Il 16 settembre 2021 il Garante della Privacy ha pubblicato una ordinanza (n. 9705632), con la quale ha chiarito quali siano le regole da rispettare quando si svolge attività di spamming partendo dagli indirizzi di posta elettronica degli iscritti a LinkedIn.
Il provvedimento è interessante perché le regole e i principi che da esso si possono trarre non sono quelli già noti e già posti a presidio della liceità del social spamming ma costituiscono l’ultimo, rilevante risultato di una elaborazione specifica su uno degli strumenti di marketing più comuni e di più semplice attuazione. La sua rilevanza è stata peraltro sottolineata implicitamente anche dal Garante stesso che ne ha parlato nella newsletter n. 482 pubblicata nel sito istituzionale lo scorso 6 ottobre.
Prima di passare all’analisi di un caso specifico trattato da chi scrive, può essere utile ripercorrere velocemente tale elaborazione e fare il punto su spamming e social spamming in particolare, proprio sulla scorta di questo ultimo capitolo scritto dal Garante.
L’opt-in.
Lo spamming è una tecnica di marketing largamente diffusa ovunque, in qualsiasi contesto merceologico, e consiste nell’invio massivo di corrispondenza di natura e contenuto commerciale ai consumatori attraverso la posta elettronica. Comportando il trattamento di alcuni dati personali, tra i quali spicca l’indirizzo di posta elettronica, questa tecnica di marketing per essere lecita ai sensi del GDPR deve essere espressamente autorizzata da ogni singolo destinatario dei messaggi commerciali e smette di esserlo ogniqualvolta il destinatario degli stessi revochi il consenso conferito in precedenza al titolare del trattamento.
Questo sistema è convenzionalmente conosciuto come opt-in.
L’opt-out.
Esiste poi un tipo particolare di spamming che ha preso sempre più piede ed è divenuto ogni giorno più popolare tra chi si occupa di marketing: il social spamming.
Il social spamming è lo spamming (inteso come al punto precedente) posto in essere attingendo al dato personale costituito dall’indirizzo di posta elettronica pubblicato in chiaro negli accounts personali degli utenti dei social network come Facebook oppure LinkedIn.
L’interpretazione dei principi e delle disposizioni del GDPR elaborata nel corso del tempo dalle autorità di regolazione, sotto l’ombrello armonizzatore del EDPB (European Data Protection Board), ci dice che il social spamming è lecito sulla base di un sistema assai diverso, addirittura opposto a quello dell’opt-in descritto sopra: il sistema dell’opt-out.
Secondo la regola dell’opt-out, il social spamming è sempre lecito allorquando viene indirizzato a soggetti che, partendo dal loro account personale aperto su un social network, ad esempio su Facebook, si sono iscritti a liste di fan/follower di un determinato brand/servizio/prodotto, oppure, come si dice ormai comunemente, “hanno dato loro il like”.
Mediante questa semplice operazione, dunque, ognuno di noi autorizza implicitamente e tacitamente l’attività di social marketing concernente quel determinato brand/servizio/prodotto. Detta attività, per converso, diviene immediatamente e automaticamente illecita ai sensi del GDPR quando colui/colei che si è iscritto a un gruppo di fan/follower decide di uscirne, cessando di farne così parte: da quel preciso istante, dunque, il social marketing prima del tutto lecito, diviene illecito e proibito.
A questo punto può essere tratta una prima conclusione di ordine generale: il rispetto delle regole di “opt-in/opt-out” sopra descritte con riferimento ai rispettivi campi di applicazione, rende lo spamming lecito, mentre per converso è evidente che la violazione delle medesime comporta la sua illiceità.
Il funzionamento di LinkedIn e il caso concreto sottoposto all’attenzione di chi scrive
La regola dell’opt-out conserva la sua validità anche con riferimento a LinkedIn? La risposta non è semplice, poiché ve ne è una valida sul piano teorico e una valida sul piano pratico.
