Le Attività di marketing rivolte alle persone giuridiche nel quadro normativo europeo e nazionale

Introduzione

La disciplina delle attività di marketing rivolte alle persone giuridiche rappresenta uno degli ambiti più articolati e meno esplorati del diritto della protezione dei dati personali e delle comunicazioni elettroniche. Se da un lato il Regolamento (UE) 2016/679 (GDPR) si applica esclusivamente al trattamento di dati personali relativi a persone fisiche identificate o identificabili, dall'altro lato il quadro normativo italiano ed europeo sulle comunicazioni elettroniche estende specifiche tutele anche ai soggetti giuridici destinatari di comunicazioni commerciali non sollecitate.

Questa apparente asimmetria normativa genera frequenti incertezze operative per le imprese che intendono svolgere attività di business-to-business marketing (B2B), rendendo necessaria un'analisi sistematica delle disposizioni applicabili e degli orientamenti delle autorità di controllo.

Il Quadro normativo: la distinzione fondamentale tra GDPR e direttiva e-Privacy

L'ambito di applicazione soggettivo del GDPR

Il Regolamento (UE) 2016/679 delimita con precisione il proprio ambito di applicazione soggettivo all'articolo 4, punto 1), definendo come "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il considerando 14 del Regolamento chiarisce esplicitamente che la protezione conferita dal GDPR non si applica al trattamento di dati personali relativi a persone giuridiche, inclusi il nome, la forma della persona giuridica e i suoi dati di contatto.

Questa scelta del legislatore europeo trova fondamento nel riconoscimento che i diritti fondamentali alla protezione dei dati personali e alla vita privata, sanciti dagli articoli 7 e 8 della Carta dei Diritti Fondamentali dell'Unione Europea, afferiscono specificamente alle persone fisiche in quanto titolari di una sfera intima meritevole di protezione.

La direttiva 2002/58/CE e il suo ambito applicativo esteso

In senso divergente rispetto al GDPR, la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva e-Privacy) adotta un approccio più estensivo. Il considerando 12 della Direttiva chiarisce espressamente che gli abbonati a un servizio di comunicazione elettronica accessibile al pubblico possono essere tanto persone fisiche quanto persone giuridiche.

L'articolo 13 della Direttiva e-Privacy, dedicato alle comunicazioni indesiderate, impone infatti il consenso preventivo per l'utilizzo di sistemi automatizzati di chiamata, fax ed e-mail a fini di commercializzazione diretta, senza operare distinzioni basate sulla natura giuridica del destinatario. Questa disposizione è stata recepita nell'ordinamento italiano attraverso l'articolo 130 del Codice in materia di protezione dei dati personali (D.Lgs. 196/2003), come successivamente modificato.

L'articolo 130 del Codice Privacy: la normativa cardine per il marketing verso persone giuridiche

Il testo normativo e la sua evoluzione

L'articolo 130 del Codice Privacy, collocato nel Capo I del Titolo X, dedicato alle comunicazioni elettroniche, stabilisce al comma 1 che l'uso di sistemi automatizzati di chiamata, di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario, di vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Il comma 2 estende tale disposizione alle comunicazioni elettroniche effettuate mediante posta elettronica, telefax, messaggi MMS, SMS o di altro tipo.

La scelta terminologica del legislatore italiano assume rilevanza cruciale: l'utilizzo del termine "contraente" in luogo del più restrittivo "interessato" manifesta l'inequivoca volontà di ricomprendere nell'alveo della tutela anche le persone giuridiche. Tale interpretazione trova conferma nelle modifiche introdotte dal D.Lgs. 28 maggio 2012, n. 69, che ha recepito la direttiva 2009/136/CE, sostituendo la qualifica di "abbonato" con quella di "contraente", espressamente inclusiva dei soggetti giuridici.

La definizione di "contraente" nel sistema delle comunicazioni elettroniche

Il Codice delle comunicazioni elettroniche (D.Lgs. 1° agosto 2003, n. 259) fornisce all'articolo 1, comma 1, lettera a), la definizione di contraente come "qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate".

Il Decreto Legge n. 201/2011 (c.d. "Decreto Salva Italia"), pur avendo eliminato la disciplina di protezione dei dati personali delle persone giuridiche, non ha in alcun modo interessato tale definizione, che è rimasta intatta nella formulazione di cui all'articolo 4, comma 2, lettera f) del Codice Privacy.

