Nel leggere lo schema di decreto legislativo di coordinamento della normativa nazionale in tema di privacy con le disposizioni del regolamento europeo (il Gdpr), approvato dal Consiglio dei ministri pochi giorni fa, balza subito agli occhi, all’art. 88, la disposizione che affronta il tema del marketing: una vera e propria entrata a gamba tesa. Ma facciamo un passo indietro.
Scorrendo l’articolo 6, paragrafo 1, lettera f e, soprattutto, il considerando 47 del Gdpr, in molti avevano visto con favore l’apertura del regolamento alla possibilità di fare marketing prescindendo dal consenso dell’interessato, e potendo invece invocare il legittimo interesse del titolare come condizione di liceità del trattamento dei dati. Il considerando 47, infatti, conclude con un’affermazione di principio che lascia poco spazio ad interpretazioni dissonanti: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Ma la normativa italiana fa “rientrare dalla finestra quanto è uscito dalla porta”.
Di fatto, si reintroduce l’obbligo di acquisizione del consenso per larga parte delle ipotesi di trattamento di dati a fini di marketing, depotenziando così la portata della base giuridica del legittimo interesse del titolare e le chiare indicazioni del considerando 47 del regolamento.
Ciò detto, ed entrando nel dettaglio, osserviamo che il comma 1 dell’art. 88 introduce l’obbligo di consenso del contraente o dell’utente per l’invio di comunicazioni promozionali con l’uso di sistemi automatizzati di chiamata.
Passi il fatto che la “molestia” di questa forma di marketing possa aver indotto il nostro legislatore ad una soluzione che reintroduca la necessità del consenso, ma più incomprensibile è la previsione del comma 2 dell’articolo, che estende la disposizione del comma 1 anche alle comunicazioni elettroniche a fini di marketing, quali e-mail e sms: anche per tali comunicazioni, quindi, serve il consenso.
Il comma 3 dell’art. 88 disciplina le comunicazioni promozionali con “mezzi diversi” e, riferendosi agli artt. 6 e 7 del Gdpr, sembrerebbe lasciare spazio ad altre basi giuridiche diverse dal consenso (e, quindi, al legittimo interesse), quantomeno per le ipotesi residuali, quali, ad esempio, il marketing postale.
In realtà, il successivo comma 4 azzera anche questa possibilità: la norma, infatti, reintroduce il regime di opt-out già previsto nel D.Lgs. 196/03, imponendo a chi intende effettuare marketing postale o telefonico di consultare previamente il registro delle opposizioni. Non basta, quindi, avvisare il destinatario della possibilità di opporsi al trattamento, ma vi è, a monte, un onere da assolvere.
L’art. 7 dell’art. 88, infine, reintroduce, di fatto, il c.d. soft spam già previsto dall’art. 130 del D.Lgs. 196/03; in verità, peraltro, mentre il Garante aveva esteso l’ambito di applicazione del soft spam anche alla posta cartacea, il decreto legislativo (evidentemente “frettolosamente” confezionato) non ne tiene conto, e si limita a contemplare nel comma in esame solo “le coordinate di posta elettronica”.
Se così è, di fatto, poco spazio resta per il marketing fondato sul legittimo interesse.
Potrebbe essere il caso dei biglietti da visita raccolti presso l’interessato, o qualche ipotesi simile.
Come se non bastasse, infine, l’art. 79, comma 2, lettera f definisce “contraente” anche la persona giuridica; e poiché l’art. 88 si riferisce anche al consenso del “contraente”, ecco che pure i dati delle persone giuridiche tornano ad essere oggetto di tutela in ambito privacy (in piena contraddizione con un principio cardine del Gdpr, e cioè che lo stesso tutela solo i dati delle persone fisiche).
Se le indicazioni dello “schema” saranno confermate, il decreto legislativo in esame, più che coordinare la normativa privacy nazionale con il Gdpr, ne contraddice espressamente alcune previsioni, reintroducendo un regime che è sostanzialmente quello in vigore sino ad oggi. “Se vogliamo che tutto rimanga com’è, bisogna che tutto cambi”: “Il Gattopardo” insegna.