Sul piano teorico la risposta dovrebbe essere “sì, la regola dell’opt-out vale anche con riferimento a LinkedIn”. Anche all’interno di questo Network, infatti, è possibile iscriversi alle comunità di coloro che seguono/apprezzano un determinato brand/prodotto/servizio.
Tuttavia sul piano pratico, volendo anticipare le conclusioni, la risposta è differente. Vediamo perché.
Innanzitutto, di recente il sottoscritto ha avuto l’opportunità di occuparsi personalmente di un reclamo rivolto al Garante da un iscritto a LinkedIn, avente a oggetto in via principale la illiceità del preteso social spamming indirizzato al medesimo, senza averne ottenuto in precedenza il consenso, mediante l’invio di un messaggio di posta elettronica da parte di un dipendente di una Società a sua volta presente con un proprio account istituzionale in quel social network.
Per completare il quadro si deve aggiungere che anche il dipendente della Società era iscritto a LinkedIn con un proprio account, peraltro caratterizzato dal dominio del datore di lavoro, “nome.cognome@denominazionesociale.com”, ed era altresì stato già ammesso nella personale rete dei contatti del reclamante in seguito alla sua espressa richiesta al riguardo.
In quel frangente l’autore di questo contributo ha redatto la memoria con la quale la Società ha esposto le proprie considerazioni in ordine alla infondatezza del reclamo.
Al netto di una serie di argomentazioni irrilevanti ai fini di queste riflessioni, il tema principe, esposto in quella memoria era il seguente: le Linee Guida sul social spamming, pubblicate nel 2013 dal EDPB forniscono una definizione di spamming, utile a discernere tra ciò che è effettivamente spamming e ciò che non lo è; e così anche tra ciò che è lecito ai sensi del GDPR e ciò che non lo è, mancando il consenso del titolare del dato (l’indirizzo di posta elettronica).
Secondo l’EDPB è spamming tutto ciò che ha un esplicito contenuto commerciale: offerte di vendita, illustrazione e spedizione di un listino prezzi, descrizione puntuale del prodotto/servizio, magnificazione del medesimo, offerta di sconti e promozioni: tutto ciò che è contraddistinto da quel contenuto è dunque illecito laddove manchi il necessario preliminare consenso espresso, a meno che non sia possibile applicare la regola dell’opt-out.
Il messaggio oggetto del reclamo, tuttavia, non aveva natura commerciale e non era qualificabile come spamming proprio alla luce di tale definizione: esso, infatti, presentava al destinatario l’attività della Società in modo laconico, senza descrivere in modo puntuale ed esauriente il prodotto, semplicemente esemplificandone alcune caratteristiche generali, senza alcuna magnificazione del medesimo, e recava in allegato il portfolio clienti della Società.
Volendo rendere il concetto in un altro modo: ti dico chi sono, cosa faccio, come lo faccio e ti faccio vedere con e per chi lavoro: sotto il profilo contenutistico, si tratta, dunque, della pura e semplice presentazione della propria attività.
A fronte di tale difesa, il Garante ha ritenuto di non elevare alcuna sanzione nei confronti della Società, lasciando cadere nel nulla il reclamo.
Su questa base è ora possibile trarre alcune conclusioni, per così dire, intermedie: l’utilizzo dell’indirizzo di posta elettronica degli iscritti a LinkedIn, ove pubblicato in chiaro, oppure visibile per essere stati ammessi nella rete dei contatti del titolare, è lecito, e non è soggetto ad alcun limite laddove il contenuto del messaggio non abbia un esplicito e oggettivo contenuto commerciale, e per converso sia inteso a presentare puramente e semplicemente un professionista, un imprenditore, una attività.
Il secondo passaggio: l’orientamento espresso col provvedimento del Garante n. 9705632 del 16/09/2021
In apertura abbiamo citato l’ordinanza n. 9705632 del 16 settembre 2021: con questo provvedimento il Garante ha sanzionato con una ammenda, peraltro di entità piuttosto modesta, un’agenzia immobiliare che, quale soggetto presente su LinkedIn, aveva inviato ad altri iscritti al Social Network alcune (per il vero non molte) email di esplicito contenuto commerciale.
