Il presente contributo ha l’obiettivo di analizzare il rapporto sussistente tra l’attività di marketing e la disciplina in materia di privacy e GDPR, prestando attenzione a due problematiche: il fondamento giuridico del trattamento dei dati personali dell’interessato per finalità di marketing e il tempo di conservazione dei dati medesimi.
Questi aspetti, pur distinti, rappresentano le questioni principali che gli operatori economici devono quotidianamente affrontare per trattare correttamente i dati dei propri utenti.
Infatti, il marketing, consistente nelle attività di promozione, pubblicità e sponsorizzazione di prodotti e servizi rivolte al pubblico per incentivare il loro acquisto, è certamente una delle finalità maggiormente perseguite dal Titolare del trattamento dei dati personali dopo la conclusione di un contratto con il proprio cliente e la ricezione dei suoi dati.
La prima questione da affrontare è, quindi, quella di individuare il fondamento giuridico del trattamento dei dati personali per finalità di marketing, che sia capace – al contempo – di tutelare l’interessato e permettere al Titolare di perseguire i propri interessi economici.
Ebbene, il marketing è direttamente ed espressamente preso in considerazione da due disposizioni di legge da coordinare tra loro: l’art. 130 del D.Lgs. n. 196/2003 (Codice della Privacy) e il Considerando 47 del Reg. UE n. 2016/679GDPR (General Data Protection Regulation, in breve GDPR).
L’art. 130, commi 1 e 2, Codice della Privacy sancisce l’obbligo del Titolare di chiedere e acquisire il consenso dell’utente per poter inviare a questi il materiale pubblicitario o vendere direttamente o compiere delle ricerche di mercato o effettuare delle comunicazioni commerciali sia con sistemi automatizzati di chiamata o di comunicazione senza l’intervento dell’operatore, sia per svolgere le suddette attività utilizzando posta elettronica, telefax, messaggi di tipo Mms o Sms o altro.
Il Titolare del trattamento è, inoltre, obbligato a redigere per l’interessato una chiara e comprensibile informativa ai sensi dell’art 13 GDPR, specificando sia la finalità di marketing perseguita, sia la necessità di acquisire il suo consenso per giustificare il trattamento ai sensi dell’art. 130 Codice Privacy e dell’art. 6, lett. a), GDPR.
Il consenso, in particolare, è definito dall’art. 4, n. 11), del GDPR come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i suoi dati personali che lo riguardano siano oggetto di trattamento”.
La stessa Corte di Cassazione ha affermato che il consenso è “validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato” ( C. Cass., Sez. I, Civ., del 24 marzo 2021, n. 14381 ).
Sul punto si è anche espressa la Corte di Giustizia UE affermando che il consenso richiede un comportamento attivo dell’interessato e non uno passivo, come potrebbe verificarsi nel caso in cui il gestore di un sito predisponga un flag automatico per il rilascio del consenso al trattamento dei dati da parete dell’utente (sentenza della C.G. UE n. 1° ottobre 2019 C-673/17).
Dunque, l’interessato deve prestare attivamente il proprio consenso espresso per ogni trattamento dei proprio dati operato dal Titolare con finalità di marketing, effettuata con strumenti automatici oppure elettronici senza l’intervento di un operatore.
Dalla descritta attività di marketing è doveroso distinguere la così detta soft spam, disciplinata dal 4° comma dell’art. 130 Codice della Privacy.
L’art. 130 del Codice della Privacy, infatti, individua due regimi giuridici differenti in base alla finalità e alla modalità del trattamento, distinguendo tra il marketing compiuto ai sensi dei commi 1° e 2° dell’art. 130 Codice Privacy e la così detta soft spam disciplinata dal comma 4° dell’art. 130 Codice Privacy.
Si osserva, in particolare, che solo per la prima categoria di marketing è richiesto il rilascio del consenso espresso dell’interessato per legittimare il trattamento dei dati; infatti, il 4° comma dell’art. 130 del Codice Privacy chiarisce che non è necessario il consenso dell’interessato nelle ipotesi in cui il Titolare del trattamento utilizza le sole coordinate di posta elettronica dell’interessato per la vendita diretta di propri servizi o prodotti, purché ricorrano tre elementi:
1) i prodotti e i servizi sponsorizzati siano analoghi a quelli già acquistati dall’interessato;
2) il Titolare abbia adeguatamente informato l’interessato del diritto di rifiutare il trattamento dei suoi dati per il fine in analisi;
3) l’interessato non abbia rifiutato o non rifiuti successivamente il trattamento dei propri dati di contatto (indirizzo di posta elettronica) per l’invio di soft spam.
