La privacy

Quando parliamo di e-mail marketing si deve inevitabilmente far riferimento al dlg. 196/03 sulla privacy, perché l’indirizzo di posta elettronica rappresenta un dato personale degli utenti e quindi è soggetto a tutela.

La privacy è un diritto fondamentale oggi riconosciuto dall’ordinamento giuridico di tutti i paesi europei e dalle principali nazioni del mondo. Nel corso degli ultimi dieci anni il legislatore ha emanato leggi e regolamenti che incidono sullo svolgimento dell’attività commerciale basato sul rapporto diretto con il cliente. Tutte le azioni che si occupano di web marketing sono costrette a fare i conti con questo testo normativo.

Il primo aspetto da considerare è la distinzione tra dati personali e dati sensibili. I dati personali (art. 4 lett. b del D.lgs. 196/03) è qualsiasi informazione riferita o riferibile a una persona, quali ad esempio: codici identificativi ricavati da dati anagrafici (codice fiscale) o attribuiti a una persona tramite criteri definiti (numero di targa, numero di polizza), ma anche immagini, suoni o qualsiasi notizia o informazione che siano in qualche modo riferibili a un soggetto. I dati sensibili, nel diritto italiano, sono

8

Gli avventori di un locale vedevano proporre qualsiasi carne gli fosse richiesta, con alla base una carne in scatola di nome Spam. Da allora qualsiasi invio indiscriminato di messaggi generalisti non richiesti è definito Spam. GORNI N.,MAGLIO M. (2009), E-mail marketing: strategie e tecniche efficaci per fare business, Hoepli, Milano, p.279.

42 dati personali la cui raccolta e trattamento sono soggetti sia al consenso dell'interessato sia all'autorizzazione preventiva del Garante per la protezione dei dati personali. Secondo il codice sulla protezione dei dati personali (d.lgs. 196/2003, art. 4), sono considerati dati sensibili i dati personali idonei a rivelare: le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni ed organizzazioni a carattere religioso, nonché lo stato di salute.

In verità non è tanto il dato in sé a risultare sensibile, quanto, piuttosto l’uso del dato che un soggetto ne fa, infatti, anche il cognome di una persona può rivelare alcuni aspetti sensibili della sua sfera personale, in quanto analizzandolo sarà possibile, ad esempio discriminare la sua origine etnica. Quest’ultima tipologia di dati è sottoposta a un livello di protezione più elevato.

In seguito è fondamentale definire cosa si intende per trattamento dei dati. Per trattamento dei dati s’intende l’operazione, o il complesso delle operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. L’art. 11 del D. Lgs. 196/2013 stabilisce innanzitutto che i dati personali siano trattati in modo lecito e corretto, raccolti e registrati per determinati scopi espliciti e legittimi, ed utilizzati secondo gli scopi prefissati, inoltre, devono essere esatti e aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti, e conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di tempo non superiore a quello necessario agli scopi.

Prima del consenso è altresì necessario inviare l’informativa. Come indicato nell’articolo 13 del decreto legislativo 196 del 2013, l’informativa è la dichiarazione che il titolare, o anche il responsabile, fornisce all’interessato e ha come contenuto le caratteristiche relative all’utilizzo delle informazioni che lo riguardano. Può essere resa in forma scritta oppure verbale, il contenuto deve evidenziare le finalità e le modalità del trattamento cui sono destinati i dati. Nel caso in ci sia rifiuto da parte del rispondere deve essere chiaro quali sono le conseguenze. Inoltre, è necessario comunicare quali sono i soggetti o le categorie ai quali i dati verranno comunicati e gli estremi identificativi del titolare.

43 In ultimo, il consenso è la manifestazione di volontà con la quale la persona cui si riferiscono i dati autorizza il trattamento delle informazioni e deve necessariamente essere in forma scritta.

In caso di violazione delle regole che disciplinano il trattamento dei dati, la normativa prevede l’applicazione di sanzioni da parte del Garante o dell’Autorità Giudiziaria ordinaria, le sanzioni possono essere sia amministrative e penali. Per la violazione delle disposizioni in materia di trattamento dei dati personali, gli art. 161-172 del codice prevedono le seguenti sanzioni: amministrativa e pagamento di una somma compresa tra i 6.000 a 36.000 euro, la somma può essere aumentata fino al triplo qualora risulti inefficace in ragione delle condizioni economiche del contravventore per l’omessa o incompleta notificazione. Il Garante prevede anche una sanzione amministrativa pecuniaria che varia da 20.000 a 120.000 euro nel caso si siano violate le norme relative alla cessazione del trattamento, o di altre disposizioni in materia di disciplina dei dati personali prevede una sanzione amministrativa pecuniaria da 5.000 a 30.000 euro.

I soggetti responsabili della privacy, sono: • titolare;

• responsabile; • incaricato.

Il titolare è un soggetto cui spettano tutte le decisioni come: le modalità del trattamento dei dati e le finalità del trattamento. Può essere una persona fisica, ente o pubblica amministrazione.

Il responsabile è nominato dal titolare del trattamento e può essere una persona fisica, giuridica, ente o P.A. preposto dal titolare al trattamento dei dati.

L’incaricato, invece, è solo una persona fisica autorizzata a compiere operazioni di trattamento dei dati, il cui incarico gli è attribuito dal titolare o dal responsabile.

Se le informazioni sono state utilizzate per costruire una lista di contatti di proprietà, e attraverso essa si vuole avviare una campagna di email marketing, dovrà verificare che l’utente ha potuto avere accesso alle informazioni prescritte dalla legge in modo chiaro, comprensibile e puntuale. Invece, nel caso in cui il titolare non ha avuto un precedente contatto con l’utente, perché le informazioni sulla lista sono di proprietà di soggetti terzi, la prima cosa da fare è inviare a tutti la cosiddetta e-mail di “primo contatto” con la quale si informa il cliente che si è in possesso dei suoi dati e soprattutto la fonte che li ha forniti.

44