Direct marketing e soft spam: le novità del nuovo regolamento ePrivacy | Agenda Digitale

normativa

Direct marketing e soft spam: le novità del nuovo regolamento ePrivacy

La disciplina prevista dall’ultima bozza di Regolamento ePrivacy e un confronto con la normativa vigente in materia di marketing

09 Giu 2021
Federico Giuliani

Studio Legale Chiomenti

Matteo Leffi

Studio Legale Chiomenti

Giulio Vecchi

Counsel, Studio Legale Chiomenti

Tra i cambiamenti previsti dalla nuova bozza di Regolamento ePrivacy vi sono rilevanti novità che interessano i moltissimi operatori economici e i soggetti coinvolti a diverso titolo nelle attività di direct marketing e soft spam, per i quali è di grande rilievo comprenderne e approfondirne fin da subito le possibili conseguenze, sia in termini di limitazioni sia in termini di nuove opportunità.

In questo contributo abbiamo inteso ricapitolare sinteticamente lo stato dell’arte in materia di direct marketing e soft spam, per poi procedere con l’analisi dei principali punti di discontinuità introdotti dalla nuova bozza di Regolamento ePrivacy e della loro rilevanza per operatori del settore e interessati.

Nuovo regolamento ePrivacy, obiettivo 2025: i temi sul tavolo

Direct marketing e soft spam nell’attuale quadro normativo

Il direct marketing ha trovato nel tempo una propria specifica disciplina in atti normativi (nazionali e sovranazionali) che, pur inserendosi nel solco delle legislazioni a tutela della protezione dei dati personali, hanno sempre mantenuto un rapporto di specialità con queste ultime.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

Il punto di riferimento normativo per il marketing diretto è tuttora rappresentato dalla Direttiva 2002/58/EC “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” (la “Direttiva ePrivacy”), la quale ha dettato i principi generali cui gli Stati Membri hanno dovuto conformare la propria normativa interna.

Tra i principali obiettivi della Direttiva ePrivacy, vi era la previsione di misure volte a tutelare gli utenti da interferenze nella loro vita privata realizzate a fini di marketing diretto, in particolare mediante dispositivi automatici di chiamata e strumenti di comunicazione quali fax, posta elettronica o messaggi SMS. La liceità di tali attività era subordinata al previo ottenimento del consenso da parte dei destinatari.

Tale Direttiva è stata recepita nell’ordinamento italiano fino a confluire nell’attuale testo del d.lgs. n. 196/2003, come successivamente modificato e integrato (il “Codice Privacy”), e più precisamente nel Titolo X del medesimo, dedicato appunto alle comunicazioni elettroniche.

Nell’ambito del quadro normativo nazionale applicabile ai trattamenti di dati personali nelle attività di marketing diretto, hanno svolto un ruolo di indirizzo determinante le “Linee guida in materia di attività promozionale e contrasto allo spam”, adottate dall’Autorità Garante per la protezione dei dati personali il 4 luglio 2013.

Tali linee guida avevano per obiettivo, tra gli altri, proprio quello di fornire chiarimenti sull’applicazione delle norme del Codice Privacy integrate alla luce della Direttiva ePrivacy (ivi incluso in materia di consenso e di diritti attribuiti a utenti persone fisiche, e contraenti persone giuridiche, nel contesto delle attività di direct marketing).

Le previsioni della bozza di regolamento ePrivacy in materia di direct marketing e soft spam

La bozza di Regolamento ePrivacy su cui è stato raggiunto l’accordo in seno al Consiglio dell’Unione Europea lo scorso 10 febbraio (la “Bozza di Regolamento”) ha confermato alcuni principi della Direttiva ePrivacy in tema di direct marketing, introducendo, inoltre, alcune innovazioni.

Maggior estensione dell’obbligo di consenso preventivo

Rimane, anzitutto, invariato il principio per cui le comunicazioni di direct marketing possono essere inviate a una persona fisica solo con il suo consenso preventivo (art. 16, comma 1, Bozza di Regolamento).

L’obbligo del consenso preventivo, tuttavia, non è più circoscritto al caso di utilizzo di sistemi automatizzati di chiamata e di comunicazione (“Chiamate Automatizzate”) senza intervento di un operatore, del telefax o dell’e-mail, come nella Direttiva ePrivacy, ma si estende anche ad ulteriori ipotesi. Esso, infatti, troverà applicazione espressamente anche per:

  • i c.d. servizi di comunicazione interpersonale indipendenti dal numero, quali i servizi di messagistica Over-The-Top (“OTT”). Ciò, in ragione del richiamo nella Bozza di Regolamento alla definizione che di tali servizi dà il Codice europeo delle Comunicazioni Elettroniche (Direttiva (UE) 2018/1972) – peraltro, non ancora trasposto nel diritto nazionale dal nostro legislatore, nonostante il termine per il recepimento fissato al 21 dicembre 2020; e
  • le c.d. “voice-to-voice calls”, ossia le chiamate “in diretta” con operatore e, quindi, senza utilizzo di dispositivi automatici di chiamata e comunicazione (“Chiamate V2V”). Tale ipotesi, non presa in considerazione dalla Direttiva ePrivacy, rimane attualmente assoggettata alle ordinarie regole del GDPR, ivi incluse quelle relative all’individuazione di una valida base giuridica del trattamento (la quale, di solito, viene inquadrata nel consenso dell’interessato).

