Data privacy

Iniziative Invita un amico: normativa applicabile e loro impostazione in concreto

Queste campagne promozionali sono sempre più diffuse. Ma si tratta di pratiche che rispettano le leggi vigenti in materia di protezione dei dati? E come è possibile tentare di renderle conformi? Gli accorgimenti da adottare per la mitigazione del rischio

Pubblicato il 13 Dic 2022

Francesca Lonardo

Partner, P4I - Partners4Innovation

Riccardo Giacobbi

Legal Consultant, P4I - Partners4Innovation

Nella pratica del marketing sono particolarmente comuni le campagne cosiddette invita un amico.

Le modalità non sono sempre le stesse ma, di regola, si tratta di iniziative in cui l’organizzatore “stimola” un soggetto con cui ha un determinato rapporto (un cliente, un rivenditore, un agente, un candidato…) – dietro la promessa di un premio (es. uno sconto) – a inviare una comunicazione commerciale – via e-mail, SMS, instant message, messaggio tramite app, etc. – ad un proprio “amico” invitandolo a compiere un’azione specifica (ad es. registrarsi ad un sito, acquistare un prodotto, scaricare un’app).

Ma tali iniziative possono dirsi conformi alla normativa vigente?

Per valutarne la legittimità, è necessario innanzitutto accertare se la comunicazione inviata all’“amico” possa considerarsi una comunicazione “personale” del mittente oppure se, in quanto “stimolata” dall’organizzatore, comporti il trattamento, da parte di quest’ultimo, dei dati personali dell’amico.

Invita un amico, disciplina in materia di protezione dei dati personali ed “esenzione domestica”

In tale secondo caso, saranno applicabili la normativa in materia di protezione dei dati personali, cioè il regolamento (UE) 2016/679 (“GDPR”), nonchè la direttiva 2008/58/CE (“direttiva e-privacy”) e le relative disposizioni di attuazione.

WHITEPAPER
Firme digitali e contrattualistica: sei sicuro di rispettare a pieno la normativa?
Dematerializzazione
Digital Transformation

Laddove tale normativa sia applicabile, l’organizzatore, in qualità di titolare, dovrà in primis individuare un’idonea base giuridica su cui fondare il trattamento.

Come noto, l’art. 6 del GDPR prevede 6 condizioni di legittimità astrattamente applicabili, mentre l’art. 13.1 della direttiva e-privacy e le relative disposizioni di recepimento a livello domestico (art. 130, comma 2 del Codice Privacy), richiedono, per legittimare le comunicazioni inviate tramite strumenti automatizzati per finalità di direct marketing, esclusivamente il consenso dell’interessato.

Poiché tali ultime disposizioni prevalgono, in quanto lex specialis, sulle disposizioni (più generali) del GDPR, la loro applicazione comporta che il titolare del trattamento non possa “fare affidamento sull’intera gamma di condizioni di liceità di cui all’articolo 6” del GDPR[1] (e, quindi, ad esempio, ricorrere all’interesse legittimo), ma sia tenuto a raccogliere il consenso dell’interessato.

La normativa in materia non si applicherebbe, però, qualora la comunicazione fosse qualificabile come “personale”. Difatti, l’art. 2, par. 2 del GDPR stabilisce che “il presente regolamento non si applica ai trattamenti di dati personali: […] effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”.

Invita un Amico, le posizioni delle autorità di settore

In proposito, il Gruppo dei Garanti Europei (WP29)[2], nel parere sui social network n. 5 del 2009, nell’analizzare una casistica analoga a quella che ci occupa (ossia quando il social network permette agli utenti di inviare inviti a terzi), ha specificato i criteri che devono sussistere  per poter ricorrere alla cd. “household exemption e cioè:

  1. no incentive is given to either sender or recipient;
  2. the provider does not select the recipients of the message;
  3. the identity of the sending user must be clearly mentioned;
  4. the sending user must know the full content of the message that will be sent on his behalf”.

