Marketing e consenso. No al social spam
Le società che inviano proposte commerciali tramite mail devono acquisire preventivamente il consenso dei destinatari, anche se un indirizzo email è pubblicato su un social network. Recentemente, il Garante Privacy ha vietato a una società di continuare a trattare gli indirizzi email senza consenso per attività di marketing. Il consenso ai sensi dell’art. 23 del D.lgs. 196/2003 (“Codice Privacy”) deve essere prestato liberamente.
Il Garante è intervenuto ha seguito di una segnalazione di una società di consulenza finanziaria la quale rappresentava l’invio di diverse email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero mai autorizzato la ricezione al trattamento in questione.
L’Autorità ha concluso degli accertamenti in collaborazione con il Nucleo Speciale Privacy della Guardia di Finanza ed, a seguito degli stessi, è emerso che la raccolta degli indirizzi email avveniva tramite i social network come Linkedin e Facebook. La riferita società ha inviato circa 100.000 email negli ultimi due anni.
Il Garante ha ritenuto illecito il trattamento degli indirizzi email, anche tenendo conto delle Linee guida del 4 luglio 2013 che disciplinano il fenomeno del “social spam”. II c.d. “social spam” consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online. Ciò si inquadra nel problema dell’indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell’ambito dei social network, tanto più rispetto a profili di tipo “aperto”. Questo impiego si presta alla commercializzazione o ad altri trattamenti dei dati personali a fini di profilazione e marketing da parte di società terze che siano partner commerciali delle società che gestiscono tali siti oppure che approfittino della disponibilità di fatto di tali dati in Internet. Inoltre, essendo i social network reti sociali tra persone reali, lo spam in questo caso può mirare a catturare l’elenco dei contatti dell’utente mirato per aumentare la portata virale del messaggio.
L’Autorità ha precisato nuovamente che i dati reperiti tramite i social network, o comunque dalla rete internet, non possono essere utilizzati liberamente. Nel corso del procedimento, la società in sua difesa sosteneva che l’iscrizione a un social network implica un consenso all’utilizzo dei dati personali per attività di marketing. Tuttavia, tale attività, come precisato anche dai garanti europei, non è compatibile con le funzioni dei social network che hanno come scopo principale la condivisione di informazioni e lo sviluppo di contatti professionali. I diversi garanti europei hanno espressamente escluso che l’iscrizione ad un social network presente sul web comporti il consenso al trattamento dei dati da parte di altri utenti ai fini di invio di informazioni promozionali.
Il Nucleo Speciale privacy ha contestato con una sanzione amministrativa il trattamento senza il corrispondente consenso, ma l’Autorità Garante si è riservata di contestare alla società la violazione del obbligo di rilascio dell’informativa – documento fondamentale che devono fornire tutte le aziende quando trattano dati personali ai sensi dell’art. 13 Codice Privacy. Infine, alla società è stato prescritto di modificare ed adeguare alla normativa vigente ed al Nuovo Regolamento Europeo il modello di richiesta di consenso presente sul Sito internet, in maniera di rendere chiara la finalità di marketing.
