27 Mag Marketing diretto verso persone giuridiche

Quale normativa trova applicazione nel contesto di tale attività?

Quando si parla di marketing diretto, l’attenzione di giuristi e professionisti d’azienda è generalmente rivolta alle persone fisiche, alle quali, come noto, deve, come regola generale, essere richiesto uno specifico consenso ai sensi dell’art. 6, par. 1, lett. a) del Regolamento (UE) 2016/679 (“GDPR”) ed ex art. 130, commi 1 e 2 del D.lgs. 196/2003 (“Codice Privacy”).

Ma quali sono gli adempimenti necessari nel caso in cui le attività di marketing siano dirette ad un soggetto di diritto diverso da una persona fisica?

Prima di procedere oltre, è d’uopo far precedere le considerazioni che seguiranno da una doverosa premessa terminologica e metodologica: allo scopo di analizzare la questione che qui interessa e ai soli fini della presente analisi, si utilizzerà per comodità espositiva l’espressione “persone giuridiche” in senso lato e a-tecnico, ricomprendendo in essa tutti i soggetti di diritto diversi dalle persone fisiche, a prescindere dal fatto che siano o meno dotati di personalità giuridica; con tale espressione si farà nel prosieguo riferimento, quindi, tanto gli enti riconosciuti, come ad esempio, le società di capitali, gli enti pubblici e le associazioni riconosciute, quanto gli altri enti non riconosciuti.

 Oltre la protezione dei dati personali: la tutela dei “contraenti”

Come noto, le disposizioni del GDPR si applicano soltanto ai dati personali degli “interessati”, ossia alle informazioni riguardanti persone fisiche identificate o identificabili, anche in via indiretta (art. 4, n. 1) del GDPR), con esclusione delle informazioni riconducibili alle persone giuridiche[1]. Diversamente, il Codice Privacy reca disposizioni che trovano applicazione anche alle informazioni riguardanti le persone giuridiche. Trattasi, in particolare, di innesti normativi che sono diretta attuazione della Direttiva 2002/58/CE (“Direttiva e-Privacy”), da intendersi come lex specialis rispetto al GDPR.

Si fa riferimento in particolare alle disposizioni contenute nel Titolo X – “Comunicazioni elettroniche” (in particolare, al Capo 1), le quali possono trovare applicazione, come vedremo, anche alle informazioni riguardanti le persone giuridiche allorché le stesse rientrino nella categoria dei “contraenti”[2]. Alla stregua dell’art. 121, comma 1-bis, lett. f), del Codice Privacy, “contraente” deve intendersi “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto […]”.

A conferma di questa impostazione, nel 2012 si era espresso anche il Garante per la protezione dei dati personali (“Garante”), sottolineando come “continui a trovare applicazione anche alle persone giuridiche, enti ed associazioni il capo 1 del titolo X del Codice [Privacy], rectius le disposizioni ivi contenute che riguardano i “contraenti”, a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni”; ciò – pare opportuno evidenziare – nonostante l’art. 121 del Codice Privacy, che introduce l’interprete al summenzionato capo 1 del titolo X, menzioni esplicitamente i “dati personali”[3].

Il perimetro di applicazione delle disposizioni in esame dovrà dunque essere definito prestando attenzione alle categorie soggettive di volta in volta ivi richiamate[4].

Persone giuridiche e attività di marketing diretto

Tra le disposizioni più rilevanti, si richiama l’art. 130 del Codice Privacy riguardante proprio l’invio di comunicazioni di marketing diretto sia alla categoria dei “contraenti” che a quella degli “utenti”.

L’art. 130 del Codice Privacy: è necessario il consenso della persona giuridica per attività di marketing diretto nei suoi confronti?

L’art. 130, commi 1 e 2, del Codice Privacy prevede l’obbligo del consenso per l’utilizzo dei dati di contatto dei “contraenti” e degli “utenti”[5] ai fini dell’invio di comunicazioni di marketing diretto[6], ogniqualvolta siano impiegati strumenti cc.dd. automatizzati[7]. Poiché, quindi, come si è visto, la definizione di “contraente” (art. 121 del Codice Privacy) include non solo le persone fisiche ma anche tutti gli altri soggetti di diritto diversi dalle persone fisiche e, cioè, per l’appunto, le persone giuridiche nel senso a-tecnico ed estensivo sopra precisato, occorrerà anche in tal caso richiedere loro un apposito e preventivo consenso.

