La posta cartacea costituisce, dopo il telemarketing, il veicolo di attività promozionale con strumenti c.d. “tradizionali”. Di recente, la normativa GDPR ha infatti esteso anche alla posta cartacea l’applicazione delle regole del registro pubblico delle opposizioni appena visto. Il trattamento per fini di marketing degli indirizzi postali presenti negli elenchi pubblici è quindi equiparato a quello delle relative numerazioni. La regola dell’opt-out si applica quindi anche alle comunicazioni commerciali per posta cartacea.

In base alle disposizioni vigenti il marketing cartaceo è consentito verso i contraenti o utenti che non hanno esercitato il diritto di opposizione tramite iscrizione al registro delle opposizioni (“opt-out”). In alternativa, l’attività può avere luogo se gli interessati hanno prestato apposito consenso (“opt-in”).

Una volta che l’istanza dell’operatore di iscrizione al FUB è stata accolta e quindi si è verificata la sua iscrizione al registro, l’operatore potrà consultare il registro per 30 giorni allo scopo di effettuare trattamenti di dati per fini di invio di materiale pubblicitario e o di vendita diretta o di comunicazione commerciale.

Anche in questo caso, la violazione della regola dell’opt-in, così come la violazione della regola dell’opt-out, espone a sanzioni amministrative pecuniarie fino a 20.000.000 EUR o, per le imprese, fino al 4% del fatturato mondale totale annuo dell’esercizio precedente.

Il Marketing “automatizzato”invece svolto con strumenti automatizzati (vale a dire sms, mms, moderni servizi di messaggistica, e-mail, telefonate pre-registrate senza l’intervento di un operatore). In questo contesto domina, quale requisito, il consenso preventivo del contraente o dell’utente il cosidetto “opt in”

Ferma la necessità di un assessment approfondito (da cui deriva, tra gli altri, un impianto di policy, registri del trattamento nonché documentazione attestante valutazione dei rischi del trattamento), presupposto di qualsiasi trattamento, il marketing compiuto con i citati strumenti verso persone fisiche e giuridiche, prospect o clienti, richiede il consenso e l’informativa comprensiva degli elementi richiesti dall’art. 13 del GDPR.

La violazione della regola dell’opt-in espone a sanzioni amministrative pecuniarie fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

In questo panorama è necessario dedicare spazio ad una specifica regola, eccezione all’opt-in. Verso i già clienti, infatti è prevista la possibilità di inviare comunicazioni commerciali tramite e-mail pur in assenza di consenso. A condizione, però che sia sempre data, nelle comunicazioni, possibilità di disiscriversi da futuri invii (solitamente l’opt-out ha luogo tramite footer in calce alla comunicazione, sempre accompagnato da un link all’informativa privacy).

Quella appena descritta è l’eccezione del c.d. “soft-spam” prevista dall’art. 130, comma 4, D.Lgs. 196/2003 e mantenuta invariata dal D.Lgs. 101/2018, che si applica nel caso in cui il titolare del trattamento utilizzi, a fini della vendita diretta di propri prodotti o servizi, l’indirizzo e-mail fornito dall’interessato già cliente, nel contesto della vendita di un prodotto o di un servizio analogo a quello in precedenza acquistato.

E’ interessante soffermarsi sul concetto di analogia di prodotto o servizio richiamato dalla normativa: da nessuna parte la legge spiega come il termine debba essere interpretato. Il lettore non si sorprenderà come, anche in questo caso, il principio di responsabilizzazione costituisca una vera e propria stella polare delle nostre valutazioni. Per cui, anche a seconda del mercato di riferimento, e tenuto conto della nostra situazione, potremo intendere il termine in senso più o meno restrittivo[9].

La base giuridica che autorizza i trattamenti effettuati per finalità di soft-spam è il perseguimento di un legittimo interesse da parte del titolare del trattamento. L’interesse all’invio di comunicazioni in linea con le ragionevoli aspettative dell’interessato, tenuto conto del rapporto esistente, è costituzionalmente garantito (art. 41 Cost.) ed è riconosciuto e tutelato dallo stesso GDPR (Cons. 47)[10].

Per potersi avvalere della soluzione del soft-spam, è necessario effettuare, prima di procedere al trattamento, la valutazione d’impatto sulla protezione dei dati (c.d. DPIA “Data Protection Impact Assessment”) di cui all’art. 35 del Regolamento UE 679/2016.

Dall’excursus normativo appena percorso è possibile trarre alcuni preziosi insegnamenti, a ben vedere validi per il business aziendale ad ampio spettro, non solo per il marketing.

La compliance aziendale alla protezione dei dati non è un’operazione una tantum. Al contrario, essa è parte di un processo dinamico che riflette la natura dinamica dell’azienda chiamata ad attuarlo. Ciò vale in modo particolare in un’attività caratterizzata dall’intensità del proprio ritmo, come il marketing.

Il dato ha delle importanti ripercussioni perché impone alla stessa azienda grande celerità nell’adozione delle misure adeguate. Solo una costante attività di monitoraggio (meglio se supportata da strumenti tecnologici che garantiscano la sua efficacia e sostenibilità), in tandem con un dialogo fluido tra i diversi comparti aziendali, è in grado di intercettare in tempo le iniziative che richiedono l’efficace e tempestiva adozione di dette misure.

Ma non è tutto. L’esperienza insegna che, trascorso il primo periodo di vigenza del GDPR, in questo momento storico la sfida è posta dalla concreta implementazione delle misure. Attività questa tutt’altro che ovvia.

Prendiamo l’esempio del consenso, concetto apparentemente banale. Ebbene, la trasposizione nella realtà del requisito non è agevole come potrebbe sembrare. Non basta, infatti, garantire che l’utente abbia acconsentito al trattamento per fini di marketing: questa manifestazione di volontà, per essere rispettata (e sfruttata) dall’azienda, deve essere incorporata in un processo, adeguatamente inserita “a sistema”, storicizzata e gestita, per esempio in caso di conseguente opposizione dell’interessato.

L’adeguamento, quindi, richiede grandi sforzi. Basta muovere di poco l’angolo della propria visuale, però, per scorgere l’altro verso della medaglia. E’ indubbio, infatti, che la corretta gestione del dato personale comporta, per l’azienda che ha investito in questo senso e con i giusti tempi, un solido vantaggio concorrenziale e di reputazione rispetto alle concorrenti che hanno tralasciato il fattore della protezione dei dati personali.

Queste ultime, infatti, saranno costrette a ripensare ai loro processi “in corsa”, con evidente dispendio di risorse e probabile esito disorganizzato. Inoltre, così facendo si espongono ai rischi sanzionatori (che oggi possono toccare importi tali da mettere in difficoltà anche i più grandi gruppi multinazionali) e ai conseguenti danni reputazionali.

I conti non vanno fatti senza l’oste, si dice. In questo caso, lo possiamo proprio dire, l’oste è la privacy.