Nuovo codice di condotta per il marketing dell’AEPD spagnola, un esempio di soft law - Riskmanagement

Normative europee

Nuovo codice di condotta per il marketing dell’AEPD spagnola, un esempio di soft law

I titolari che utilizzano i dati personali a fini pubblicitari potrebbero riesaminare i propri trattamenti alla luce di quanto indicato nel “Código de conducta tratamiento de datos en la actividad publicitaria” per una maggiore sicurezza

29 Dic 2020

Andrea Michinelli

avvocato, FIP, LA ISO 27001:2013, studio legale d’Ammassa & Partners

Per la prima volta, l’autorità di controllo spagnola AEPD (Agencia Española de Protección de Datos) ha pubblicato un codice di condotta ai sensi di quanto previsto dall’art. 40 GDPR, intitolato “Código de conducta tratamiento de datos en la actividad publicitaria”.

Precisiamo da subito che tale codice non ha valenza per il territorio italiano, almeno al momento: le cose potrebbero cambiare qualora fosse proposta una sua estensione generale al territorio comunitario. Considerando che l’associazione proponente (denominata “Autocontrol” e che rappresenta i maggiori esercenti del settore pubblicitario in Spagna) è radicata nel solo territorio spagnolo, lo scenario appare poco probabile. Potrebbe comunque essere preso a esempio da altre associazioni di settore in altri territori, per proporre analoghi codici locali – segnaliamo che l’operazione di Autocontrol si inserisce in un più esteso framework costruito in Spagna per auto-regolamentare il settore. Uno sforzo non da poco in un settore che anche in Italia è sempre in discussione, come i numerosi provvedimenti sanzionatori anche italiani confermano e che meriterebbe di essere imitato.

aepd

A cosa servono i codici di condotta

In breve, ricordiamo che l’approvazione di codici di condotta ex art. 40 GDPR da parte delle autorità di controllo permette di focalizzare in maniera più precisa e definita l’accountability, rappresentando una ricetta specifica per la compliance: i soggetti aderenti (il codice è facoltativo e prevede una procedura formale di adesione) saranno monitorati da un ente terzo (nel caso di specie si tratta del Jurado de la Publicidad, assimilabile al nostrano IAP – Istituto dell’Autodisciplina Pubblicitaria) quanto all’aderenza al codice. Gli aderenti saranno eventualmente sanzionati per possibili violazioni del codice sottoscritto (anche ad es. a seguito di reclamo da parte di interessati). Ciò significa che tali aderenti potranno dimostrare, con uno strumento più preciso, il rispetto degli obblighi posti a loro carico dalla normativa (art. 24.3 GDPR). Nonostante ciò non viene ridotta in alcun modo la responsabilità in caso di illeciti. Ergo: in sede di valutazione di eventuali violazioni, l’autorità di controllo (ex art. 83.1 lett. j) GDPR) pondererà, tra l’altro, l’adesione a un codice di condotta, nel bene e nel male. Si tratta di un aspetto che potrà pesare, in un futuro non lontano, ad es. in sede di gare pubbliche, selezione e qualificazione dei fornitori, ecc.

Ricordiamo infine che anche il Garante italiano ha adottato nel nostro territorio alcuni codici di condotta, per ora solo in materia di informazioni commerciali e di sistemi informativi in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (c.d. SIC). Non ha approvato alcun codice nell’ambito marketing, né sussistono codici di applicazione comunitaria in tal senso.

Il Codice marketing approvato dall’AEPD: la base di trattamento consensuale

Esaminiamo l’operato degli spagnoli. Oltre a richiamare alcuni principi generali noti e cogenti per tutti (come quelli all’art. 5 GDPR), il codice fornisce vari dettagli ed esemplificazioni stimolanti soprattutto circa le basi di trattamento. Richiamiamo qui pure i provvedimenti del Garante italiano per un confronto, tuttora vigenti, come le Linee guida in materia di attività promozionale e contrasto allo spam” del 2013 e Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto” sempre del 2013.