Qualora invece siano impiegati, per le medesime finalità di marketing diretto, strumenti cc.dd. non automatizzati – essenzialmente, telefono con operatore e posta cartacea – occorrerà riferirsi all’art. 130, comma 3, del Codice Privacy. Quest’ultima disposizione stabilisce che in tali casi l’utilizzo dei dati di contatto è consentito ai sensi degli artt. 6 e 7 del GDPR nonché ai sensi di quanto previsto dallo stesso art. 130 al comma 3-bis del Codice Privacy. È bene precisare che il rinvio agli artt. 6 e 7 del GDPR, trovando applicazione esclusiva al trattamento dei dati riferibili alle persone fisiche, non interessa anche i dati relativi alle persone giuridiche; ne consegue che, laddove vengano impiegati strumenti non automatizzati, non sarà necessario richiedere preventivamente alcun consenso alle persone giuridiche ai fini dello svolgimento di campagne di marketing diretto.

Resta ferma invece l’applicabilità alle persone giuridiche dell’art. 130, comma 3-bis del Codice Privacy, il quale stabilisce che l’utilizzo degli strumenti non automatizzati per finalità di marketing diretto è consentito solo nei confronti di coloro i quali non abbiano esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante iscrizione della numerazione della quale sono intestatari (allo stato attuale, soltanto fissa e non mobile) e degli altri dati di cui all’art. 129, comma 1, del Codice Privacy nel registro pubblico delle opposizioni (“RPO”)[8].

Il consenso delle persone giuridiche

Quanto alla nozione di consenso in relazione alle persone giuridiche, rileva l’art. 2, par. 1, lett. f), della Direttiva e-Privacy. Tale previsione, infatti, prevede espressamente che la nozione di consenso “corrisponde al consenso della persona interessata di cui alla direttiva 95/46/CE”[9], senza considerare se quest’ultima sia una persona fisica o giuridica[10].

Pertanto, il consenso ex art. 130, commi 1 e 2, del Codice Privacy da richiedere alle persone giuridiche “contraenti” dovrà presentare gli stessi requisiti del consenso espresso dalla persona fisica interessata ai sensi dell’art. 4, n. 11) del GDPR. In tal senso, dovrà trattarsi di un consenso: informato, specifico, libero, preventivo, inequivocabile, oltre che revocabile; infine, dovrà essere espresso da una persona fisica capace di impegnare la volontà giuridica dell’ente (e quindi, generalmente, dal rappresentante legale pro tempore o, comunque, da un soggetto dotato dei poteri di firma e rappresentanza).

Sempre rispetto al consenso si ricordano anche le indicazioni del Garante fornite tramite le Linee guida in materia di attività promozionale e contrasto allo spam, che hanno introdotto il cc.dd. consenso unico marketing[11].

Riepilogando

Come si è avuto modo di verificare, lo svolgimento di campagne di marketing diretto verso persone giuridiche non esime dall’osservanza dell’art. 130 del Codice Privacy, che ai commi 1 e 2 vincola i soggetti che intendono effettuare tali campagne alla richiesta (anche) alle persone giuridiche di un preventivo consenso, quantomeno laddove vengano impiegati strumenti cc.dd. automatizzati di contatto (tra i quali, sms, e-mail). Come previsto dal successivo comma 3 del citato articolo, invece, l’utilizzo, per le medesime finalità promozionali, del telefono con operatore resterebbe fuori dal perimetro di applicabilità della suddetta riserva obbligatoria di consenso, mentre secondo il successivo comma 3-bis sarebbe consentito l’uso del telefono e della posta cartacea di persone giuridiche i cui dati sono reperibili su elenchi pubblici salvo una loro opposizione mediante iscrizione al RPO (gli operatori di telemarketing dovranno, quindi, consultare il RPO periodicamente per aggiornare le proprie liste ogni 15 o 30 giorni e registrare l’opposizione telefonica o postale).

Si ricorda che, ai sensi dell’art. 166 del Codice Privacy le violazioni delle disposizioni di cui all’art. 130, commi da 1 a 5 del Codice Privacy sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del GDPR e, quindi, dello scaglione 20.000.000 di euro o, per le imprese, del massimo del 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Note:

[1] Cfr. artt. 1, 2, 3 e 4, n. 1) del GDPR.