Il suddetto parere – secondo cui i meccanismi di “Invita un Amico” comportano l’invio di un messaggio qualificabile come “comunicazione personale” se soddisfano le quattro condizioni prima riportate – è richiamato recentemente dal Garante belga, nella pronuncia del 14 maggio 2020.
Tale pronuncia è particolarmente rilevante, in quanto ha valenza generale sul territorio dell’Unione Europea, essendo frutto della cooperazione di tutti le autorità europee (inclusa quella italiana).

L’authority ha sanzionato un social network per aver trattato dati di non-utenti (raccolti dalle liste di contatti personali dell’invitante) in assenza di idonea base giuridica. L’autorità belga, in particolare, ha escluso la possibilità per il social network di ricorrere alla base giuridica dell’interesse legittimo e ritenuto necessario il previo consenso dell’invitato. Tale consenso non potrebbe essere prestato, per conto di quest’ultimo, dall’invitante. Su questo punto, l’Authority rinvia ad un documento dell’autorità olandese su WhatsApp: “Whatsapp users cannot give (unambiguous) consent on behalf of the non-users in their address book for a processing by WhatsApp of their contact details, without being authorized by the non-users involved. Only the non-users involved (or their legal representatives) can give such consent”.

L’intervento del Garante italiano e della Cassazione

Sul tema del “referenziati” (seppur con riguardo agli operatori telefonici) è intervenuto anche il Garante italiano[3], affermando che “il terzo “referenziante” non è (di regola) legittimato a prestare alcun valido consenso in luogo dell’interessato, destinatario della chiamata”.

Si tenga conto che il problema dell’ottenimento del consenso dell’invitato non può essere risolto nemmeno inviandogli una comunicazione con cui raccoglierne l’autorizzazione; in proposito, la Cassazione[4] ha evidenziato che l’invio di una comunicazione con cui si richiede il consenso ad effettuare successive attività di marketing è già essa stessa “comunicazione commerciale” (il cui invio sarebbe privo, dunque, della condizione di liceità).

Invita un amico, modalità per rendere conformi questi meccanismi

Di conseguenza, per rendere leciti i meccanismi di cui si discute, seguendo quanto indicato nel parere del WP29 richiamato dal Garante belga, l’organizzatore:

  1. non dovrebbe selezionare il destinatario del messaggio
  2. dovrebbe fare in modo che l’identità del mittente sia chiaramente indicata e che il mittente sia consapevole dell’intero contenuto del messaggio che sarà inviato per suo conto
  3. non dovrebbe prevedere alcun incentivo né per il mittente né per il destinatario.

La presenza di tale incentivo, quindi, non consente di qualificare l’invio del messaggio da parte del mittente come una “comunicazione personale” e, quindi, alla Società di beneficiare della “esenzione domestica” sopra illustrata. E ciò nemmeno se l’iniziativa preveda che sia l’amico, di sua sponte, a fornire i propri dati, cliccando su un link ricevuto dal mittente tramite un’e-mail “pre-confezionata” dall’organizzatore.

Nonostante tale accorgimento, non è possibile sostenere che, in tale ipotesi, l’organizzatore sia estraneo al trattamento dei dati del terzo (”amico”). Difatti, non solo “delega” l’invio della comunicazione commerciale al proprio cliente (di fatto somministrandogli istruzioni o comunque lo strumento, es. il messaggio prestabilito), ma lo “incentiva” a farlo con la promessa di una premialità, al fine di ottenere un certo vantaggio (es. un nuovo cliente).

In merito, a nulla rileva che l’organizzatore non abbia accesso ai dati oggetto del trattamento. Difatti, come posto in risalto dal Comitato Europeo per la protezione dei dati nelle linee guida sui ruoli privacy, un soggetto che definisce in concreto la finalità del trattamento, oltreché i suoi “essential means”, esercitando sugli stessi un’influenza determinante, è da ritenersi titolare del trattamento ex art. 4, n. 7 del GDPR, anche se non ha alcun accesso ai dati.