Gli orientamenti del Garante privacy italiano

Le linee guida in materia di attività promozionale e contrasto allo spam

Il Garante per la Protezione dei Dati Personali ha fornito indicazioni fondamentali con le Linee Guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013. In questo provvedimento interpretativo, l'Autorità ha affermato con chiarezza che continua a trovare applicazione anche alle persone giuridiche, enti ed associazioni il Capo I del Titolo X del Codice Privacy, ovvero le disposizioni ivi contenute che riguardano i "contraenti", a prescindere dal loro essere persone fisiche ovvero giuridiche, enti ed associazioni.

Tale orientamento comporta che l'invio di comunicazioni commerciali automatizzate (e-mail, SMS, MMS, telefax, chiamate automatizzate) a persone giuridiche richiede, in linea di principio, il consenso preventivo del destinatario, analogamente a quanto previsto per le persone fisiche.

Il provvedimento del 12 gennaio 2017 sul marketing non autorizzato

Un riscontro applicativo significativo è offerto dal provvedimento del Garante del 12 gennaio 2017 [doc. web n. 5986406], nel quale l'Autorità ha contestato a una società l'acquisizione di nuovi clienti attraverso contatti telefonici di utenze riferite a persone giuridiche, professionisti e imprese individuali reperite in Internet senza aver preventivamente acquisito il consenso dei destinatari delle comunicazioni.

All’epoca (prima dell’entrata in piena applicazione del Regolamento generale sulla protezione dei dati, GDPR), la disciplina italiana prevedeva che:

• anche i dati riferiti a persone giuridiche potessero essere tutelati in ambito marketing;
• per l’utilizzo di recapiti telefonici a fini promozionali fosse necessario un consenso preventivo, salvo specifiche eccezioni.
  
  

Il Garante ha chiarito che:

• il fatto che i recapiti fossero pubblicamente reperibili su Internet non legittima automaticamente l’uso per finalità di marketing;
• la pubblicità del dato non equivale a consenso;
• il trattamento per finalità promozionali richiede una base giuridica autonoma.

Con l’entrata in vigore del GDPR e le modifiche al Codice Privacy (D.lgs. 196/2003), il quadro è parzialmente cambiato, soprattutto per quanto riguarda i dati delle persone giuridiche. Tuttavia:

• per professionisti e ditte individuali (in quanto persone fisiche) il GDPR si applica pienamente;
• le comunicazioni telefoniche per marketing restano soggette anche alla disciplina del Registro pubblico delle opposizioni.

La relazione annuale 2017 del Garante

Nella relazione sull'attività svolta nel 2017, il presidente Antonello Soro ha ribadito che tra i clienti che non avevano potuto manifestare il libero e specifico consenso per l'invio di comunicazioni automatizzate promozionali vi erano anche numerose persone giuridiche, che in base all'art. 130 del Codice continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate tramite e-mail, telefonate e SMS.

L'inapplicabilità del soft spam alle persone giuridiche

La disciplina del soft spam per le persone fisiche

L’articolo 130, comma 4, del Codice Privacy prevede un’eccezione al principio generale dell’opt-in per le sole comunicazioni via posta elettronica. Il titolare del trattamento può utilizzare, a fini di vendita diretta di propri prodotti o servizi, le email fornite dall’interessato in occasione dell’acquisto di un prodotto o servizio, senza richiedere il consenso, purché i prodotti o servizi promossi siano analoghi a quelli già acquistati e l’interessato sia stato informato e abbia la possibilità di opporsi a tale utilizzo.

L'esclusione delle persone giuridiche dal soft spam

Tuttavia, come evidenziato nelle Linee Guida del Garante, tale eccezione si applica alle sole persone fisiche, mancando uno specifico riferimento alle persone giuridiche nel dettato normativo. Questa lacuna implica che le imprese non possono avvalersi del meccanismo del soft spam quando il destinatario delle comunicazioni commerciali sia una persona giuridica, anche in presenza di un rapporto contrattuale pregresso.

Tale asimmetria rappresenta una delle criticità più rilevanti del sistema attuale, poiché penalizza le comunicazioni B2B rispetto a quelle B2C, pur in assenza di una giustificazione sostanziale legata alla protezione di diritti fondamentali.

Il caso specifico degli indirizzi E-mail nominativi aziendali

La questione degli indirizzi nome.cognome@società.com

Una particolare complessità sorge quando il destinatario della comunicazione commerciale sia titolare di un indirizzo di posta elettronica aziendale contenente le sue generalità, secondo lo schema "nome.cognome@società.com". In tali casi, come precisato dal Gruppo Art. 29 nei pareri n. 4/1997 e n. 5/2004, l'indirizzo e-mail deve essere qualificato come dato personale del dipendente cui è assegnato.