In assenza di un’interpretazione legislativa di “prodotti e servizi analoghi” bisogna attenersi al significato etimologico di tali termini, sicché devono considerarsi tali quei prodotti e quei servizi che, pur non essendo identici, appartengono alla stessa categoria merceologica di quelli già acquistati dall’interessato presso il Titolare del trattamento e sono capaci di soddisfare bisogni simili.
Il rispetto degli altri due presupposti, altresì, è strettamente connesso alla redazione di un’informativa chiara e rispettosa dell’art. 13 GDPR, in cui vengano esposti sia la finalità di trattamento dei dati consistente nell’invio di soft spam, sia il diritto dell’interessato di rifiutare il trattamento dei propri dati per tali fini, in qualsiasi momento.
Le conclusioni sopra riportate sulla differente disciplina tra marketing e soft spam e sulla necessità del previo consenso dell’interessato per il solo marketing di cui all’art. 130, co. 1 e 2, del D.Lgs. n. 196/2003 sono state da ultimo condivise e arricchite anche dalla Corte di Cassazione, Sez. II, Civ., con la sentenza del 15 marzo 2023 n. 7555 .
In tale occasione, infatti, la Suprema Corte ha puntualizzato che è ammesso l’invio di soft spam, ex art. 130, comma 4, D.Lgs. n. 196/2003, senza la necessità un espresso consenso dell’interessato se è già stato concluso un contratto di compravendita a titolo oneroso tra il Titolare del trattamento e l’interessato, purché essa abbia ad oggetto “servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni”; diversamente, deve essere richiesto il consenso, ai sensi dei commi 1 e 2 della medesima norma, “nell’ipotesi in cui l’interessato abbia solamente effettuato la registrazione sul sito web, abbia concluso un contratto di prova o comunque abbia concluso un contratto a titolo gratuito con il titolare del trattamento”.
Dunque, la precedente stipulazione di contratto di compravendita a titolo oneroso– e agli altri elementi richiamati sopra – rende legittimo l’invio di soft spam senza la necessità del previo consenso espresso dell’interessato; invece, l’assenza di un precedente rapporto negoziale tra le parti impone al titolare di chiedere il consenso per l’invio di qualunque materiale pubblicitario a mezzo di posta elettronica.
In effetti, senza un precedente contratto non si potrebbe parlare di “prodotti analoghi” poiché mancherebbe un precedente prodotto da comparare a quello oggetto di pubblicità attuale.
Chiarito ciò, è utile interrogarsi su quale sia il fondamento giuridico del trattamento per l’invio di soft spam, poiché, seppur non è necessario il consenso dell’interessato per espressa volontà legislativa, ogni trattamento deve avere una propria base legale.
Ebbene, il fondamento giuridico dell’invio di soft spam può essere rinvenuto nel “legittimo interesse del Titolare del trattamento” così come descritto dalla lettera f) dell’art. 6 del GDPR, ai sensi della quale: “il trattamento è necessario per il perseguimento di un legittimo interesse del Titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritto o le libertà fondamentali dell’interessato che richiedano la protezione dei dati personali, in particolare se l’interessato è un minore”.
Altresì, il concetto di “legittimo interesse” è approfondito dal Considerando 47 del GDPR, che fornisce alcuni parametri interpretativi utili ad accertare la sussistenza del legittimo interesse, specificando la necessità di bilanciare le finalità perseguite dal Titolare e i mezzi utilizzati con i diritti e le libertà dell’interessato.
In particolare, secondo il Considerando 47 sussiste il legittimo interesse del Titolare se alla costituzione del rapporto contrattuale tra lo stesso Titolare del trattamento e l’interessato, quest’ultimo avrebbe potuto e dovuto ragionevolmente attendersi anche l’ulteriore trattamento operato dallo stesso Titolare, nonostante quest’ulteriore finalità non sia espressamente dichiarata nel negozio giuridico.
In mancanza della suddetta ragionevole aspettativa, i diritti e le libertà dell’interessato prevalgono sull’interesse del Titolare; sicché, quest’ultimo non sarebbe legittimato a trattare i dati di questi per raggiungere altre finalità (come l’utilizzo dell’indirizzo di posta elettronica per l’invio di soft spam).
