Da quando internet è divenuto uno strumento per la comunicazione di massa, quello delle mailing list è certamente uno degli strumenti più apprezzati per promuovere attività commerciali; sicuramente meno invadente delle invasive telefonate ma che può comunque ugualmente rivelarsi fastidioso per i destinatari. Il GDPR ovviamente va a influenzare questo sistema e gli operatori marketing non potranno non tenerne conto, specialmente laddove si consideri che già numerose sanzioni sono state elevate in Europa per violazioni della privacy e del GDPR stesso.

Del resto possiamo assumere come fatto notorio che ogni azienda ha nella sua disponibilità archivi e database con innumerevoli indirizzi mail, ottenuti ben prima dell’entrata in vigore del GDPR utilizzando le fonti più disparate: eventualmente anche acquistandoli da aziende specializzate nella raccolta dati. Tutto ciò deve adesso fare i conti con il Regolamento 679/2016 che impedisce l’invio indiscriminato di mail pubblicitarie o con offerte anche a tutti coloro che, ad esempio, avevano lasciato un biglietto da visita ad una fiera o ad un evento, ovvero si erano semplicemente registrati ad una conferenza. Laddove in questi contesti l’azienda non abbia ottenuto un regolare consenso all’invio, accompagnato dall’informativa che autorizza un determinato trattamento del dato, ogni attività di marketing o inserimento in mailing list, è preclusa.

È prassi comune, ed anche questo è fatto notorio, quella di ricevere il giorno dopo la partecipazione ad un evento, comunicazioni di ringraziamento o offerte di servizi o collaborazione, quasi mai richieste. La distinzione tra un invio individuale e una mail collettiva è in tal senso fondamentale: mentre il primo può essere ammissibile, la seconda viola i principi del GDPR, in quanto la consegna di un biglietto da visita non autorizza chi lo riceve a crearsi una mailing list e, non dimentichiamolo mai, si deve sempre essere in grado di dimostrare il consenso ottenuto.

Lo stesso principio vale per eventi aziendali, convegni e fiere, dove ad ogni desk o postazione troviamo un contenitore dove lasciare biglietti da visita o moduli di registrazione.

Lo stesso principio vale per i clienti o i contatti che ogni azienda o professionista ha e che, verosimilmente, risalgono a una data anteriore all’entrata in vigore del GDPR. Anche per questi l’inserimento in una mailing list o l’invio di offerte e comunicazioni personalizzate deve essere espressamente autorizzato e se ne deve avere la prova, pena il rischio di una sanzione da parte dell’autorità garante.

Anche se, sull’argomento, il GDPR il considerando 47, sembra offrire uno spazio alle aziende per poter utilizzare i dati dei propri clienti e fornitori per un loro utilizzo a fini di marketing, la norma lascia intendere che deve prevalere comunque il diritto dell’interessato ad un uso pertinente e non indiscriminato del dato stesso. Non solo. Tra le norme sopravvissute del D. Lgs. 196/2003, abbiamo l’art. 130 che, al quarto comma, limita l’invio di comunicazioni telematiche alla propria clientela esclusivamente a quelle di servizi analoghi di una vendita, sempre che il destinatario, ancora debitamente informato, non si sia opposto a tale invio. L’esperienza ci dice che molte aziende hanno poca dimestichezza con questa norma.

In ogni caso, e anche questo aspetto sembra che molte aziende opportunamente lo dimentichino, il GDPR esclude espressamente che si possa in alcun modo utilizzare il principio del silenzio assenso che, viceversa, pur essendo un istituto del diritto amministrativo, viene fin troppo spesso applicato inopportunamente alle pratiche commerciali da parte di non poche aziende. Un comportamento che può essere sanzionato dal Garante, così come l’uso di dati reperiti su banche dati pubbliche e sui social: l’indicazione dei propri contatti, non costituisce implicita autorizzazione all’invio di pubblicità. Ciò di cui ogni Titolare deve tenere presente è, e rimane, la finalità del proprio invio e ogni finalità deve ricevere uno specifico consenso da parte del destinatario.