Ai sensi del regolamento europeo in materia di protezione dati personali (GDPR), per inviare comunicazioni elettroniche occorre acquisire preventivamente il consenso del destinatario.
Base giuridica
Non è possibile, infatti, usare dati personali (es. l'indirizzo di posta elettronica) solo perché sono già pubblici e quindi conoscibili da chiunque. Il fatto che un dato sia reso "pubblico" dall'interessato (art. 9 GDPR) non lo rende solo per questo utilizzabile da chiunque. La previsione, come chiarito anche dal Garante italiano (provvedimento 11 gennaio 2001) con riferimento ad analoga norma prevista dal Codice privacy ha precisato che la statuizione “si riferisce non a qualunque dato personale che sia di fatto consultabile da una pluralità di persone, ma ai soli dati personali che oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici” (…) siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque, regime che può peraltro prevedere modalità o limiti temporali (…)”. Cioè, per la legittimità dell’uso del dato personale non basta la sua presenza su fonti di fatto liberamente accessibili, ma è necessario anche che le finalità di tale uso siano compatibili con quelle che ne giustificano la presenza sulla fonte, appunto, di fatto pubblica. Il principio di finalità è alla base del trattamento dei dati, per cui la finalità deve essere connessa al motivo per il quale quel dato è pubblico. Ad esempio gli elenchi di indirizzi pubblicati dai siti web delle Università sono utilizzabili, ma solo per i contatti legati alla loro attività istituzional,e non certo per l'invio di pubblicità commerciale.
In assenza di compatibilità occorre stabilire una base giuridica per l'uso del dato, in genere occorre raccogliere il consenso. Inoltre, tale disciplina non può essere elusa inviando una prima email che presente un contenuto promozionale o pubblicitario nel mentre chiede il consenso all'invio di tale contenuto. Nemmeno nel caso in cui si riconosca il diritto di opt out, cioé la possibilità di rifiutare successive comunicazioni di quel genere.
Ovviamente esistono delle eccezioni, tra le quali il caso del trattamento necessario a fornire un servizio richiesto dal destinatario, per il quale non occorre consenso, ma occorre sempre fornire l'informativa.
Newsletter
Il servizio di newsletter consiste, appunto, nell'invio di comunicazioni elettroniche a seguito della espressa richiesta del destinatario, per cui non è necessario acquisire un consenso ulteriore, rispetto a quello fornito dal destinatario nella compilazione ed invio del modulo di iscrizione alla newsletter. E', quindi, necessario che l'utente possa vedere l'informativa privacy (eventualmente anche se linkata) e effettui il click sul pulsante di iscrizione alla newsletter, dopo aver compilato i campi richiesti. In questo caso siamo in presenza dell'esenzione B prevista dall'attuale normativa (vedi Cookie Law, paragrafo Cookie tecnici), per cui non è necessario un consenso. In concreto sarà possibile avere una casella nella quale inserire la mail e un pulsante per l'iscrizione alla newsletter, poi un'ulteriore casella con l'indicazione di aver letto (non accettato) l'informativa privacy linkata.
Occorre, però, che non si preveda un trattamento ulteriore dei dati, rispetto al mero invio della newsletter, e purchè i dati richiesti nel modulo di iscrizione (in genere nome, cognome ed email), non siano eccessivi rispetto alla finalità (cioé l'invio della newsletter), cioé i dati raccolti devono essere solo quelli strettamente neccessari per l'invio della newsletter.
Nel caso in cui si voglia trattare i dati anche per un'ulteriore finalità, ad esempio ai fini della profilazione, occorre invece un ulteriore consenso, separato e specifico. Questo accade sempre nel momento in cui si utilizzano piattaforma specializzate per la gestione delle liste per le newsletter (es. MailChimp), che ovviamente utilizzano i dati anche per loro specifiche finalità (cioè per la profilazione al fine di invio di pubblicità personalizzata). In questo caso non siamo più in presenza di un'esenzione da consenso (perché il cookie non è strettamente necessario per il funzionamento del servizio), ma occorre un consenso specifico per la finalità di profilazione. Quindi non è più sufficiente inserire una casella da riempire con la mail (invio newsletter), ma occorre un'ulteriore casella con l'indicazione della specifica finalità di profilazione (consenso per profilazione), come del resto chiarito dalla Corte di Cassazione (Cass. Sez. I Civ, 11/05/2018 - 2/07/2018, n.17278).
Ovviamente è indispensabile predisporre una modalità di cancellazione dal servizio (link disiscriviti/unsuscribe), che sia semplice e gratuito. Ed è pacifico che nell'invio di mail con liste, deve essere inibito al ricevente la visualizzazione degli indirizzi (funzione CCN, copia conoscenza nascosta) degli altri soggetti ai quali la mail viene inviata. In caso contrario si configura una violazione della normativa per comunicazione di dati personali in assenza di consenso.
Doppio opt-in
La prassi vede l'uso del cosiddetto doppio opt-in. Consiste nel fatto che dopo che l'utente si è iscritto alla newsletter, inserendo l'indirizzo mail e cliccando sul tasto "Iscrivimi", riceve una prima mail con la conferma dell'iscrizione alla newsletter, eventualmente un link all'informativa privacy e la possibilità di confermare se intende davvero iscriversi alla newsletter. In assenza della conferma, si intende che l'utente non si è realmente iscritto. Il doppio opt-in è una buona prassi per evitare abusi e per garantire la provenienza del dato mail. Infatti, in assenza del doppio opt-in, chiunque potrebbe iscrivere altre persone inserendo i loro indirizzi mail nel modulo, così costringendole a ricevere una newsletter alla quale non si sono mai realmente iscritte.
Marketing diretto
Nel caso in cui il titolare voglia utilizzare i dati anche a fini di marketing diretto, deve innanzitutto integrare l'informativa privacy con le informazioni necessarie, e poi richiedere un nuovo e separato consenso. L'utente, quindi, dovrà poter eventualmente rifiutare il consenso alle comunicazioni commerciali, e limitarsi ad acconsentire all'invio della newsletter. Infatti, subordinare l'invio della newsletter al consenso per l'invio di pubblicità, rende il consenso stesso non libero, e quindi invalido.
Solo nel caso in cui gli interessati siano già clienti del titolare e questi vuole usare i loro dati per inviare loro comunicazioni commerciali, in presenza di specifici requisiti (vedi soft spam) è ammesso l'invio in base ai legittimi interessi del titolare e non necessita il consenso.