La Bozza di Regolamento (art. 16, comma 4), inoltre, autorizza gli Stati Membri ad introdurre un regime di opt-out per le Chiamate V2V, in base al quale le chiamate per finalità di marketing potranno essere effettuate solo nei confronti degli utenti che non si siano opposti al trattamento per tali finalità. A tal riguardo, sembra che il legislatore europeo abbia voluto far riferimento a meccanismi simili al Registro delle Opposizioni – introdotto in Italia con il D.P.R. n. 178/2010 – in base al quale è possibile effettuare telefonate per finalità di marketing senza il consenso degli utenti che abbiano autorizzato l’inserimento dei propri dati di contatto nei c.d. “elenchi dei contraenti”, salvo in ogni caso il loro diritto di opposizione.

L’obbligo del consenso preventivo, invece, non troverà applicazione in relazione alle forme di promozione commerciale in cui non vi sia un invio di una comunicazione ricevuta su un indirizzo, numero o altro dato di contatto dell’utente finale (e.g., pubblicità mostrata all’interno di una pagina web), in base a quanto previsto dal Considerando n. 32 della Bozza di Regolamento.

Telemarketing, il Registro delle opposizioni verso la rivoluzione: cosa cambierà

Le novità in tema di soft spam

Resta ferma nella Bozza di Regolamento anche la c.d. eccezione del “soft spam” (art. 16, comma 2), per cui il consenso preventivo dell’utente non è richiesto ove:

  • il mittente abbia ottenuto le coordinate elettroniche dell’utente finale in conformità con le regole previste dalla normativa in tema di protezione dei dati personali (ossia, attualmente, il GDPR) nel contesto della vendita di un prodotto o servizio;
  • la comunicazione di marketing sia inviata per la commercializzazione di un prodotto o servizio analogo a quello già acquistato dall’utente finale;
  • all’utente finale sia offerta, in modo chiaro e distinto, la possibilità di opporsi, gratuitamente e in maniera agevole, all’utilizzo delle coordinate elettroniche per la finalità di marketing. Tale facoltà deve essere concessa sia inizialmente, al momento della raccolta dei dati di contatto, che nel contesto di ogni successiva comunicazione.

In aggiunta, tuttavia, l’eccezione risulta applicabile anche alle comunicazioni effettuate mediante SMS, MMS e applicazioni e tecniche funzionalmente equivalenti e, pertanto, non solo alle comunicazioni effettuate mediante e-mail, come previsto invece nella Direttiva ePrivacy (v., in proposito, l’utilizzo del termine “electronic message” nell’art. 16, comma 2, della Bozza di Regolamento che, include, infatti, “e-mail, SMS, MMS and functionally equivalent applications and techniques”).

Inoltre, viene concessa agli Stati Membri la facoltà di stabilire un limite temporale, dopo la vendita del bene o del servizio, entro il quale è permesso l’invio di comunicazioni di soft spam senza il consenso dell’utente finale (art. 16, comma 3, Bozza di Regolamento).

Gli ulteriori obblighi per le telefonate per finalità di marketing

Oltre a raccogliere il consenso preventivo del destinatario, i soggetti che effettueranno chiamate telefoniche per finalità di marketing – sia Chiamate V2V che Chiamate Automatizzate – saranno tenuti a presentare all’utente:

  • l’identificazione della linea chiamante (o “CLI” – calling line identification), ossia il numero di telefono dal quale la chiamata è originata (art. 16, comma 3); e
  • uno specifico codice o prefisso, volto a identificare che la chiamata è effettuata per finalità di marketing. Tale obbligo, tuttavia, è solo eventuale, posto che la Bozza di Regolamento ne lascia agli Stati Membri la facoltà di introduzione nell’ordinamento (art. 16, comma 3a).

In proposito, va sottolineato che una disciplina analoga discende dall’applicazione, in Italia, della legge n. 5/2018, che impone agli operatori che svolgono attività di call center di presentare il CLI e in attuazione della quale AGCom ha individuato, con delibera n. 156/18/CIR, il prefisso “0843” per le comunicazioni finalizzate ad attività statistiche e il prefisso “0844” per le comunicazioni finalizzate a ricerche di mercato e ad attività di pubblicità, vendita e comunicazione commerciale.

