Sull’invito ad eventi formativi presso lo studio di colleghi devono osservarsi i principi espressi dal provvedimento del Garante n. 52 [doc. web n. 7810723].

Il caso. Un avvocato ha manifestato la propria volontà di non ricevere più sulla propria casella di posta elettronica ordinaria l’invito da parte di uno studio di colleghi che organizza eventi formativi settimanali gratuiti accreditati presso l’Ordine. Sul punto, come noto, il Garante col provvedimento n. 52 (doc. web n. 7810723) ha vietato ad una società, e all’associazione ad essa collegata, l’invio di e-mail promozionali a liberi professionisti, utilizzando gli indirizzi PEC. In quel caso il trattamento è stato ritenuto illecito e l’Autorità ha rilevato oltre che la mancanza del consenso, la violazione del Codice dell’Amministrazione Digitale (d.lgs. n. 82/2005), ma in questo caso le circostanze presentano elementi differenti perché (i) l’invito è effettuato da colleghi ad altri colleghi (ii) l’evento è gratuito ed evidentemente non è il core business del soggetto da cui promana l’invito.

Il consenso come elemento dirimente. Anche nei casi di marketing “tra professionisti”, come nel caso di un avvocato che utilizza una mailing list composta da indirizzi di altri professionisti per invitarli ad eventi formativi organizzati dal proprio studio, è necessario prestare la dovuta attenzione alla finalità per cui il dato personale viene trattato.

Nel caso di specie, infatti, deve considerarsi che se l’indirizzo e-mail del destinatario dell’invito è stato fornito in passato a seguito di un contatto per una finalità diversa da quella della partecipazione ad eventi formativi, si dovrebbe chiedere il consenso per l’invio di inviti ad eventi. Una soluzione pragmatica ed efficace potrebbe essere predisporre la possibilità di cancellazione one-click (c.d. opt-out). Questo se si considera che il dato personale era stato fornito in precedenza per scopi diversi e quindi, a scanso di qualsiasi equivoco, si voglia mettere l’interessato nella condizione di prestare il proprio consenso per lo specifico trattamento a fini di marketing. D’altro canto, si deve osservare che, come noto, i dati personali (es. l’indirizzo di posta elettronica) che sono già stati resi pubblici dall’interessato (art. 9 GDPR) non li rende, solo per questo, utilizzabili da chiunque e per qualsiasi finalità, al contrario possono essere utilizzati solo per finalità compatibili con quelle che ne giustificano la presenza sulla fonte pubblica.

A diversa soluzione si perviene se si considera il trattamento dell’invito ad un evento tra professionisti come “soft spam”. Nel contesto aziendale si definisce soft-spam il caso in cui gli interessati siano già in contatto col titolare e questi utilizza i dati per inviare loro solo un tipo di comunicazione che riguarda essenzialmente la promozione di prodotti o servizi offerti analoghi a quelli già acquistati dall’interessato. Nel caso di soft-spam è ammesso l’invio di comunicazioni, in base ai legittimi interessi del titolare e non necessita il consenso, pur dovendosi garantire all’interessato la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente ed in modo semplice.

Nel caso di specie, invero, non si tratta di clienti cui inviare comunicazioni di natura promozionale, ma dell’utilizzo di un dato personale di cui lo studio è in possesso per ragioni professionali. Sul punto il Garante si è espresso nel già citato provvedimento n. 52 affermando che rispetto all´invio delle comunicazioni elettroniche in questione, considerato il loro contenuto promozionale (cfr. punto 5.1.a), i co-titolari del trattamento, avrebbero dovuto acquisire il consenso informato degli interessati ai sensi degli artt. 13, commi 1 e 4, 130, commi 1 e 2, e 23 del Codice (v. pure Linee guida in materia di spam del 4 luglio 2013, cit., in particolare punto 2.6). Quest’ultimo punto precisa che il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché documentato per iscritto (art. 23, comma 3 del Codice) ed è pertanto necessaria la presenza contestuale di tutti i menzionati requisiti, per ritenere tale trattamento conforme al codice.

In ultimo dunque sembrerebbe doversi preferire il primo inquadramento come attività di marketing per cui è necessario il consenso da parte dell’interessato per il trattamento del dato personale. Questo approccio prudenziale dovrebbe essere in grado di garantire la possibilità di non ricevere comunicazioni indesiderate da parte di colleghi.