Due sono i principi degni di interesse evidenziati:
- Il Garante ha chiarito, in primo luogo, che essere ammessi all’interno della rete personale dei contatti di un iscritto a LinkedIn non rende lo spamming lecito.
- In secondo luogo, il Garante ha affermato il principio in forza del quale, con espresso riferimento a LinkedIn, lo spamming, inteso come invio di messaggi dal chiaro ed esplicito contenuto commerciale, è sempre illegittimo, poiché tale pratica è espressamente vietata dalla policy di comportamento che tutti devono approvare per iscriversi.
Quanto invece coincide non solo con una facoltà degli iscritti, ma anche con un loro diritto, sulla base della medesima policy, è l’invio di comunicazioni aventi a oggetto la pura e semplice presentazione della attività e/o del brand.
I messaggi di posta elettronica che descrivono l’oggetto dell’attività, parlando dei principi che la caratterizzano, delle abilità e dei talenti della Società o dei dipendenti/professionisti che ne costituiscono il patrimonio umano, sono strumenti latu sensu promozionali assolutamente leciti su LinkedIn, poiché privi di esplicito e oggettivo contenuto commerciale.
Dunque, per chiudere il cerchio rispetto alla domanda posta in precedenza in ordine a come funzioni in concreto LinkedIn rispetto al social spamming, la risposta, alla luce di quanto appena osservato, è la seguente: LinkedIn ha come scopo istituzionale, sulla base della sua policy, la promozione e la creazione di contatti e reti tra attività e/o professionisti, al fine di accrescere la reciproca conoscenza e di sviluppare contatti e occasioni di collaborazione e di lavoro; e in questa luce, l’invio, anche massivo, per posta elettronica, di messaggi costituenti presentazione di sé e descrizione della propria attività costituisce, lo si ripete, non solo una facoltà degli iscritti, ma un vero e proprio loro diritto.
Al di là dei singoli chiarimenti forniti, il pregio del provvedimento del Garante sta quindi nell’aver limpidamente evidenziato cosa non si può fare e, soprattutto, cosa si può fare mediante posta elettronica su LinkedIn sulla base della sua stessa policy, senza il rischio di incorrere in trattamenti dei dati personali incompatibili con le disposizioni del GDPR e con le linee guida sul social spamming messe a punto dall’EDPB.
Tenuto conto che in ambito di social spamming la regola di ordine generale, come osservato sopra, è quella che rende lecito lo spamming fintanto che l’opt-out non venga esercitato, è immaginabile che essa debba essere coordinata con le policy interne dei vari network: nel caso di LinkedIn la policy interna inibisce del tutto il social spamming.
Un’ultima precisazione va infine compiuta, in chiusura di queste riflessioni, onde conferirle l’evidenza che merita: si è detto sopra che su LinkedIn il social spamming è proibito dalla policy del Network, che ogni soggetto desideroso di entrarvi deve preliminarmente approvare. Ciò premesso, se nel messaggio di presentazione di sé e della propria attività (che ogni iscritto può e – anzi – ha il diritto di inviare agli altri appartenenti al Network) il mittente allega in formato elettronico compilabile l’informativa relativa alla possibilità che i destinatari possano in seguito ricevere comunicazioni di esplicita natura commerciale per posta elettronica (dunque certamente qualificabili come spamming) e questi ultimi, dopo averla letta, compilano correttamente i campi finalizzati al conferimento del consenso a che ciò avvenga, per poi reinviarla al mittente, a quel punto l’invio di tali successive e diverse comunicazioni, costituenti appunto spamming, è del tutto lecito, poiché tale attività di marketing è stata in tal modo espressamente consentita in modo coerente con le disposizioni del GDPR.
Il fatto ciò sia avvenuto partendo da uno scambio di posta elettronica inizialmente appoggiato a LinkedIn a quel punto sarà del tutto irrilevante ed incidentale.
a cura dell’Avv. Giovanni Ricci, Studio Edoardo Ricci – Avvocati