Gli obblighi informativi per ogni comunicazione di marketing

A prescindere dal mezzo utilizzato (e-mail, telefono, ecc.), i soggetti che invieranno comunicazioni di marketing diretto saranno tenuti a (art. 16, comma 6, Bozza di Regolamento):

  • rivelare la propria identità e utilizzare numeri e indirizzi validi per il ricontatto;
  • informare gli utenti finali che la comunicazione ha finalità di marketing, nonché precisare l’identità e i dati di contatto della persona giuridica o fisica per conto della quale è inviata la comunicazione di marketing; e
  • fornire agli utenti finali, in modo chiaro e distinto, un mezzo per opporsi o revocare il consenso rispetto alla ricezione di ulteriori comunicazioni di marketing diretto, utilizzabile in ogni momento, gratuitamente e in modo agevole ed efficace, nonché a fornire le informazioni necessarie a tal fine. Tale mezzo deve essere fornito anche al momento della raccolta dei dati di contatto nell’ambito dell’invio di comunicazioni di soft spam. Inoltre, per l’utente dovrà essere agevole revocare il consenso non meno di quanto sia agevole fornirlo.

Gli obblighi per i fornitori di servizi di comunicazione interpersonale basati sul numero

La Bozza di Regolamento (art. 14) prevede, infine, anche alcuni obblighi indirizzati ai fornitori di servizi di comunicazione interpersonale basati sul numero, tra i quali rientrano – sempre in base alle definizioni riprese dal Codice europeo delle Comunicazioni Elettroniche – sia gli operatori di telefonia tradizionali, sia fornitori di servizi VoIP che consentono all’utente di chiamare un numero fisso o mobile tradizionale. In particolare, essi dovranno:

  • fornire misure all’avanguardia per limitare la ricezione di chiamate indesiderate, moleste o fastidiose; e
  • offrire agli utenti, a titolo gratuito, la possibilità di:
    • bloccare, ove tecnicamente fattibile, chiamate in entrata provenienti da (i) determinati numeri o da (ii) fonti anonime o da (iii) numeri che utilizzino codici o prefissi scelti dal legislatore nazionale per identificare le chiamate effettuate per finalità di marketing diretto;
    • interrompere il trasferimento automatico di chiamata effettuato da terzi verso l’apparecchiatura terminale dell’utente finale.

Per completezza, si segnala che la Bozza di Regolamento lascia agli Stati Membri il compito di prevedere disposizioni più specifiche rispetto all’individuazione di procedure trasparenti e delle circostanze nelle quali – nel caso di richiesta, da parte dell’utente finale, dell’individuazione delle chiamate indesiderate, moleste o fastidiose – i fornitori di servizi di comunicazione interpersonale basati sul numero dovranno eludere, temporaneamente, la soppressione della presentazione dell’identificazione della linea chiamante.

Conclusioni

Quanto illustrato evidenzia l’accresciuta attenzione del legislatore europeo verso la tutela dell’utente finale nell’ambito del settore del marketing diretto e del soft spam. Tale attenzione si traduce, come visto, in una specificazione degli obblighi attualmente vigenti in tema di protezione dei dati personali e in una loro espressa estensione anche a ipotesi precedentemente non prese in considerazione dalla normativa (come nel caso dei servizi di messaggistica OTT).

Tuttavia, la Bozza di Regolamento lascia anche margine di discrezionalità ai legislatori nazionali, i quali saranno chiamati a valutare se avvalersi delle facoltà loro riconosciute rispetto a determinate misure di tutela (e.g., rispetto all’individuazione del termine temporale per cui il soft spam può considerarsi legittimo senza il consenso dell’utente finale). Tale circostanza determinerà, con tutta probabilità, un certo grado di disomogeneità tra le legislazioni degli Stati Membri, ferme restando, comunque, le previsioni direttamente applicabili della Bozza di Regolamento, le quali costituiscono le garanzie minime di tutela da riconoscere ad ogni cittadino dell’Unione Europea in materia di marketing diretto.

L’impostazione descritta riflette, in ogni caso, quanto proposto nell’attuale Bozza di Regolamento, non potendosi del tutto escludere il recepimento di modifiche, anche significative, nella versione definitiva che dovrà essere approvata dal Parlamento e dal Consiglio dell’UE. Per questi motivi, tutti i soggetti economici e i portatori di interessi nell’ambito del marketing diretto sono chiamati a monitorare con attenzione l’iter di approvazione della Bozza di Regolamento e le conseguenti modifiche della normativa nazionale esistente (in primis il Codice Privacy) che si renderanno necessarie per allineare l’attuale disciplina al nuovo regime di derivazione europea.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4