Sul punto si è anche pronunciato il Comitato Europeo per la Protezione dei dati (European Protection Board – EDPB) con la Raccomandazione n. 2/2021 del 19.05.2021 , chiarendo che il trattamento dei dati può essere giustificato dal legittimo interesse ex art. 6. Lett. f), GDPR se sono soddisfatte quattro condizioni:
1) deve essere individuato il legittimo interesse;
2) è necessario trattare i dati dell’interessato per raggiungere il suddetto legittimo interesse;
3) bisogna effettuare un test di bilanciamento tra il legittimo interesse del titolare e i diritti e le libertà dell’interessato;
4) ragionevoli aspettative dell’interessato.
Anche l’EDPB, dunque, ribadisce che per considerare il legittimo interesse una base legale del trattamento dei dati dell’interessato il Titolare è chiamato a valutare preventivamente l’esistenza e la consistenza del proprio interesse legittimo, bilanciandolo in concreto con la posizione dell’interessato e valutando se quest’ultimo avrebbe potuto ragionevolmente attendere l’ulteriore utilizzo dei propri dati per la promozione di prodotti analoghi a quelli già acquistati.
Alla luce di quanto asserito dal Garante italiano e dall’EDPB bisognerebbe riflettere sulla necessità/opportunità per il Titolare del trattamento di effettuare una valutazione di impatto sulla protezione dei dati ex art. 35 GDPR avente ad oggetto proprio il bilanciamento tra l’interesse dello stesso Titolare ad effettuare attività di marketing e i diritti e le libertà dell’interessato. In alternativa, laddove si ritenesse eccessivamente oneroso chiedere al Titolare di effettuare una valutazione di impatto avente ad oggetto la soft spam, si potrebbe considerare sufficiente l’individuazione in concreto ed ex ante da parte del Titolare del trattamento degli elementi da cui è possibile desumere: le finalità perseguite, la proporzionalità dei mezzi proporzionati allo scopo; il rispetto della posizione dell’interessato.
Quest’ultime evidenze potrebbe, invero, essere riportata direttamente nell’informativa redatta dal Titolare.
Chiarito ciò, si impone una puntualizzazione sul rapporto tra il Considerando 47 del GDPR e l’art. 130 Codice Privacy.
In effetti, dopo aver chiarito che le attività di marketing operate dal Titolare devono essere legittimate dal previo consenso espresso dell’interessato ex art. 130, commi 1 e 2, Codice Privacy, la lettura integrale del Considerando 47 potrebbe provocare dei dubbi interpretati dovuti all’esempio di legittimo interesse inserito in esso.
Si legge, in effetti, nel considerando 47 che: “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Bisogna, quindi, circoscrivere il campo applicativo del Considerando 47 e il rapporto tra consenso e legittimo interesse in ambito di marketing.
Invero, la soluzione interpretativa maggiormente coerente con l’art. 130 del Codice della Privacy e i principi del GDPR sembrerebbe quella per cui il consenso è sempre necessario nelle specifiche ipotesi in cui la normativa Italiana lo rende un elemento imprescindibile (art. 130, commi 1° e 2°, Codice Privacy); invece, il legittimo interesse può essere la base legale solo nelle altre ipotesi, tra cui la soft spam (art. 130, comma 4°, Codice Privacy).
In effetti, si osserva che il GDPR ha reso direttamente vincolanti ed efficaci i principi sul trattamento, senza però prendere una puntuale posizione sul fondamento giuridico del marketing; pertanto, non vi sono impedimenti all’applicazione della normativa italiana in materia di marketing, che:
1. regola specifiche ipotesi e modalità di marketing;
2. prescrive la necessità di acquisire il previo consenso dell’interessato;
3.s ancisce la natura di base giuridica del trattamento del consenso, così come previsto dall’art. 6, lett. a), GDPR;
4. rispetta i principi del GDPR.
Pertanto, bisogna concludere che l’art. 130, commi 1 e 2, Codice Privacy è attualmente valido ed efficace per le l’attività di vendita promozione e profilazione effettuata dal Titolare del trattamento con modalità automatiche ed elettroniche senza l’intervento di un operatore.
