Newsletter pubblicitarie: nuove regole

Come l’utente deve fornire il consenso prima di ricevere messaggi promozionali insieme all’invio della newsletter a una mailing list?

La stragrande maggioranza dei servizi gratuiti fruibili su internet si mantengono grazie alle entrate pubblicitarie. Non è più una sorpresa per l’utente che naviga sui siti liberi incontrare banner all’interno delle pagine web: sono questi a consentire all’editore di sostenere gli ingenti costi di una redazione giornalistica.

Anche l’invio di newsletter può essere, per il titolare del sito o del blog, un servizio particolarmente oneroso dal punto di vista economico visto che, per gestire migliaia di indirizzi, è necessario valersi di piattaforme esterne, anch’esse a pagamento.

Questo non toglie però che, specie con l’entrata in vigore del nuovo regolamento europeo sulla privacy, il GDPR, il lettore debba essere messo in condizione di sapere come saranno trattati i propri dati e, quindi, di scegliere se prestare o meno il proprio consenso.

Anche la Cassazione chiarisce le nuove regole per le newsletter pubblicitarie.

Come deve essere scritta l’informativa sulla privacy sul sito internet o blog

Io ti consento di leggere gratuitamente gli articoli del mio giornale, tu mi autorizzi a trattare i tuoi dati e a mostrarti immagini pubblicitarie profilate sulla base dei tuoi gusti e a inviarti le email pubblicitarie, quelle che tutti chiamano spam.

Ma come tutti gli scambi ci deve essere prima un accordo, ossia un consenso prestato in modo espresso da ambo le parti.

È impossibile presumere l’autorizzazione sulla base della semplice navigazione. Ecco perché il GDPR impone a ogni sito di indicare espressamente come i dati saranno trattati, da chi e per quali finalità.

Alla fine, ciò si sostanzia in una serie di comunicazioni che, a conti fatti, difficilmente l’utente va a leggere, specie quando è preso dalla ricerca di una notizia che sta cercando su Google. Senza parlare poi del fatto che gran parte del traffico è generato da smartphone, dispositivi sui quali è ancor più difficile – e noioso – leggere le informative sulla privacy.

In termini pratici, significa che l’utente deve poter scegliere se prestare il proprio consenso alla profilazione dei dati o meno.

Come autorizzare l’invio della newsletter

Tutte le volte in cui ti iscrivi a un servizio di newsletter di un sito, ricevi spesso, dallo stesso, oltre ai link delle ultime pubblicazioni, anche dei messaggi pubblicitari.

A volte questi si confondono tra i link, altre volte costituiscono l’oggetto esclusivo di una autonoma email. In gran parte dei casi sono sicuro che clicchi sul tasto “cancel” e non ti preoccupi neanche di leggere il testo.

Secondo la Cassazione, l’editore che raccoglie gli indirizzi email dei propri lettori per l’invio delle newsletter quotidiane non può limitarsi a far loro spuntare la casella con l’autorizzazione al trattamento dei dati, ma deve chiedere un ulteriore consenso specificamente indirizzato all’invio delle DEM indicando anche i settori merceologici coperti dai successivi messaggi pubblicitari.

Questa seconda autorizzazione non può essere presunta con la prima, quella cioè rivolta all’invio dell’email quotidiana pura e semplice con i contenuti del sito, ma va data in modo espresso.

Insomma, bisogna chiedere all’utente due separati consensi: uno per l’invio della newsletter, un altro per lo “spam”.

Non può perciò dirsi «specificamente» e «liberamente» prestato il consenso i cui effetti «non siano indicati con completezza accanto ad una specifica “spunta”», ma siano invece descritti in altra pagina web linkata alla prima, «senza che vi sia contezza che l’interessato l’abbia consultata».

In definitiva, per essere “specifico”, il consenso deve essere riferito «ad un trattamento chiaramente individuato, il che comporta la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».

Questo non toglie che l’editore possa negare il servizio di newsletter a chi non presta entrambi i consensi (ossia anche quello alle DEM). E ciò perché, così come l’utente deve essere libero di accettare o meno le pubblicità, anche il titolare del sito deve essere libero di escludere dai propri servizi gratuiti chi non “dà in cambio” l’autorizzazione.

Se è vero infatti che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento al trattamento indicato dal gestore del sito internet, quest’ultimo può comunque condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».

«Nulla impedisce – prosegue la Cassazione – al gestore del sito (beninteso in un caso come quello in questione, concernente un servizio né infungibile, né irrinunciabile), di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia la volontà di riceverli».

L’utente, infatti, deve sempre essere «con certezza posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati».

Tutela ridotta per l’utente che riceve spam

La questione più singolare di tutta questa regolamentazione è che l’utente che viene inondato di spam non può agire davanti al giudice per chiedere il risarcimento perché, secondo l’orientamento già espresso in passato dalla Cassazione, si tratta di danni di entità irrisoria, piccoli fastidi quotidiani che non danno diritto ad alcun indennizzo.

Il che significa che l’eventuale causa contro il gestore del sito non avrà alcuna utilità. Che può fare l’utente? Segnalare la questione al Garante della Privacy che provvederà a irrogare le sanzioni. Ma da ciò l’utente non ne ricava alcuna utilità se non la cancellazione dalla mailing list.

Cosa dice la cassazione al riguardo della ricezione/invio della newsletter: cosa non si può fare

Il caso deciso dalla Cassazione spiega meglio di qualsiasi altro esempio cosa l’editore non può fare. In sostanza, una società titolare di un sito internet «offriva per il tramite di un portale un servizio di newsletter su tematiche legate alla finanza, al fisco, al diritto, al lavoro» e «per accedere alla newsletter era richiesto l’inserimento, da parte dell’utente, del proprio indirizzo e-mail e, in calce al form di raccolta dati, era presente una casella di spunta con cui il contraente poteva esprimere il proprio consenso al trattamento dei dati personali», ma – ecco il dettaglio decisivo – «inviando la richiesta di iscrizione senza validare la casella del consenso non era possibile accedere al servizio e appariva il messaggio “è richiesta la selezione della casella”», e, in aggiunta, «non era evidenziato direttamente dalla pagina in cosa consistesse il trattamento dei dati personali e quali effetti producesse» in concreto.

Ebbene, per il Garante e per i Giudici della Cassazione, la procedura è evidentemente viziata, poiché «il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono state rese all’interessato le informazioni» previste. In questa vicenda, però, è impossibile, secondo i magistrati, parlare di «consenso informato».