Background

Il 29 novembre 2017, il Garante italiano per la protezione dei dati personali (“Garante”) si è pronunciato ancora una volta contro la malpractice del cd. “social spam”. Il Garante, nella sua ultima newsletter, ha chiarito che gli indirizzi e-mail presenti sui social network non possono essere utilizzati per inviare proposte commerciali in assenza di uno specifico ed esplicito consenso dell’interessato per l’attività di marketing.

Contesto giuridico e principali questioni

Il provvedimento del Garante, adottato il 21 settembre, è scaturito dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori in assenza del loro consenso preliminare.

Dalle indagini condotte dal Garante è emerso che negli ultimi due anni sono state inviate circa 100.000 email pubblicitarie e che gli indirizzi e-mail dei destinatari erano stati raccolti principalmente su Linkedin, Facebook ed altri social network.

Il Garante ha sottolineato ancora una volta che l’agevole disponibilità di un indirizzo e-mail sui social network, e generalmente online, non autorizza a poter utilizzare liberamente tali dati per qualsiasi scopo.

Infatti, secondo il Garante, la tesi sostenuta dalla società convenuta, secondo la quale l’iscrizione a un social network implica un consenso implicito all’utilizzo dei dati personali per l’attività di marketing, non aveva alcun fondamento giuridico.

Anche sulla base delle ” Linee guida in materia di attività promozionale e contrasto allo spam“, nel caso in questione, il Garante ha ritenuto illecito tale trattamento degli indirizzi di posta elettronica ed ha sottolineato che la finalità di marketing non è compatibile con le funzioni dei social network che sono preordinate alla condivisione di informazioni e ad aiutare gli utenti a sviluppare contatti professionali; di conseguenza è indubbiamente richiesto un consenso specifico preventivo degli interessati per poter inviare email promozionali a tali indirizzi.

Implicazioni pratiche

Le aziende che raccolgono dati sui social network per attività di marketing devono prestare particolare attenzione al fatto che il trattamento il trattamento è da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall’interessato un consenso preventivo, specifico, libero e documentato ai sensi dell’art. 130, commi 1 e 2, del Codice in materia di protezione dei dati personali.

In particolare, le società che intendono inviare proposte commerciali devono:

  • rendere un’informativa all’interessato nella quale il trattamento dei dati personali per finalità di marketing è chiaramente specificato;
  • richiedere il consenso preventivo, libero e specifico degli interessati al trattamento dei loro dati personali per finalità promozionali;
  • garantire agli interessati il diritto di opporsi a tale trattamento.