Invece, il Titolare non deve chiedere il consenso espresso dell’interessato per l’invio di soft spam nel caso in cui il trattamento sia finalizzato alla promozione, per mezzo della posta elettronica, di prodotti e servizi analoghi a quelli già acquistati a titolo oneroso dall’interessato.
Dunque, solo ed esclusivamente in quest’ultimo caso di soft spam il trattamento dei dati può essere giustificato dal legittimo interesse di cui all’art. 6, lett. f), GDPR.
La disciplina del marketing, in definitiva, è dettata dall’art. 130 del D.Lgs. n. 196/2003 e il Considerando n. 47 deve essere letto – esclusivamente – in combinato disposto con il 4° comma dell’art. 130 Codice Privacy
Quanto detto è, inoltre, confermato da plurime pronunce del Garante della Privacy tra cui il Provvedimento n. 15.01.2020 n. 9256486, in cui è stato sancito che ” [..] Pertanto – qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi di soft spam (art. 130, comma 4, Codice Privacy), nonché del sistema di opt-out per i dati presenti negli elenchi pubblici – si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati; [..] principi, come noto, confermati e anzi resi più stringenti dal Regolamento mediante le previsioni di cui agli art. 6. 7, 12 e 13″.
Anche la Corte di Cassazione ha condiviso questo orientamento ritenendo “illegittimo, ai sensi dell’art. 130, c. 3 e 23 codice privacy, il trattamento dei dati personali delle persone contattate, in assenza di consenso legittimamente manifestato, anche a prescindere dal fatto che l’interessato sia iscritto “nel registro pubblico delle opposizioni” (Corte di Cassazione, Sezione 1, Civile, Ordinanza del 26 aprile 2021, n. 11019 ).
Altresì, il Garante della protezione dei dati ha anche specificato che nel caso in cui il Titolare persegua plurime finalità per le quali è necessaria l’acquisizione del consenso dell’interessato, quest’ultimo deve sia essere previamente informato di tutte le finalità, sia rilasciare un consenso per ognuna delle citate finalità.
Anche in questa ipotesi è, dunque, di fondamentale rilevanza consegnare all’interessato un’informativa completa ed intellegibile, che gli consenta la piena autodeterminazione.
Il Garante della Privacy, nel provvedimento n. 9256486 del 15.05.2020, è stato chiamato a pronunciarsi proprio sulla conformità alla normativa Privacy della richiesta di un unico consenso all’interessato per lo svolgimento di plurime attività, tra cui marketing diretto, marketing indiretto e profilazione, concludendo che “gli interessati devono essere, invece, messi in grado di esprimere (consapevolmente) e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso (per così dire “modulare”) per ciascuna delle diverse finalità perseguita dal titolare, ulteriore rispetto all’adesione al programma di fidelizzazione (e alla fruizione dei relativi vantaggi. Mentre il trattamento dei dati preordinato alla fidelizzazione in senso stretto può infatti ritenersi necessario per l’esecuzione del contratto del quale l’interessato è parte, per cui non è necessario un apposito consenso (ex art. 6, lett. a), GDPR) ogni altra finalità di trattamento (es. profilazione e marketing, etc.) necessita, invece, del consenso libero, specifico, informato e distinto per ciascuna di esse (art. 6. Par. 1, lett. a, del Regolamento)”.
Il Garante, dunque, conclude che la capacità di autodeterminazione non è assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità ben potendo essere ciascuna di esse perseguita singolarmente in presenza di un’autonoma valutazione e determinazione dell’interessato.
Anche la Corte di Cassazione, chiamata ad esprimersi in un caso simile, ha ribadito l’onere del Titolare del trattamento dei dati di individuare chiaramente e specificatamente le finalità e gli effetti del trattamento, specificando anche i settori merceologici o dei servizi a cui i messaggi pubblicitari saranno riferiti; infatti, solo questi presupposti permettono all’interessato di prestare un consenso inequivocabilmente riferito ad un trattamento individuato e ai suoi effetti.
La Suprema Corte ha, dunque, concluso che “se la manifestazione di volontà comporta una pluralità di effetti, [..], il consenso deve essere prestato per ciascuno di essi” (Corte di Cassazione, Sezione I, Civile, Sentenza del 2 luglio 2018, n. 17278 ).
