Il termine marketing, come indica la stessa radice della parola, deriva dall’inglese market, cioè mercato.
La declinazione al gerundio, espressa in -ing, si riferisce alle azioni propositive di aziende o imprese interessate a far conoscere al proprio mercato di riferimento i prodotti o servizi offerti, al fine di trarne dalla vendita il massimo profitto possibile.
Una peculiare declinazione del marketing è il cd. direct marketing. Si tratta più propriamente di una tecnica di comunicazione che permette un contatto diretto con gli utenti finali, raggiungendo in questo modo un preciso target di clientela previamente analizzato a questo scopo.
Trattandosi di uno studio mirato, incentrato sulle preferenze d’acquisto dei consumatori, è necessario utilizzare degli ausili informatici che raccolgano in maniera oggettiva le informazioni sul consumo. Gli strumenti che vengono utilizzati a questo fine sono in grado di misurare le preferenze d’acquisto di una quantità indeterminata di soggetti, raccogliendo dati massivi sul loro comportamento online e offline.
La raccolta di dati strettamente personali, incentrati sulle abitudini di consumo e oltre, ha fatto sì che il legislatore disciplinasse il bilanciamento di interessi tra direct marketing e diritto alla privacy, attraverso l’emanazione del noto cd. GDPR.
Tale fonte normativa ha introdotto il concetto di Legittimo Interesse, quale elemento causale necessariamente preordinato a ogni singola operazione di marketing incentrata sulla raccolta dei dati dell’utente. L’art. 5 del Regolamento in questione ha sancito l’opportuno rispetto del principio generale secondo il quale ogni interessato deve essere informato su:
– l’esistenza della raccolta di propri dati personali,
– le modalità di raccolta delle sue informazioni,
– la finalità prevista per tale operazione.
In aggiunta a questi parametri, è necessario il consenso realmente informato dell’utente. L’esistenza di una informativa chiara ed esaustiva che la persona visiona ed accetta espressamente diviene, dunque, una vera e propria base giuridica sulla quale poter considerare pienamente lecita l’estrazione dei dati: in poche parole
L’interesse legittimo, però, è un concetto nuovo che si aggiunge alle altre cause legittimanti previste dal Codice per la Protezione dei Dati Personali n. 196 del 2003.
A differenza delle cause menzionate nella L. 196/2003, esso sembra configurare un fondamento giuridico del tutto slegato al previo consenso dell’utente per l’estrazione dei suoi dati personali.
In altre parole, per finalità di marketing diretto, le aziende o imprese che vogliano raccogliere le informazioni dei loro consumatori per spiarne le abitudini di consumo, e studiarne una mirata campagna di comunicazione di vendita diretta, possono farlo utilizzando il legittimo interesse come base giuridica, purché non ledano: i diritti, gli interessi o le libertà fondamentali degli interessati; così come indicato nell’art. 6 comma 1 lett. F GDPR.
Gli strumenti di marketing diretto a cui si lega l’esistenza di un interesse legittimo sono:
– la vendita per mezzo di soggetti incaricati,
– casi di telemarketing, tramite linea fissa o mobile,
– campagne pubblicitarie online, tramite siti web o social network,
– casi di direct mail attraverso l’invio di comunicazioni cartacee,
– casi di email marketing attraverso l’invio di comunicazioni via posta elettronica,
– vendite attraverso il mobile marketing, con invio di sms ai cellulari,
– uso di coupon o voucher attraverso siti internet o annuncia stampa,
– televendite e spot in tv.
Alla luce del Considerando 47 del GDPR, si è cercato di dare una definizione concreta al concetto di legittimo interesse, specificando che affinché quest’ultimo possa considerarsi soddisfatto è necessario che il rapporto cliente- fornitore, o il rapporto datore di lavoro e subordinato, sia tale per cui l’interessato dia per scontata l’acquisizione dei suoi dati per la possibile realizzazione del legittimo interesse. Un contenuto non troppo chiaro, però, che ha generato non poca confusione in termini applicativi.
Alcuni operatori del settore hanno interpretato il Considerando 47 in maniera estensiva, assumendo di non dover più acquisire il consenso degli utenti interessati nei casi di finalità di marketing diretto: la sola esistenza dell’interesse legittimo sembrerebbe essere sufficiente.
