Indice:
Privacy email aziendale: cosa dice il GDPR?
Il GDPR è entrato in vigore da ormai quasi 3 anni, dal 25 maggio 2018, eppure li dubbi sulla sua applicazione sono ancora molti.
Uno di questi riguarda proprio la sua operatività rispetto all’email aziendale.
La risposta assume grande rilievo se si pensa che le sanzioni previste dal Regolamento Europeo per la Protezione dei Dati Personali (n. 679/2016), alias GDPR, a carico di chi tratta dati personali – per esempio inoltrando comunicazioni commerciali senza il consenso dell’interessato – sono importanti, arrivano fino a dieci milioni di euro (art. 83).
A ciò si aggiunge la necessità di adattare la normativa anche alla realtà digitale, in costante evoluzione, perchè non dimentichiamolo, la tutela dei dati personali vale tanto offline quanto – e soprattutto – online.
Ecco allora che prima di inoltrare comunicazioni a fini commerciali all’e-mail aziendale del destinatario occorre prestare attenzione.
Per rispondere alla domanda se il GDPR copra anche l’email aziendale, occorre svolgere una breve premessa.
Privacy email aziendale: a chi si applica il GDPR?
L’obiettivo del GDPR è quello di tutelare i dati personali che, come tali, sono i dati delle persone fisiche, mentre restano esclusi dalla normativa i dati di imprese, società o enti.
Ma quali sono i dati personali coperti dal GDPR?
Il Regolamento indica la definizione di dato personale all’art. 4, e precisamente:
«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)
Art. 4 GDPR
Esempi di dati personali che rendono una persona identificata o quantomeno identificabile sono:
- nome e cognome,
- numero di telefono,
- indirizzo di residenza,
- indirizzo IP,
- numero del documento d’identità,
- codice fiscale,
- l’immagine fotografica della persona,
- il numero di targa.
Insomma, sono coperti dal GDPR come dati personali tutti quei dati che permettono di risalire, anche in via indiretta, all’identità di una persona fisica.
La conseguenza di quanto sopra?
Se intendo intraprendere una campagna di comunicazione commerciale (es. DEM), o magari inoltrare anche solo periodiche comunicazioni promozionali utilizzando anche uno soltanto dei dati personali del potenziale interessato, senza il suo consenso espresso, rischio una sanzione.
Questo accade anche se la promozione è inoltrata all’email aziendale?
In altre parole, il GDPR trova applicazione all’indirizzo email nome.cognome@azienda.com?
Ecco la risposta.
Privacy email aziendale: si applica il GDPR?
#1 – privacy email aziendale: nome.cognome@azienda.com
Abbiamo visto che il GDPR si applica ai dati personali, fra i quali rientrano nome, cognome e indirizzo email.
Ecco allora che nell’email aziendale formulata come:
nome.cognome@azienda.com
l’indirizzo contiene un dato personale che rende la persona identificata, ai sensi dell’art. 4 del GDPR.
Anche l’email aziendale, così formulata quindi, rappresenta un dato personale.
Da ciò consegue che non potrò trattare questo dato, per esempio inoltrando comunicazioni promozionali in assenza di espresso consenso da parte dell’interessato.
E nel caso dell’indirizzo email aziendale dove il nome non è per esteso, ma è solo puntato?
Il GDPR si applica comunque?
#2 – privacy email aziendale n.cognome@azienda.com
Nel caso dell’email aziendale:
n.cognome@azienda.com
l’indirizzo email aziendale così formulato rende la persona identificabile, e ricade quindi nell’ambito applicativo dell’art. 4 del GDPR.
Anche a questo indirizzo email aziendale, pertanto, non potrà essere trattato in assenza di consenso espresso da parte dell’interessato.
Ecco allora che non potrò inoltrare a questo account di posta elettronica delle comunicazioni commerciali senza prima aver ottenuto per iscritto l’assenso.
E nel caso dell’indirizzo anonimo?
#3 – privacy email aziendale info@azienda.com
Il GDPR si applica anche agli indirizzi email aziendali anonimi?
E’ il caso dell’indirizzo comunemente usato:
info@azienda.com
In questo caso il GDPR non trova applicazione.
Ci troviamo, infatti, di fronte ad un indirizzo email aziendale che non riporta alcun dato personale che identifichi o renda quantomeno identificabile, una persona fisica.
L’indirizzo così formulato non contiene né un nome né un cognome, né altri dati che consentano indirettamente di risalire a una persona fisica.
Ecco allora che questo account di posta è escluso dalla definizione di dato personale (art. 4 GDPR) e quindi dall’ambito di operatività del Regolamento in questione.
In questo caso allora, la comunicazione commerciale deve ritenersi consentita, non essendo necessario il consenso espresso per il trattamento di questo dato a norma di GDPR.
Privacy email aziendale: conclusione
Prima di intraprendere iniziative promozionali rivolte ad account email aziendali, è opportuno verificare la natura di tali indirizzi alla luce di quanto sopra, e quindi:
- nel caso dell’email contenente nome e cognome
- occorre ottenere il consenso scritto dell’interessato al trattamento di quel dato;
- nel caso dell’email contenente solamente nome puntato e cognome,
- anche qui occorre il consenso espresso.
E ciò andrà fatto secondo i crismi sanciti dal GDPR con particolare riferimento ai requisiti obbligatori dell’informativa.
In caso contrario, se l’indirizzo email aziendale è anonimo e non contiene dati che consentano l’identificazione, neppure in via indiretta, dell’interessato, il trattamento di quell’indirizzo email non soggiace alle disposizioni del GDPR.
Per questo, prima di intraprendere attività che comportino il trattamento di dati, è opportuno rivolgersi a un professionista del settore per capire come muoversi e non fare passi falsi.
Vuoi saperne di più?
