Privacy nel Marketing: informativa e consenso

di Nicola Santangelo

Pubblicato 20 Febbraio 2012
Aggiornato 28 Ottobre 2015 15:35

logo PMI+ logo PMI+
Guida agli obblighi aziendali nel trattamento dei dati personali, anche in relazione ad attività di marketing: l'informativa, il consenso e le sanzioni in caso di violazioni.

Informativa

Per una corretta gestione della Privacy in azienda, il titolare del trattamento dei dati personali deve fornire ad ogni interessato, in forma scritta o verbale, l’informativa sulla privacy, documento in cui sono evidenziati:

  • scopi e modalità del trattamento cui sono destinati i dati
  • obblighi dell’informato nel fornire o meno i dati,
  • conseguenze cui va incontro l’interessato in caso di rifiuto,
  • nominativo delle persone, enti o società a cui possono essere forniti i dati,
  • diritti riconosciuti all’interessato,
  • nominativo del titolare e del responsabile del trattamento dei dati e relativi contatti.
Privacy e Marketing: normativa e sanzioni

Possono essere omesse le informazioni già conosciute dall’interessato ed è opportuno omettere riferimenti meramente burocratici o circostanze ovvie, mentre è necessario fornire un’informativa specifica quando il trattamento ha caratteristiche particolari o prevede forme inusuali di utilizzazione di dati rispetto alle ordinarie esigenze amministrative e contabili.

L’informativa deve essere consegnata sempre, anche quando non è necessario ottenere il consenso dell’interessato. Il linguaggio dell’informativa deve essere chiaro, semplice e senza reiterazioni.

Quando non serve l’informativa? Il decreto sviluppo 2011 ha previsto la possibilità di omettere l’informativa all’interessato quando si tratta di curriculum spontaneamente trasmessi dall’interessato (in tal caso l’informativa dovrà essere fornita al candidato al momento del primo contatto successivo all’invio del curriculum) e nei trattamenti dei dati relativi alle persone giuridiche, imprese, enti o associazioni effettuati per finalità amministrativo-contabili.

Consenso

Il trattamento dei dati personali è ammesso solo con il consenso dell’interessato (in forma scritta, o anche verbale a meno che non si tratti di dati sensibili), ossia la libera manifestazione con cui accetta egli espressamente un determinato trattamento dei propri dati personali, su cui è stato preventivamente informato dal titolare del trattamento, mentre non è necessario quando deriva da un obbligo normativo.

Il titolare del trattamento è tenuto a raccogliere il consenso dell’interessato: è sufficiente che sia documentato per iscritto o annotato dal titolare su un registro, un atto o un verbale. Si deve invece ricevere il consenso sottoscritto direttamente dall’interessato quando il trattamento riguarda dati sensibili e, comunque, previa autorizzazione del Garante il quale comunica la decisione adottata entro 45 giorni, decorsi i quali la mancata pronuncia equivale a rigetto.

Il consenso dell’interessato non è necessario:

  • quando il trattamento viene posto in essere per dare esecuzione a un obbligo legale;
  • quando i dati provengono da registri ed elenchi pubblici o i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato;
  • quando il trattamento dei dati è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la finalità riguarda l’interessato e questi non può prestare il proprio consenso a causa di incapacità di agire, il consenso è manifestato da chi esercita legalmente la potestà ovvero dal congiunto o da un familiare;
  • il trattamento dei dati è necessario ai fini dello svolgimento di investigazioni difensive o comunque per far valere un diritto in sede giudiziaria;
  • nei trattamenti dei dati dei curriculum ricevuti spontaneamente e trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. L’esonero dal consenso riguarda anche i dati sensibili eventualmente contenuti nei curriculum stessi;
  • nei trattamenti dei dati relativi alle persone giuridiche, imprese, enti o associazioni effettuati per finalità amministrativo-contabili;
  • quando i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale;
  • nelle comunicazioni di dati infra-gruppo tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti ad associazioni temporanee di imprese con i soggetti ad essi aderenti per finalità amministrativo-contabili.

Email Marketing

Non è possibile inviare email per pubblicizzare un prodotto o un servizio senza aver prima ottenuto il consenso del destinatario. L’invio delle email è vietato anche per chiedere il consenso stesso per il successivo inoltro di comunicazioni commerciali.  L’indirizzo di posta elettronica, per il solo fatto di essere reperibile in rete o acquisibile da pubblici atti o registri non autorizza comunque un suo uso indiscriminato. E’ necessario un preventivo consenso quale condizione di liceità del trattamento dei dati per finalità di marketing.

L’errore in cui si incorre più facilmente è quello di recuperare da biglietti da visita o pagine web indirizzi di posta elettronica al fine di inviare comunicazioni elettroniche contenenti materiale pubblicitario: questa ipotesi può determinare una responsabilità civile per spamming nonché una responsabilità penale per illecito trattamento di dati personali.

Telemarketing

La normativa sulla privacy permette di svolgere la profilazione (elaborazione aggregata dei dati personali, abitudini o scelte di consumo) solo dopo aver fornito adeguata informativa scritta all’interessato e averne ottenuto il consenso espresso e specifico. Per limitare usi indiscriminati del Telemarketing (telefonico e telematico) è stato istituito nel 2011 il Registro delle Opposizioni per richiedere di non ricevere offerte promozionali. L’iscrizione può avvenire:

Marketing postale

Il Decreto Sviluppo 2011 è intervenuto sul trattamento dei dati personali finalizzati all’invio di materiale pubblicitario mediante posta, per la vendita diretta, per le ricerche di mercato e per la comunicazione commerciale. Il marketing postale non potrà essere effettuato verso coloro che abbiano richiesto l’iscrizione del proprio indirizzo nel registro pubblico delle opposizioni.

