Marketing e privacy: le indicazioni del codice di condotta spagnolo
Il Garante privacy spagnolo ha approvato il primo codice di condotta ai sensi dell’art. 40 GDPR (“Codice di Condotta”), avente ad oggetto il trattamento dei dati personali effettuato nel contesto di attività pubblicitarie, introducendo altresì un meccanismo di risoluzione extra-giudiziale delle controversie in tale ambito.
Il testo, elaborato da Autocontrol – Associazione per la autoregolamentazione nella comunicazione commerciale, è indirizzato a società operanti sul mercato spagnolo. Tuttavia, essendo il GDPR una normativa europea, alcune indicazioni ivi previste possono costituire degli spunti interessanti applicazione anche al di fuori del contesto degli aderenti al Codice di Condotta.
Il Codice di Condotta riporta, in particolare, alcune indicazioni operative in merito all’utilizzo dell’interesse legittimo quale base giuridica in materia di marketing.
Ai sensi del paragrafo 7.2.2 di tale codice, infatti, si presume, salvo prova contraria, che vi sia un legittimo interesse all’invio di pubblicità nei seguenti casi:
- quando la pubblicità è inviata dall’entità aderente ai suoi clienti e il suo oggetto sono i propri prodotti o servizi simili a quelli inizialmente contrattati. Al fine di valutare la somiglianza di prodotti o servizi, occorre prendere in considerazione la loro tipologia, tenendo conto del settore di attività (ad esempio, alimentare, bellezza e igiene, prodotti bancari e mezzi di pagamento ecc.);
- quando la pubblicità è inviata dall’entità aderente ai suoi clienti e l’obiettivo è prodotti o servizi appartenenti al gruppo aziendale dell’entità aderente simili a quelli inizialmente contrattati, senza alcuna comunicazione di dati alle altre entità;
- quando l’entità aderente comunica i dati dei propri clienti a entità appartenenti al proprio gruppo aziendale in modo che possano pubblicizzare i propri prodotti o servizi, a condizione che questi siano simili a quelli inizialmente contrattati dal cliente all’ente aderente. In tal caso, all’interessato deve essere fornita la possibilità di opporsi al momento della raccolta dei propri dati (ad esempio, spuntando una casella di opt-out).
In ogni caso, le entità aderenti al Codice di Condotta ed in generale, tutti i titolari del trattamento che intendano utilizzare tale base giuridica, devono valutare se il loro interesse prevalga sui diritti e sulle libertà fondamentali delle parti interessate nel caso specifico, documentando tale scelta.
In conclusione, risultano certamente interessanti gli spunti offerti dal Codice di Condotta, occorre tuttavia tenere in debita considerazione che in Italia il Garante Privacy si era già espresso sul tema della condivisione dei dati infragruppo con le sue linee guida antispam del 4 luglio 2013. Tali linee guida indicano la necessità di acquisire il consenso del soggetto interessato per la condivisione dei dati a soggetti terzi per loro finalità di marketing; questo anche quando i soggetti terzi – ai quali si intenda comunicare (o cedere) i dati raccolti per finalità di marketing – siano società controllate, controllanti, o comunque a vario titolo collegate con il soggetto che ha raccolto i dati personali degli interessati.