’applicabilità del Codice Privacy alle persone giuridiche.

In chiusura del provvedimento, infatti, il Garante affermava: “il telemarketing effettuato per il tramite di un operatore riveste indubbiamente carattere di minor afflittività per l’interessato rispetto ai contatti che si avvalgono di modalità automatizzate quali chiamate preregistrate, fax, sms, mms, messaggi di posta elettronica etc.”

Sicuramente, un’email era più indisponente di una chiamata quando le nostre connessioni viaggiavano su modem a 56k (ecco il suo suono, per chi volesse vivere un momento di nostalgia).

56k modem internet connection sound

56k modem internet connection sound

Guarda questo video su YouTube

Ci trovavamo a dover attendere minuti interi per scaricare la posta elettronica, per poi scoprire che la maggior parte della stessa era composta di spam. Non credo ci sia bisogno di rilevare che oggi la situazione è cambiata.

Un’e-mail di marketing ci infastidisce per lo più se non abbiamo una way-out comoda e veloce per opporci ad ulteriori invii. Ci infastidisce sicuramente meno della telefonata di un contact center, che ci raggiunge mentre stiamo cenando o mentre stiamo lavorando.

Quanto costa a un’azienda, una campagna di e-mail-marketing conforme alla normativa

Le campagne DEM, si basano su tre tipologie di remunerazione. La prima prevede un costo calcolato in base al numero di e-mail che vengono effettivamente aperte dai destinatari. In gergo tale formula si chiama Cost Per Click (CPC). È il canale meno costoso, poiché l’invio è massivo e affatto profilato e la redemption bassissima. Ciò nonostante, il costo è di circa 0,2 cent di euro a “click”.

Il secondo canale di invio viene valorizzato in base al numero di Lead ottenuti tramite la campagna, quindi in base alla redemption. Questo tipo di campagna viene definita anche a performance e per essa si utilizzano liste profilate che, pertanto, dovrebbero per legge essere munite di almeno due consensi (profilazione a fini di marketing e ricezione di comunicazioni di marketing) se non addirittura tre (consenso al trasferimento a terzi a fini di marketing/invio marketing di terzi).

Infine, ove si voglia andare a ’colpire’ un panel particolarmente ‘verticale’, quindi un settore estremamente specifico, si può attivare una campagna su contatti iper-profilati, con tasso di apertura dell’e-mail (c.d. open rate) garantito e tasso di interazione con link o format (lead) pre-stimato in base al livello di profilazione della lista.

Si parla di un costo che va da 10 euro ad oltre 100 per ciascun lead generato, soprattutto se il contatto è debitamente ‘consensato’ (cosa, quest’ultima, non scontata, posto che moltissimi dei Titolari e dei List Providers continuano ed essere fermamente convinti che per il B2B non occorre raccogliere consensi al marketing diretto, vedi infra nel prosieguo).

I canali utilizzati dai Titolari per attivare campagne DEM

Sicuramente il canale più battuto è attualmente quello dei data base dei sistemi di informazione creditizia (S.I.C.) che, per tutt’altre finalità, mettono a disposizione dei propri clienti i dati delle aziende suddivisi per settore merceologico, area geografica o altro.

L’utilizzo di queste informazioni a fini di marketing, ad opinione di chi scrive, non è affatto conforme alla disciplina in materia, con i rischi di sanzione di seguito meglio evidenziati.

Lo stesso si può dire, con in più il conforto di vari provvedimenti sanzionatori da parte dell’Autorità Garante, rispetto al cosiddetto ‘scraping’ su siti web, albi professionali, data base di pec e tutti gli altri DB in qualche modo pubblicamente consultabili.

Infine, ma non meno importante, vi è il canale dell’acquisto delle liste presso lists providers e/o list brokers, che più o meno consapevolmente dichiarano di cedere liste pienamente conformi al GDPR dimenticando o non sapendo che:

  • La materia non è disciplinata dal GDPR, ma dalle norme nazionali attuative della Direttiva ePrivacy;
  • I dati di contatto (in questo caso e-mail) delle persone giuridiche richiedono, a fini di marketing, il consenso sia per il trasferimento a terzi che per la ricezione di comunicazione di marketing, esattamente come i dati di contatto delle persone fisiche.

I rischi di chi non tiene in debito conto il consenso

Ma cosa rischia un Titolare che, a fronte dei maggiori costi di una campagna conforme alla normativa, sceglie invece di raccogliere il dato di contatto ‘e-mail’ dei propri clienti prospect senza curarsi del consenso?

Se si tratta di indirizzi e-mail di persone fisiche, ovviamente il Titolare rischia tutto il catalogo di sanzioni amministrative previste dal GDPR.

Limitatamente agli indirizzi riferibili esclusivamente a persone giuridiche (gli “info@” e poco altro, per capirci) non sussiste la possibilità di accedere al rimedio del Reclamo al Garante ex art. 140 bis del Codice Privacy ma restano comunque esperibili i rimedi civilistici.

Questione di non poco conto, inoltre, è la presenza dell’art. 130 del Codice Privacy nel novero di quelli la cui violazione, ai sensi dell’art. 167 (trattamento illecito di dati personali), configura una fattispecie di reato punibile, salvo che il fatto non costituisca più grave.

