Mail marketing senza consenso. È un legittimo interesse dell’impresa.
Così il Garante della privacy del Belgio (APD) che, con il provvedimento n. 32 del 10 marzo 2022 (di cui dà notizia il sito gdprhub.eu), respinge un ricorso per e-mail commerciali indesiderate. Motivando con un passaggio delle premesse del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). Si tratta del “considerando” n. 47: “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Per comprenderne il tenore si rimarca che se c’è un legittimo interesse, i dati possono essere trattati senza acquisire il consenso dell’interessato. Se l’orientamento belga prendesse piede, sarebbe applicabile in tutti i paesi dell’Ue, in quanto il Gdpr è unico per tutta la Ue e impone la disapplicazione di eventuali norme nazionali in contrasto. La pronuncia belga va, dunque, attentamente studiata per cercare di ricostruire il quadro normativo italiano. In effetti il codice della privacy italiano (articolo 130) subordina l’invio di e-mail commerciali al consenso dell’interessato, salvo che si tratti di comunicazioni di soft spam (e-mail inviate a persona già cliente per proporre prodotti o servizi analoghi e salva successiva opposizione). La pronuncia in commento costringe ad analizzare il rapporto tra legislazione italiana e Gdpr, anche se gran parte del ragionamento, di fatto, concerne un Considerando (una premessa) e non l’articolato del Gdpr. Nella vicenda belga una persona si è lamentata dei messaggi di direct marketing per i quali riteneva necessario il consenso, invocando l’applicazione dell’articolo 6, paragrafo 1, lettera a), Gdpr. Il Garante belga ha respinto il reclamo, rilevando un legittimo interesse del titolare del trattamento e applicando un’altra lettera, la “f”, dell’articolo 6 del Gdpr, interpretata alla luce del considerando n. 47 del Gdpr. Nella pronuncia l’autorità belga spiega che, poiché l’indirizzo e-mail dell’interessato era pubblicamente disponibile online, se ne desume che lo stesso dovesse avere la ragionevole aspettativa che tale indirizzo e-mail sarebbe stato utilizzato per inviargli messaggi.
A ciò il garante belga aggiunge, beninteso, che chi manda la comunicazione commerciale deve essere trasparente fin dall’inizio e fornire una dettagliata informativa privacy già dalla prima comunicazione con l’interessato.