Anzitutto la tipica base di trattamento a fine pubblicitario è quella consensuale (art. 7.2.1. del codice). Qui di rilevante troviamo le specifiche sull’online, per cui si ammette come valido un consenso mediante checkbox di opt-in oppure con lo spostamento di una barra di selezione, sempre che vi sia una informazione preventiva e chiara sull’effetto che tali azioni comportano. Si aggiunge che il consenso per il trattamento dei dati, in ambito contrattuale, va sempre nettamente separato – soprattutto sotto l’aspetto visivo e di layout – da altri aspetti come quelli contrattuali e di servizio, con apposito spazio di raccolta del consenso.

Quanto alla comunicazione a terzi dei dati, viene confermata la necessità di un consenso specifico, informando circa i destinatari e i prodotti/servizi oggetto delle comunicazioni. L’identificazione di tali terzi è ammessa anche de relato, ad es. rimandando con un link ad apposita pagina web del titolare ove reperire l’elenco aggiornato. Tale indicazione risulta di grande utilità pratica, se consideriamo che i terzi in questione potrebbero mutare nel tempo frequentemente, senza necessitare un aggiornamento volta per volta dell’intera informativa: basterà una pagina dedicata, meglio se storicizzata (ad es. con uno storico dell’elencazione), per capire i mutamenti occorsi nel tempo.

WHITEPAPER
Zero-trust Network Access: come vedere, controllare e proteggere ogni risorsa?
Sicurezza dei dati

Circa la profilazione, si precisa che è ammesso un unico consenso, sempre specifico, che comprenda sia l’elaborazione di profili che la realizzazione e comunicazione dei messaggi pubblicitari. Il testo di raccolta del consenso può recitare così: “Acconsento all’invio di comunicazioni pubblicitarie basate sul profilo elaborato sulla base dei miei interessi circa i vostri prodotti e servizi”.

Codice AEPD: la base di trattamento interesse legittimo

Veniamo alla base più problematica e discussa in ambito pubblicitario, disciplinata all’art. 7.2.2 del codice, e considerata generalmente alternativa a quella consensuale, pur se ammessa in maniera restrittiva dalle autorità di controllo. Quanto previsto dal codice dell’AEPD può essere inteso, anche al di fuori della Spagna, quale best practice che le autorità di controllo comunitarie, compreso il Garante italiano, dovranno tenere in debito conto e paiono dunque difficili da contraddire.

Il codice ribadisce che, sempre e comunque, l’uso di tale base comporta la necessità di apposita LIA (test di ponderazione degli interessi da bilanciare, come può avvenire con la procedura proposta dall’ICO inglese, a cura e onere del titolare. In particolare, il test dovrà considerare tra i vari fattori la frequenza degli invii pubblicitari, aspetto peculiare del settore e che può risultare di particolare invasività della sfera dell’interessato.

Dopodiché il codice propone alcuni casi per cui si presume – salvo prova contraria – che sussista un interesse legittimo del titolare (ribadendo quanto già detto circa la LIA): anzitutto nel caso del nostrano c.d. soft-spam (incluso nel nostro Codice per la protezione dei dati personali all’art. 130 comma 4[1]), qui però riprodotto senza restringerlo allo strumento dell’email. Si aggiunge che la similarità dei prodotti/servizi promossi si deve rinvenire nella tipologia di prodotti/servizi, oltre che nel settore di attività (ad es. alimentazione, prodotti bancari, ecc.).

Di frequente applicazione è il successivo caso, per cui il codice ammette la possibilità di inviare comunicazioni pubblicitarie – sempre dirette a clienti e per prodotti/servizi similari – relative a prodotti/servizi di terzi, purché siano altre società del medesimo gruppo imprenditoriale a cui appartiene il titolare. Badando che non avvenga comunicazione infragruppo di tali dati – su base interesse legittimo sia chiaro, ben essendo possibile utilizzare un consenso specifico, come detto sopra.