I nodi del consenso e dell’incentivo

Se la comunicazione del mittente non può essere considerata una comunicazione “personale”, l’organizzatore, quale titolare del trattamento dei dati dell’amico, dovrà ricorrere ad idonea condizione di liceità che, come sopra sottolineato, non può che essere il consenso dell’interessato.

Il problema è che in fattispecie come quelle in esame, è materialmente impossibile ottenere il consenso dall’amico, che di regola è un soggetto “sconosciuto” per l’organizzatore.

Né sarebbe risolutivo, in proposito, far dichiarare al mittente di agire con il consenso di quest’ultimo dato che, per le ragioni spiegate sopra, non è possibile raccogliere il consenso da un terzo che lo rilascia per conto dell’interessato.

Pertanto, se raccogliere il consenso del destinatario è impossibile, le iniziative in questione potrebbero essere considerate illecite.

Per rendere tali campagne promozionali conformi, bisognerebbe eliminarne l’incentivo, circostanza che, però, ne ridurrebbe drasticamente le probabilità di successo.

Invita un amico, accorgimenti pratici per la mitigazione del rischio

Vari operatori, pertanto, al presumibile fine di evitare rischi sanzionatori, utilizzano altri accorgimenti. In particolare, si limitano a mettere a disposizione del soggetto “invitante” un codice alfanumerico, che l’amico “invitato”, contattato con le modalità scelte dall’invitante, potrà usare in sede di registrazione/acquisto/attivazione/ecc., con il conseguente ottenimento del premio da parte di uno o di entrambi.

Alcuni di questi ricorrono all’ulteriore accorgimento di prevedere nel regolamento dell’iniziativa l’obbligo dell’invitante di usare il codice esclusivamente per scopi personali (e non commerciali), condividendolo solo con persone conosciute (astenendosi, ad es., dall’effettuare invii massivi del codice o dal distribuirlo pubblicamente).

Siffatta impostazione permette di diminuire il rischio che (i) l’organizzatore sia considerato parte “attiva” del trattamento e che (ii) l’attività in questione sia qualificata come una “comunicazione commerciale” di quest’ultimo, anche se la presenza dell’incentivo non consente di eliminarlo in toto.

Note:

  1. Come precisato dall’EDPB nelle linee guida sull’interazione tra direttiva e-privacy e GDPR.
  2. Gruppo di lavoro “Articolo 29” organismo ora sostituito dal Comitato Europeo per la protezione dei dati (EDPB), che si occupa dell’interpretazione a livello europeo della normativa in materia di privacy, fornendo raccomandazioni, pareri e linee guida.
  3. Nei provvedimenti nn. 235 del 18 aprile 2018 e 7 del 15 gennaio 2020.
  4. Nelle sent. nn. 9920/2022 e 11019/2021.
WHITEPAPER
Uso razionale dell’energia: tra bisogno urgente e apprezzata responsabilità sociale
Legal
Manifatturiero/Produzione
@RIPRODUZIONE RISERVATA

Valuta questo articolo

La tua opinione è importante per noi!

Francesca Lonardo
Partner, P4I - Partners4Innovation

Avvocato specializzato in diritto delle nuove tecnologie, area nella quale ha maturato un'esperienza ventennale, presta consulenza in ambito Privacy e ICT Law e svolge il ruolo di DPO per diverse aziende. È relatrice in webinar, convegni, master e corsi di formazione, nonché autrice di articoli giuridici nelle materie di competenza

Riccardo Giacobbi
Legal Consultant, P4I - Partners4Innovation

Avvocato, Legal Consultant in P4I, ha sviluppato la propria esperienza specialmente negli ambiti del diritto civile, IT law e compliance, con particolare riguardo alla Data Protection, sia nel privato, presso primari studi legali di Milano, sia nel pubblico, presso la Camera di Commercio di Milano, Monza Brianza e Lodi

Articolo 1 di 4