[2] In origine, la definizione di “interessato” contenuta nel Codice Privacy includeva espressamente anche le persone giuridiche (https://www.gazzettaufficiale.it/atto/serie_generale/caricaDettaglioAtto/originario?atto.dataPubblicazioneGazzetta=2003-07-29&atto.codiceRedazionale=003G0218). Successivamente, con le riforme introdotte dal Decreto-legge Salva Italia (D.l. 201/2011), le persone giuridiche non sono più considerate come “interessati” ai fini del trattamento e il “dato personale” non può che riferirsi alle persone fisiche. Queste modifiche avevano interessato le persone giuridiche solo in ordine alla loro qualità di soggetti “passivi” del trattamento, lasciando immutata l’obbligatorietà degli adempimenti privacy previsti qualora operino in veste di soggetti “attivi”, cioè come titolari o responsabili del trattamento.

[3] Cfr. Provvedimento in ordine all’applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 – 20 settembre 2012

[4] Sul punto occorre precisare che la Direttiva e-Privacy utilizza il termine “abbonato”, che era stato recepito anche all’interno del Codice Privacy. Tuttavia, nel nostro ordinamento, a seguito dell’entrata in vigore del D.lgs. n. 69/2012, a far data dal 1° giugno 2012, nelle disposizioni del Codice Privacy il termine “abbonato” è stato sostituito dal termine “contraente”, senza tuttavia alterarne il significato e l’ambito di applicazione. Pertanto, quando si utilizzerà il termine “contraente”, questo sarà da intendersi alla stregua del termine “abbonato” come individuato dalla Direttiva e-Privacy. Ad avallare ulteriormente tale orientamento, come sostenuto dal Garante nel suo Provvedimento in ordine all’applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 – 20 settembre 2012, “[i]l concetto di “abbonato”, e dunque ora di “contraente”, è certamente applicabile, anche sulla base di principi comunitari, tanto alle persone fisiche quanto a quelle giuridiche: in tal senso, cfr. il considerando 12 della menzionata direttiva 2002/58/CE, secondo il quale “gli abbonati ad un servizio di comunicazione elettronica accessibile al pubblico possono essere persone fisiche o persone giuridiche”.

Tra l’altro la definizione di “abbonato” (ora “contraente”), sebbene rilevante per il diritto alla protezione dei dati, è in effetti mutuata da altri settori (innanzitutto quello delle comunicazioni elettroniche), oltre che di evidente, prevalente origine contrattuale.

Si menziona, al riguardo, l´art. 1, comma 1, lett. a) del d. lgs. 1° agosto 2003, n. 259 (c.d. Codice delle comunicazioni elettroniche), che riconosce la relativa qualifica alla persona fisica o giuridica che sia parte di un contratto con il fornitore di servizi di comunicazione elettronica accessibili al pubblico, per la fornitura di tali servizi”.

[5] Con specifico riferimento alla tipologia dei dati di contatto, che sono peraltro quelli che in via principale sono coinvolti nello svolgimento delle attività di marketing diretto, può essere interessante osservare quanto segue:

in linea generale, deve considerarsi contatto di una persona giuridica il dato impersonale, riferibile all’ente inteso nel suo complesso e non associabile in alcun modo ad una persona fisica identificata o identificatile (ad esempio, info@societàx.it; segreteria@societày.it); al contrario, è dato di contatto di una persona fisica il dato associabile, anche indirettamente, ad una persona fisica identificata o identificabile, ancorché lo stesso abbia natura di contatto tipicamente aziendale o professionale (ad esempio, mariorossi@societàx.it; m.rossi@societày.it).

[6] Per marketing diretto, tenuto conto di quanto previsto dall’art. 130 del Codice Privacy, si intende comunemente l’invio di materiale pubblicitario o di vendita diretta ovvero il compimento di ricerche di mercato o di comunicazione commerciale.

[7] L’art. 130, comma 1, del Codice Privacy si riferisce ai sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore; il comma successivo del medesimo articolo si riferisce alle comunicazioni elettroniche effettuate mediante: posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o messaggi di altro tipo.

[8] Cfr. Registro Pubblico delle Opposizioni.

[9] Ai sensi dell’art. 94, paragrafo 2, del GDPR: “I riferimenti alla direttiva abrogata si intendono fatti al […] regolamento [UE 679/2016]”.

[10] Si veda il considerando 17 della Direttiva e-Privacy.

[11] Cfr. Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348]