Infine, il caso più articolato: ampliando quello appena detto – ovvero la comunicazione infragruppo – consentendo la comunicazione dei dati alle altre società, purché al momento della raccolta dei dati vi sia una checkbox di opt-out per l’interessato, così da potersi opporre immediatamente. Il che pare suggerire, a converso, che negli altri casi non sia necessario apporre tale checkbox; ci si limiterà a fornire, in tutte le comunicazioni pubblicitarie successive, un meccanismo di opposizione (si pensi ad es. al tradizionale link di “unsubscribe” inserito nelle newsletter).

Codice AEPD: attenzione alle informative

Non è finita qui, il codice spagnolo dell’AEPD affronta la fase informativa fornendo altre preziose indicazioni. Viene ribadito che nel contesto digitale è necessario adattare testi multistrato, con i vari punti consultabili con un click, favorendo la leggibilità in dispositivi mobile. Sono possibili altre tecniche, sempre con l’obiettivo di favorire la trasparenza senza affaticare l’interessato.

Viene poi affrontato il caso di modifica sostanziale delle informative per trattamenti già in corso: in questo frangente, il codice prescrive di ri-comunicare l’informativa segnalando quali modifiche siano intervenute, ad es. utilizzando il grassetto o altro layout idoneo.

Quanto alla comprensibilità per gli interessati, si rimarca che se la platea comprende soggetti con un diverso grado di comprensione (es. adulti e minori), si debba valutare l’opportunità di un’informativa unica (ritenuta comprensibile uniformemente) oppure di redigerne più versioni a seconda del target di interessati.

aepd

Cenni ai cookie

Inevitabile pensare ai cookie nel settore del marketing, quale strumento principe nel mercato odierno con tutte le complessità e i rischi per il trattamento dei dati che essi comportano. All’art. 7.6 il codice chiarisce che il loro uso, a fini di marketing, da parte degli aderenti deve essere basato sul consenso, escludendo perciò il legittimo interesse. Ciò non va inteso nel senso che il legittimo interesse sia da escludere in assoluto per l’uso dei cookie, tuttavia è evidente lo sfavore per tale ipotesi, dato che gli aderenti al codice non potranno farvi ricorso.

La procedura ADR in caso di controversie

Chiude il codice dell’AEPD la parte più corposa, dedicata a istituire una procedura di risoluzione stragiudiziale delle controversie che possono sorgere tra aderenti del codice e interessati quanto all’attività pubblicitaria e relativo uso dei dati personali. La procedura sarà gestita dal Autocontrol, deputata a ricevere e gestire le segnalazioni da parte degli interessati, con possibile “reclamo” al Jurado de la Publicidad e segnalazione all’AEPD. L’iter è doviziosamente trattato nel codice. Si tratta di un meccanismo che si spera possa decongestionare i ricorsi all’autorità di controllo, spostandoli su un organo dedicato e specializzato.

Conclusioni

In breve, il codice dell’AEPD rappresenta un esempio di utilissima soft law adottabile anche al di fuori della Spagna, intendendolo quale best practice. I titolari che utilizzano i dati personali a fini pubblicitari potranno riesaminare i propri trattamenti alla luce di quanto qui indicato e trovare maggior sicurezza nei propri ragionamenti, maggior tranquillità in caso di ispezioni o contestazioni, potendosi appoggiare a logiche già supportate dall’autorevole AEPD spagnola. Autorità che ha soppesato sia gli interessi delle persone fisiche che delle società operanti nel mercato, onde rinvenire criteri di equilibrio che in sede privata – pur a due anni dall’applicazione del GDPR – non è affatto semplice tarare, come sanno tutti i consulenti e DPO chiamati a svolgere tali delicati equilibrismi di valutazione.

  1. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.

@RIPRODUZIONE RISERVATA
M
Andrea Michinelli
avvocato, FIP, LA ISO 27001:2013, studio legale d’Ammassa & Partners
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
G
GDPR

Articolo 1 di 5