La situazione, quindi, è seria e si potrebbe intervenire con successo, al fine di semplificare la vita ai Titolari del trattamento senza andare a gravare troppo interessati, consumatori e persone giuridiche, operando almeno rispetto alla possibilità di effettuare campagne DEM nei confronti di queste ultime.

La stessa Autorità Garante, nel suo provvedimento del 2012 sopra richiamato, sollecitava Parlamento e Governo concludendo il suo atto con queste parole: “Si ritiene, in definitiva, che le problematiche evidenziate rendano opportuna un’ulteriore valutazione da parte del Parlamento e del Governo tesa alla verifica dei presupposti per l’adozione degli eventuali provvedimenti di competenza».

Provvedimenti all’orizzonte e margini di manovra

Quali sono, quindi, i provvedimenti di competenza di Parlamento e Governo a fronte di una disciplina di derivazione comunitaria? Quali sono i margini di manovra? Cosa possiamo attenderci dal Regolamento ePrivacy?

Una riforma dell’art. 130 del Codice Privacy è pertanto auspicata ed auspicabile non solo dai players di mercato. Attualmente sono stati già presentati alcuni disegni di legge che, a modesta opinione dello scrivente, sono del tutto fuori strada sia rispetto alle possibilità di modifica che con riferimento ai veri obiettivi da perseguire.

Con specifico riferimento al marketing effettuato a mezzo e-mail la Direttiva ePrivacy prevede che:

“1. L’uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso.

2. Fatto salvo il paragrafo 1, allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate elettroniche per la posta elettronica nel contesto della vendita di un prodotto o servizio ai sensi della direttiva 95/46/CE, la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche qualora il cliente non abbia rifiutato inizialmente tale uso”.

La definizione di “abbonato”, poi sostituita da “contraente”, è senza dubbio riferibile sia alle persone fisiche che a quelle giuridiche, stabilendo come unico regime quello dell’opt-in. Consenso senza via di uscita. Su questo punto, quindi, nessuna apertura.

Rispetto invece al “soft spam”, declinato nel secondo paragrafo, laddove la traduzione italiana della Direttiva 2002/58/CE si riferisce a “clienti”, il legislatore italiano ha scelto di indicare la categoria degli ‘interessati’, limitando quindi l’applicabilità della norma solo e soltanto alle persone fisiche.

Ci si chiede quindi se tale aspetto possa forse costituire un primo margine di manovra, al netto di successive interpretazioni che hanno motivato la scelta del legislatore italiano.

Per amor di precisione si sottolinea come nelle definizioni di cui alle premesse della Direttiva non compaia né quella di ‘cliente’ né quella di ‘abbonato’ e che, rispetto a quest’ultima, si deve far riferimento al già citato considerando n. 12 (persone fisiche e persone giuridiche…).

Quando il direct marketing è illecito: la sanzione del Garante Privacy

Cosa potrebbe fare il Garante privacy

Il Garante potrebbe forse disciplinare con un provvedimento la questione, aprendo all’invio di comunicazioni a fini di marketing a mezzo e-mail, quantomeno ad indirizzi di persone giuridiche, sulla scorta di una base di legittimazione rinvenibile nel GDPR (legittimo Interesse) e non nella Direttiva ePrivacy?

Ad esempio, per il tramite di un provvedimento reso un caso specifico o magari nell’alveo dell’art. 57, par. 1, lett. b) e d) del GDPR e dell’art. 154, comma 1, lett. f) e g) del Codice Privacy, che attribuiscono al Garante il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonché agli obblighi imposti ai titolari ed ai responsabili del trattamento.

Sebbene si tratti di un’ipotesi estremamente delicata, si rileva come l’Autorità di Controllo belga abbia già fatto qualcosa di simile, con riferimento ad un caso specifico, con il provvedimento n. 32 del 10 marzo 2022 aprendo alla – opinabile – possibilità di effettuare e-mail marketing sulla base del legittimo interesse.

Francamente fui scettico allora e resto scettico oggi, visto anche l’approccio quantomeno ondivago della medesima Autorità rispetto all’argomento.

Lascio pertanto la questione aperta. Per poter rispondere, infatti, occorrerebbe quantomeno un intero articolo.

Ed il Regolamento ePrivacy, attualmente in discussione, offre spunti interessanti (oltre alla virtuale possibilità di intervenire nuovamente sul suo testo)?

Regolamento ePrivacy, obiettivo 2025: i temi sul tavolo

Ecco come si esprime sul punto specifico la bozza 6187/21 del 10 febbraio 2021: se nei considerando si nota un ‘barrato’ sull’inciso ‘and legal person’, la speranza crolla alla lettura dell’art. 4b, che espressamente prevede: “The provisions for consent provided for under Regulation (EU) 2016/679/EU shall apply to natural persons and, mutatis mutandis, to legal persons”.

Conclusioni

Tuttavia, la speranza si riaccende prepotentemente quando si arriva all’art. 16, dedicato alle comunicazioni indesiderate a fini di marketing (Unsolicited and direct marketing communications): “Natural or legal persons shall be prohibited from using electronic communications services for the purposes of sending direct marketing communications to end-users who are natural persons unless they have given their prior consent”.

Citando una vecchia ma nota pubblicità: non basta, ma aiuta.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4