I trattamenti di dati personali a fini di marketing sono, forse, quelli in relazione ai quali più facilmente sorgono dubbi e perplessità. Sì perché il marketing deve fare i conti con le nuove norme (Gdpr) in fatto di trattamento dati anche nel caso di destinatari i cui indirizzi siano stati prelevati da elenchi o registri accessibili a tutti. Vale il principio per cui i dati personali meritano e godono comunque di tutta la protezione offerta e garantita dalla normativa rilevante.
Ecco un’analisi dei vari casi e i vincoli cui sottostare.
I quesiti più caldi per marketing e trattamento dati
Per quanto tempo posso conservare e trattare i dati? Quante comunicazioni commerciali posso inviare, e con quale cadenza? Mi serve necessariamente il consenso? Come devo formulare la richiesta di consenso? Quanti e quali consensi devo raccogliere? Posso accorpare alcuni consensi? Posso evitare di raccogliere il consenso e basare il trattamento sul legittimo interesse?
Tutti questi quesiti sono interessanti ed importanti, ma ce n’è anche un altro che, forse troppo spesso, non viene nemmeno posto: posso trattare a fini di marketing i dati pubblici?
La grande tentazione è quella di dare per scontato che un dato pubblico, pubblicamente accessibile o comunque diffuso, possa essere trattato per qualsivoglia finalità e senza la necessità di particolari accorgimenti, cautele o adempimenti, semplicemente perché è conoscibile da una pluralità di soggetti.
Pensiamo, banalmente, ai dati di contatto disponibili sui siti internet, pubblicati su albi ed elenchi professionali, o acquisibili accedendo ad elenchi pubblici: questi dati sono facilmente ottenibili da chiunque.
Quando serve il consenso preventivo
Sono, quindi, anche pronti per arricchire qualsiasi database e per diventare i destinatari (o i bersagli) di qualsiasi campagna di marketing, senza che sia necessario fornire un’informativa sulle caratteristiche del trattamento, senza che sia necessario raccogliere un consenso preventivo, libero, specifico, informato ed inequivocabile dell’interessato, e senza che sia necessario interrogarsi sulla possibilità di ricorrere a una base giuridica alternativa, come il legittimo interesse e, in quest’ultimo caso, senza che si debba compiere il (temuto) bilanciamento con gli interessi, i diritti e le libertà fondamentali dell’interessato?
Se si considera che dall’ambito di applicazione materiale del GDPR (art. 2) non vengono di certo esclusi i dati pubblici, la risposta è: no.
I dati pubblici – nella misura in cui riguardano una persona fisica identificata o identificabile – sono e restano, a tutti gli effetti, dati personali, meritano e godono di tutta la protezione offerta e garantita dalla normativa rilevante.
Prendiamo, a titolo esemplificativo, il caso del trattamento a fini commerciali dei dati pubblici perché disponibili su albi professionali consultabili da chiunque. Il Garante ha avuto modo di pronunciarsi diverse volte sulla questione, prima dell’entrata in vigore del GDPR, anche per chiarire la modalità applicativa dell’esenzione dalla raccolta del consenso che ricorreva per il trattamento che “riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati” (art. 24, comma I, lettera c) Codice Privacy, abrogato dal D.Lgs. 101/2018).
I principi leva del Garante
I principi dei quali il Garante ha fatto applicazione sono due: quello di liceità, correttezza e trasparenza, e quello di finalità, entrambi tutt’ora in vigore, in base ai quali – nella formulazione oggi adottata dal GDPR – i dati sono “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, comma I, lettera a) del GDPR), e sono “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (art. 5, comma I, lettera b) del GDPR).