I criteri interpretativi del Gruppo Art. 29

Il Gruppo di Lavoro Articolo 29 ha elaborato tre criteri per determinare se un'informazione relativa a una persona giuridica debba essere considerata come "concernente" una persona fisica:

• il criterio del contenuto (l'informazione riguarda una persona fisica identificabile),
• il criterio della finalità (l'informazione è utilizzata per valutare, trattare o influenzare una persona fisica),
• il criterio del risultato (l'utilizzo dell'informazione produce effetti su una persona fisica).

Applicando tali criteri, gli indirizzi e-mail nominativi aziendali vanno considerati indirizzi "personali" di posta elettronica, e i loro rispettivi assegnatari come "interessati" ai sensi della normativa sulla protezione dei dati personali, con la conseguente applicabilità dell'intero impianto di diritti e tutele previsto dal GDPR.

Le implicazioni operative

Questa qualificazione comporta che l'invio di comunicazioni commerciali a indirizzi e-mail nominativi aziendali deve rispettare cumulativamente tanto le disposizioni dell'articolo 130 del Codice Privacy (relative alla protezione del contraente persona giuridica) quanto le previsioni del GDPR in materia di trattamento di dati personali (relative alla protezione della persona fisica titolare dell'indirizzo).

Il diritto di opposizione al marketing diretto nel GDPR

L'articolo 21, paragrafo 2, del GDPR

Il Regolamento (UE) 2016/679 prevede all'articolo 21, paragrafo 2, che qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

Il paragrafo 3 del medesimo articolo stabilisce che qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità. Si tratta di un diritto assoluto, non soggetto a bilanciamento con eventuali interessi legittimi del titolare del trattamento.

La portata del diritto di opposizione

Il considerando 70 del GDPR chiarisce che l'interessato dovrebbe avere il diritto, in qualsiasi momento e gratuitamente, di opporsi al trattamento per finalità di marketing diretto, sia con riguardo a quello iniziale o ulteriore. Tale diritto dovrebbe essere esplicitamente portato all'attenzione dell'interessato e presentato chiaramente e separatamente da qualsiasi altra informazione.

Il Manuale per i Responsabili della Protezione dei Dati (RPD) elaborato nell'ambito del progetto T4DATA evidenzia che la Direttiva sulla protezione dei dati del 1995 già garantiva alle persone interessate il diritto incondizionato di opporsi all'uso di qualsiasi dato personale a scopo di marketing diretto, intendendosi per marketing ogni tipo di marketing, di natura commerciale, politica o di altro genere.

I rimedi disponibili per le persone giuridiche

L'esclusione dai rimedi amministrativi

Un aspetto critico della disciplina attuale riguarda i rimedi esperibili dalle persone giuridiche destinatarie di comunicazioni commerciali non sollecitate. A seguito delle modifiche normative introdotte dal D.L. n. 201/2011, le persone giuridiche non possono più qualificarsi come "interessati" ai sensi del Codice Privacy e, conseguentemente, non possono più presentare segnalazioni, reclami o ricorsi al Garante, né esercitare i diritti di cui agli articoli 7 e seguenti del Codice.

I rimedi civilistici e penali

Le persone giuridiche destinatarie di spamming possono tuttavia esperire presso l'autorità giudiziaria ordinaria rimedi civilistici quali l'azione inibitoria e l'azione di risarcimento del danno. Inoltre, qualora ricorrano gli elementi costitutivi dell'articolo 167 c.p. (trattamento illecito di dati), possono sporgere denuncia e attivare un procedimento penale con le relative sanzioni.

Inoltre, le persone giuridiche possono beneficiare dell'eventuale esercizio dei poteri di iniziativa ex officio del Garante, sotto forma di provvedimenti inibitori, prescrittivi e/o sanzionatori, qualora emergano i presupposti di un possibile trattamento illecito di dati.

prospettive future: la proposta di Regolamento e-Privacy

Il progetto di e-Regulation

Il quadro normativo descritto è destinato a evolversi con l'adozione del Regolamento e-Privacy, attualmente in fase di negoziato tra le istituzioni europee. La proposta della Commissione prevede all'articolo 16(1) che "Natural or legal persons shall be prohibited from using electronic communications services for the purposes of sending direct marketing communications to end-users who are natural persons unless they have given their prior consent".

