Prima di affrontare l’argomento circa la natura del legittimo interesse e le leggi che lo regolano, è opportuno fare un passo indietro, definendo in quale ambito si applica e quali sono le norme di riferimento.
Parliamo di marketing, a tutti è successo di essere contattati telefonicamente o tramite indirizzo mail da società o aziende per la promozione di un prodotto o servizio, ed è proprio in questo che consiste il legittimo interesse.
Nel corso degli anni il Legislatore ha regolarizzato questo diritto; una linea di demarcazione netta tra il modus operandi precedente e quello attuale è il GDPR, ovvero il Regolamento Generale Europeo, diventato ufficialmente Legge il 27 Aprile 2016.
In sostenza, il legittimo interesse costituisce la base giuridica del trattamento dei dati, in un modo in cui i diritti del titolare e quelli dell’interessato devono essere bilanciati. Prima del 2016, l’Autorità per la protezione dei dati personali demandava la possibilità della diffusione di dati personali qualora naturalmente non fossero state violate la dignità, il legittimo interesse, e tutta una serie di libertà fondamentali. Il Garante era l’unico organo competente in tema di bilanciamento dei diritti.
Nell’ambito del nuovo principio di responsabilizzazione, con il Regolamento generale Europeo (GDPR), l’ente/persona fisica con il compito di individuare i limiti di tale trattamento e quindi con il compito di equilibrare gli interessi tra il titolare e l’interessato non è più il Garante, che invece ha il diritto, in un secondo momento, di controllare che sia stato svolto il tutto secondo norma di Legge, ma i titolari stessi, che logicamente nella maggior parte dei casi ne consentono una applicazione generalizzata. Concedere la possibilità a privati di gestire la legge in misura delle proprie esigente, è sicuramente rischioso in quanto può aprire la strada ad una serie di irregolarità e disuguaglianze che rendono questa operazione estremamente complessa.
Adesso è opportuno spiegare i requisiti necessari per poter usufruire del trattamento dei dati personali, in questo modo sarà facilmente comprensibile come questa legge risulti delle volte poco chiara e la facilità con cui potrebbero sorgere delle dispute.
Partiamo dal presupposto che se il trattamento è basato sui legittimi interessi non occorre il consenso dell’interessato, a patto che non vengano meno i diritti, gli interessi o le libertà fondamentali dell’interessato. Non occorre il consenso quindi, bisogna però informare l’interessato che i suoi dati saranno trattati in base ai suoi legittimi interessi, il titolare non è però necessario che spieghi come opererà il bilanciamento tra i diritti.
Veniamo ora ai requisiti:
– il titolare ha la necessità di elaborare il dato per fini propri o di terzi, dove per fini propri può essere intesa un’attività di marketing di un secondo prodotto, inerente a quello acquistato precedentemente. Per fine di terzi sono intese tutte quelle situazioni in cui la condivisione dei dati non viola gli interessi legittimi e la libertà dell’interessato. Un esempio pratico: una società finanziaria contatta il titolare per avere il nuovo indirizzo dell’interessato, in quanto è indietro con i pagamenti e irreperibile. E’ facile intuire come la società abbia tutto il diritto ad ottenere suddetti dati, anche senza il consenso scritto dell’interessato.
– Il trattamento dei dati deve essere equo e rispettare i principi di protezione, sempre per tornare alla società finanziaria, avrà il diritto ad ottenere i dati per contattare l’interessato, ma la condivisione deve essere circoscritta alle reali necessità, non è possibile ottenere informazione extra o comunque che non riguardano quella precisa attività per cui sono richieste.
Il Garante privacy italiano, che come sottolineato precedentemente potrà verificare, in un secondo momento, il corretto utilizzo dei dati, potrà prendere diversi provvedimenti:
– provvedimento su misure biometriche
– provvedimento su videosorveglianza
– una verifica sulle transazioni commerciali con il quale il titolare ha ritenuto ammissibile un trattamento aziendale dei dati
– verifica su banca dati in ambito assicurativo.
Alla luce di quanto detto, è facile intuire come le varie interpretazioni personali abbiano favorito il prosperare di un clima di incertezza di coloro che trattano i dati personali con finalità di Marketing diretto. Il Considerando 47 del Gdpr sembra garantire il legittimo interesse per le finalità di marketing diretto, nelle ultime righe sancisce infatti che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, questa interpretazione borderline non ha comunque frenato il Garante che nel monitorare il corretto utilizzo, ha più di una volta applicato sanzioni importanti, i casi più noti sono quelli di Fastweb, Eni Gas e Luce e TIM.
E’ proprio il Codice della Privacy, all’ articolo 130, che permette il proliferarsi di questo clima di incertezza: al comma I e II viene spiegato come la base giuridica per trattamenti ai fini di marketing debba avere il consenso dell’interessato, al comma IV invece spiega come in determinate circostanze, il marketing diretto possa trovare la propria applicazione nella base giuridica del legittimo interesse. I due termini sembrano quasi contrapposti l’uno all’altro. La base giuridica del legittimo interesse descritta al comma IV si riferisce infatti a tutta quella serie di attività definita soft spam, ovvero l’invio di e mail oppure di chiamate finalizzate al telemarketing da parte di quel titolare che ha già intrapreso un’azione commerciale nei confronti dell’interessato e che, di conseguenza, proponga in questa seconda interazione un servizio analogo o inerente a quanto è stato precedentemente venduto. Resta inteso che, anche in questa applicazione, all’interessato debba essere garantita la possibilità di eliminare e rifiutare qualsiasi tipo di ulteriore contatto, anche se non ha espresso un categorico rifiuto precedentemente. Quest’ultimo particolare non è di minore importanza rispetto ai precedenti: sia che stiamo parlando di invio di mail, sia che parliamo di telefonate, se il titolare cancella coloro che rifiutano un altro tipo di attività di marketing, avrà come parco di potenziali nuovi clienti tutti coloro che invece non si sono dichiarati espressamente contrari a questo tipo di attività, migliorando e aumentando la percentuale di una collaborazione commerciale notevolmente.
Veniamo ora ad alcuni esempi pratici che potranno permettere di capire ancor più nel dettaglio il discorso fino a qui intrapreso, grazie anche al supporto di PrivacyLab.it, nella persona di Andrea Chiozzi, fondatore dell’azienda e esperto riguardo il tema delle complicanze in ambito del regolamento Europeo 679/2016.
Le aziende fanno customer care, possono intraprendere azioni commerciali con clienti che hanno precedentemente sottoscritto un contratto, anche senza il loro consenso. Mettiamo caso che io abbia comprato un Computer; parecchi mesi dopo ricevo una chiamata/mail dal referente che mi spiega un nuovo prodotto più completo, oppure un aggiornamento relativo comunque al prodotto che io ho già precedentemente acquistato. Tutto bene fino a questo punto. Mettiamo invece che la stessa società, con la scusa che io ho comprato un computer da loro precedentemente, mi ricontatti proponendomi l’acquisto di un’aspirapolvere, di prodotti per la casa, di prodotti o servizi non inerenti a ciò che ho precedentemente acquistato, la differenza è rilevante.
Molti titolari, e per titolari intendo dei dati personali, hanno usato questa legge per intraprendere azioni commerciali su larga scala, non completamente consapevoli del fatto che esso, l’ultimo esempio descritto, rappresenti una violazione del legittimo interesse.