Per l’uso di un sistema automatizzato di telefax per invio di materiale pubblicitario o di vendita diretta è necessario il consenso espresso dell’abbonato. Occorre, pertanto, ottenere il consenso preventivo e solo successivamente inviare il materiale pubblicitario. Ad ogni invio di materiale, inoltre, occorre informare il destinatario del diritto di opporsi all’invio.

Diffusione immagini e fotografie

Per riprodurre l’immagine o il ritratto di un soggetto è necessario richiedere preventivamente autorizzazione e ottenere il consenso scritto. Unica eccezione è rappresentata dalla diffusione dell’immagine di una persona connessa ad un fatto di interesse pubblico o svoltosi in pubblico.  E’, invece, fatto divieto di pubblicare e divulgare con qualsiasi mezzo immagini idonee a consentire l’identificazione di un minore anche nel caso di coinvolgimento in procedimenti giudiziari in materie diverse da quelle penali.

Il diritto all’identità personale è nato su quanto tracciato dal diritto all’immagine che consiste nel diritto dell’individuo di escludere altri dalla conoscenza delle proprie sembianze.

Violazioni e sanzioni

L’interessato che ritiene violata la propria privacy deve presentare protesta alla parte in causa, attendere risposta e solo successivamente può presentare istanza al Garante della Privacy: basta presentare istanza presso l’ufficio reclami o tramite e-mail o telefono. Non ci sono costi ad eccezione di probabili piccoli contributi per l’avvio della pratica.

Il destinatario di email indesiderate può rivolgersi al giudice civile e chiedere un risarcimento per la lesione dei propri diritti: è quanto affermato dal Garante in un provvedimento del 4 ottobre 2007.

Risarcimento danni

Il Codice Privacy prevede espressamente che chi arreca danni a terzi per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile: il danno non patrimoniale è oggetto di risarcimento anche nei casi di violazione delle norme sul trattamento dei dati, sulla loro raccolta e registrazione nonché sull’utilizzazione diversa dallo scopo per cui sono stati acquisiti.

L’individuazione del responsabile della violazione della privacy richiede la verifica degli obblighi violati e l’accertamento dell’avvenuta adozione o meno di tutte le garanzie necessarie per assicurare la protezione dei dati. Il titolare del trattamento, pertanto, dovrà dimostrare di aver adottato tutte le misure idonee per evitare il verificarsi del danno. Queste alcune delle sanzioni amministrative:

  • omessa o non idonea informativa all’interessato da 6.000 a 36.000 euro;
  • cessione illecita di dati da 10.000 a 60.000 euro;
  • trattamento dei dati senza misure di sicurezza da 10.000 a 120.000 euro.

Le controversie derivanti l’applicazione delle disposizioni del Codice sono attribuite all’autorità giudiziaria ordinaria. Occorre, quindi, depositare ricorso presso la cancelleria dei tribunale del luogo ove risiede il titolare del trattamento. Il ricorso avverso un provvedimento del Garante deve essere proposto entro il termine di trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito.

I ricorsi proposti oltre tale termine saranno dichiarati inammissibili con ordinanza ricorribile per Cassazione. In ogni caso la proposizione del ricorso non sospende l’esecuzione del provvedimento del Garante, tuttavia se ricorrono gravi motivi il giudice può disporre diversamente in tutto o in parte. Qualora sussista pericolo imminente di danno grave e irreparabile il giudice può emanare i provvedimenti necessari.

Il giudice, quindi, fissa l’udienza di comparazione delle parti con decreto tramite il quale assegna al ricorrente il termine perentorio entro cui notificarlo alle parti e al Garante. Tra il giorno in cui avviene la notifica e l’udienza intercorrono non meno di trenta giorni. Se alla prima udienza il ricorrente non compare senza alcun legittimo impedimento il giudice dispone la cancellazione della causa dal ruolo, dichiara l’estinzione del processo e pone le spese di giudizio a carico del ricorrente.  Terminata l’istruttoria vengono depositate le motivazioni della sentenza in cancelleria entro trenta giorni. La sentenza non è appellabile ma è ammesso il ricorso in Cassazione. Con la sentenza il giudice accoglie o rigetta la domanda, prescrive le misure necessarie, dispone sul risarcimento del danno e pone a carico della parte soccombente le spese del procedimento.

Illeciti penali

Il soggetto che, al fine di trarre profitti, per se stesso o per altri, procede al trattamento dei dati personali in violazione di quanto disposto dal Codice della Privacy è punito con la reclusione da uno a tre anni. Nel caso in cui vengano fornite notizie e informazioni false nelle dichiarazioni e notificazioni al Garante è prevista una reclusione da sei mesi a tre anni. L’omissione dell’adozione delle misure minime previste dal Codice è punito con l’arresto fino a due anni.

Il responsabile del trattamento può, tuttavia, dimostrare il suo ravvedimento operoso ed estinguere il reato regolarizzando le misure di sicurezza entro un periodo massimo di sei mesi e pagando entro sessanta giorni una somma pari ad un quarto del massimo stabilito per la sanzione amministrativa. Pertanto, se il responsabile del trattamento ottempera alla prescrizione e provvede al versamento della somma entro i limiti stabiliti dalla normativa ottiene la cancellazione del reato penale.