In realtà, tale impostazione non può essere condivisibile se si pensa che, oltre al già menzionato Codice per la Protezione dei Dati Personali che stabilisce dettami puntuali sulla necessaria acquisizione del consenso, la direttiva e-Privacy 2002/58/CE già acquisita nel nostro ordinamento con il Titolo X del Codice medesimo, aggiunge ulteriori specifiche sul trattamento dei dati relativi al settore della comunicazione elettronica.
All’interno della direttiva si ricorda la necessaria acquisizione del consenso dell’utente in tutti i casi di vendita diretta, invio di materiale pubblicitario o di comunicazioni commerciali, in qualunque modo esse vengano realizzate.
L’unico caso in cui il consenso non è necessario riguarda casi di vendita di prodotti o servizi già perfezionati con l’utente: in altre parole l’utente è già cliente. Questa circostanza, infatti, consente di poter riutilizzare i dati del proprio consumatore acquisiti, per l’invio di nuove proposte commerciali per prodotti o servizi analoghi alla vendita precedente. Resta salvo il caso in cui il soggetto interessato abbia revocato il suo consenso, o intenda farlo opponendosi in qualunque momento lo desideri.
Il bilanciamento di interessi che va operato tra la necessità del consenso e la libertà di iniziativa economica delle parti non è semplice, ma andrebbe chiarito ulteriormente. Ad oggi, rimangono in vigore tutte le disposizioni normative emanate a tutela dei dati personali, siano esse nazionali che europee. Tra esse, spicca l’art. 130 commi 1 e 2 del Codice della Privacy, il quale sancisce la necessaria esistenza del consenso dell’utente per tutti i casi di:
– invio automatizzato di chiamate pubblicitarie,
– vendita diretta,
– ricerche di mercato,
– comunicazioni commerciali a mezzo fax, sms, email, telefonata.
Esempi pratici
Il concetto di interesse legittimo, per quanto equivoco, deve consistere in un interesse concreto e reale, di una consistenza tale da poter giustificare un’acquisizione di dati personali. A tal fine, esso potrebbe avere luogo in uno dei seguenti casi di esempio pratico:
– per proteggere da eventuali frodi,
– per applicare a tutela dell’utente misure di sicurezza,
– per trasferire informazioni da un reparto all’altro dello stesso contesto aziendale,
– per elaborare un’adeguata valutazione del rischio,
– per eseguire una personalizzazione del sito web dell’utente o migliorarne le funzionalità,
– per comunicare i dati alle autorità che lo richiedono,
– per l’esercizio lavorativo di strumenti di localizzazione come GPS,
– per esercitare il diritto di opposizione nei casi di marketing diretto indesiderato.
Queste sono solo alcune delle ipotesi configurabili.
Violazioni
La preoccupazione di un invio massivo di materiale pubblicitario, al posto della creazione di un adeguato sistema di tutela dei dati immagazzinati, ha portato le aziende a trascurare l’importante cultura giuridica costruita intorno alla protezione delle informazioni.
A causa della leggerezza con la quale molte imprese italiane hanno affrontato la situazione, l’autorità Garante per la protezione dei dati personali, con l’ausilio del Nucleo Speciale Privacy della Guardia di Finanza ha iniziato una rigida serie di controlli che ha evidenziato importanti violazioni operate anche da aziende italiane molto influenti.
Nel mirino del Garante, non troppo tempo fa, vi è stata anche una nota società di telecomunicazioni che ha subito per le proprie violazioni una multa di 800.000 mila euro, per aver proceduto alla creazione di campagne promozionali a mezzo telefonico nei confronti di 38 milioni di utenti, in assenza del prescritto consenso degli interessati. Per di più, l’esercizio di revoca era stato garantito all’utenza soltanto in via temporanea.
Non sono mancate pesanti sanzioni anche per il fenomeno di cd spamming, coincidente con l’invio di comunicazioni a carattere pubblicitario, senza il consenso dei destinatari.
In assenza delle dovute precauzioni del caso, è facile incappare in realtà sanzionatorie molto rigide. Le violazioni continueranno a fioccare, se le aziende non prenderanno in seria considerazione l’idea di ripensare l’intero sistema di acquisizione dei dati, sul quale fondare opportune campagne di marketing diretto.