In questo contesto, il trattamento a fini commerciali dei dati pubblici è stato riconosciuto lecito solo se la specifica disciplina che ne regolamenta la fonte prevede espressamente che i dati siano trattati per attività di marketing, se le comunicazioni promozionali risultano direttamente funzionali all’attività, svolta dall’interessato, che ha determinato l’inclusione dei medesimi dati in pubblici registri, elenchi, atti o documenti conoscibili da chiunque, e sempreché non vi sia stata, o sia stata manifestata, l’opposizione al trattamento.
Il vincolo di finalità, in particolare, è stato interpretato in termini rigorosi: il trattamento per finalità di marketing deve essere strettamente attinente all’attività per la quale il dato personale è stato reso pubblico, e deve essere compatibile con il fine perseguito dalla normativa che regolamenta la fonte pubblica del dato, non essendo sufficiente riconoscere all’interessato la possibilità di opporsi, ex-post, al trattamento.
Ecco, quindi, che l’estrazione massiva di indirizzi PEC dai registri INI-PEC e la conseguente attività di invio di comunicazioni promozionali ai professionisti ai quali tali indirizzi si riferiscono è stata ritenuta illecita, indipendentemente dal contenuto dei messaggi stessi, in quanto il registro è finalizzato esclusivamente a favorire la presentazione di istanze, dichiarazioni e dati, e lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica (doc. web n. 7810723); compatibilmente con la finalità della fonte pubblica del dato, una qualche apertura all’invio di comunicazioni commerciali a professionisti potrebbe invece essere riconosciuta nel caso dell’invio di pubblicazioni scientifiche per finalità di aggiornamento ed approfondimento di tematiche giuridiche (doc. web n. 1851415), osservando sempre anche, nei casi previsti, la specifica disciplina dettata in tema di Registro delle Opposizioni.
Gli ambiti da bilanciare
Quello che il Garante ha sottolineato è che deve comunque essere sempre assicurato che la capacità di autodeterminazione informativa degli interessati sia tutelata, bilanciando il presupposto della libera accessibilità al dato personale, inserito in un elenco o registro consultabile da chiunque, con la funzionalità del trattamento alle specifiche caratteristiche dell’attività svolta dall’interessato.
Queste considerazioni possono ritenersi ancora attuali, considerato che muovono dai principi di liceità, correttezza e trasparenza e di finalità e, cioè, da principi che sono rimasti pienamente applicabili.
Il titolare che vuole trattare dati pubblici deve quindi porsi, in particolare e preliminarmente, tre domande: la prima, è perché una fonte è pubblica e quali sono i limiti e le modalità prescritti dalla normativa applicabile per la conoscibilità e la pubblicità del dato personale; la seconda, è per quale finalità lo stesso dato è stato reso pubblico; la terza, è se la finalità che intende perseguire sia o meno compatibile con quella alla base dell’accessibilità del dato oggetto di trattamento.
Marketing prima e dopo il GDPR
In sintesi, c’è una differenza, che deriva dal cambiamento di prospettiva legato all’introduzione delle basi giuridiche del trattamento: prima dell’entrata in vigore del GDPR, era sempre necessario il consenso dell’interessato per procedere al trattamento di dati personali (art. 23 Codice Privacy, abrogato dal D.Lgs. 101/2018), a meno che ricorresse una delle ipotesi di esenzione di cui all’art. 24 Codice Privacy (abrogato dal D.Lgs. 101/2018); oggi, il consenso quale condizione di liceità del trattamento è posto sullo stesso piano delle altre basi giuridiche di cui all’art. 6 GDPR e, in particolare, del legittimo interesse del titolare del trattamento o di terzi.
Non si può escludere a priori di ricorrere al legittimo interesse per trattare a fini di marketing dei dati pubblici, ma di certo non si potrà prescindere dal giudizio di bilanciamento e, cioè, dal verificare che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.
Resterà comunque sempre anche l’onere di informare l’interessato del trattamento, fornendo tutti i dati elencati dall’art. 14 GDPR e, in particolare, indicazioni sulla fonte da cui sono tratti i dati personali (art. 14, comma II, lettera f) del GDPR).