Questo significa che chiunque (persona fisica o giuridica) voglia inviare comunicazioni di marketing diretto tramite servizi di comunicazione elettronica (es. email, SMS, messaggistica istantanea basata su telecomunicazioni) non può farlo senza il consenso preventivo dei destinatari, qualora siano persone fisiche.

La norma citata è ancora parte di una proposta di regolamento (e?Privacy), che è in fase di negoziazione tra Parlamento Europeo, Consiglio e Commissione, e non è ancora entrata in vigore.

Pertanto, il testo può subire modifiche e non ha effetto di legge finché non sarà definitivamente approvato.

Le novità per le persone giuridiche

Un elemento di particolare interesse è contenuto nell'articolo 16(5) della proposta, che ammette il ricorso a forme di soft spam nei confronti tanto di persone fisiche che giuridiche, purché venga assicurato che gli interessi legittimi delle persone giuridiche oggetto di forme di marketing siano sufficientemente tutelati.

Tale previsione, se confermata nel testo finale del Regolamento, introdurrebbe una significativa semplificazione per le attività di marketing B2B, allineando il trattamento delle persone giuridiche a quello delle persone fisiche con riferimento al meccanismo del soft spam.

Il Manuale T4DATA evidenzia che la proposta di e-Regulation prevede inoltre norme semplificate per i cookie, protezione anti-spam e un'applicazione più efficace delle norme sulla riservatezza, affidata alle autorità di protezione dei dati che già vigilano sull'applicazione del GDPR.

Indicazioni operative per le imprese

Le comunicazioni consentite senza consenso

Sulla base dell'analisi normativa condotta, le imprese possono svolgere attività di marketing verso persone giuridiche senza consenso preventivo esclusivamente attraverso comunicazioni non automatizzate, quali le chiamate telefoniche con operatore che non siano dirette a numeri iscritti nel Registro Pubblico delle Opposizioni, ovvero comunicazioni postali tradizionali, fermo restando il rispetto del diritto di opposizione.

Le comunicazioni soggette a consenso

Richiedono invece il consenso preventivo del destinatario persona giuridica le comunicazioni effettuate tramite sistemi automatizzati di chiamata, i messaggi di posta elettronica, i messaggi SMS e MMS, i telefax e qualsiasi altra comunicazione elettronica automatizzata avente finalità promozionali.

La gestione degli indirizzi e-mail nominativi

Quando la comunicazione è diretta a un indirizzo e-mail nominativo aziendale, l'impresa mittente deve considerare il dipendente assegnatario come "interessato" ai sensi del GDPR, con conseguente necessità di fornire l'informativa privacy ai sensi dell'articolo 13 o 14 del Regolamento, garantire l'esercizio dei diritti di cui agli articoli 15-22 del GDPR, acquisire il consenso per il trattamento, ove questo costituisca la base giuridica appropriata, e rispettare tutti i principi di cui all'articolo 5 del Regolamento.

Conclusioni

La disciplina delle attività di marketing rivolte alle persone giuridiche si presenta come un sistema complesso. È caratterizzata dalla sovrapposizione di normative di diversa derivazione e dalla coesistenza di regimi differenziati in funzione del canale comunicativo utilizzato e della natura del destinatario.

Il principio fondamentale che emerge dall’analisi è che, contrariamente a quanto potrebbe suggerire la natura esclusivamente “personale” del GDPR, le persone giuridiche godono comunque di una tutela significativa nei confronti delle comunicazioni commerciali non sollecitate. Tale tutela deriva dall’articolo 130 del Codice Privacy, che recepisce le disposizioni della Direttiva e?Privacy.

Le imprese che operano nel settore B2B devono pertanto adottare un approccio prudenziale, privilegiando l’acquisizione del consenso preventivo per le comunicazioni elettroniche automatizzate e prestando particolare attenzione alla gestione degli indirizzi e-mail nominativi aziendali. Questi ultimi comportano l’applicazione cumulativa della disciplina sulle comunicazioni elettroniche e del GDPR, con tutti gli obblighi informativi e di tutela dei diritti degli interessati.

L’attesa adozione del Regolamento e?Privacy potrebbe introdurre elementi di semplificazione, in particolare mediante l’estensione del meccanismo del soft spam alle persone giuridiche. Tuttavia, allo stato attuale, le imprese sono tenute a conformarsi al regime più rigoroso previsto dalla normativa vigente.