Per una maggiore chiarezza espositiva si precisa anche che il marketing diretto è l’attività di promozione e pubblicità effettuata dallo stesso Titolare del trattamento che ha ricevuto il dato personale, previa consegna dell’informativa Privacy, utilizzandolo per promuovere successivamente i propri beni e servizi nei confronti dell’utente.
Il marketing indiretto, invece, è operato da un soggetto terzo che ha ricevuto i dati personali dell’utente dal Titolare del trattamento e non direttamente dall’utente, per utilizzarli nella promozione di propri beni e servizi, diversi e ulteriori rispetto a quelli forniti dal Titolare del trattamento.
Ebbene, è onere del Titolare del trattamento individuare espressamente entrambe le finalità di trattamento nel caso in cui si intenda sia sponsorizzare in futuro i propri beni presso l’utente, sia consegnare i dati di quest’ultimo ad un terzo, acquisendo consensi distinti ex art. 130, co. 1 e 2, Codice Privacy e art. 6, lett. a), GDPR.
Senza entrambi i consensi, il trattamento sarebbe illecito e il Titolare sarebbe sanzionabile dal Garante della Protezione dei dati.
Dal marketing, diretto e indiretto, si distingue la finalità di profilazione consistente nel trattamento con modalità automatizzata dei dati personali dell’interessato per analizzare le abitudini e le scelte di consumo per migliorare le offerte da proporre al cliente.
La seconda questione che merita attenzione rispetto al trattamento dei dati personali per finalità di marketing è il loro tempo di conservazione.
Anche alla conservazione nel tempo dei dati dell’interessato si applicano i principi di accountability, per cui è il titolare del trattamento a dover decidere il fine, le modalità e il tempo di conservazione dei dati dell’interessato, rispondendo delle proprie scelte di eventuali conseguenze dannose che da esse siano derivate, e di minimizzazione del trattamento, per cui i dati possono essere trattati solo per il raggiungimento dei fini inizialmente stabiliti e solo per il tempo strettamente necessario al suo raggiungimento.
Ebbene, in materia di marketing il Garante della Privacy si era pronunciato prima dell’introduzione del GDPR, con il Provv. n. 1103045 del 24.02.2005, stabilendo che il tempo massimo di conservazione dei dati per finalità di marketing doveva essere pari nel massimo a 24 mesi, distinguendo tale termine da quello di 12 mesi previsto per la profilazione dei dati dei medesimi utenti.
La questione che gli operatori del settore si sono trovati ad affrontare con l’introduzione del Regolamento UE n. 2016/679 è stata quella di capire se tali termini fossero ancora vincolanti.
La problematica può essere letta e compresa analizzando alcune recenti pronunce del Garante della Protezione dei Dati.
Innanzitutto, l’Autorità ha chiarito che il tempo di conservazione dei dati non è strettamente connesso al tempo di efficacia del contratto, sancendo che “il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica” e che “il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito all’origine e sia ancora valido”.
Dunque, il Titolare è legittimato a trattare i dati anche dopo l’estinzione del contratto, ma fino a quando?
Ebbene, sul punto lo stesso Garante ha specificato che è una responsabilità del Titolare definire un tempo massimo di conservazione, applicarlo in concreto e rispettarlo.
Nello specifico l’Autorità ha statuito che il Titolare del trattamento “dovrebbe, tuttavia, provvedere ad una conservazione selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti, ancor più considerato che, in tal caso, la Società svolge con essi attività promozionale o di profilazione, e quindi non li detiene in modo inattivo. Ciò dovrebbe fare, a prescindere dalla revoca del consenso o da richieste provenienti dall’interessato, nell’esercizio della propria accountability” (Ordinanza del Garante della Privacy n. 348 del 20 ottobre 2022 ).
In definitiva, nonostante l’interessato possa opporsi in qualunque momento al trattamento dei propri dati per finalità di marketing, interrompendo così il tempo della loro conservazione, il Titolare è sempre obbligato ad individuare un termine massimo di detenzione e utilizzo dei dati, indipendente dal periodo di efficacia del contratto.
Dalle parole del Garante si evince anche che il tempo non è necessariamente uguale per tutte le finalità di trattamento ma potrebbe essere puntualmente distinto per ognuna di esse in base al tipo di servizio/prodotto.
Premesso ciò, si evidenzia anche che nella pronuncia dell’ottobre 2022 sopra citata il Garante – chiamato ad esprimersi sul termine di conservazione dei dati – ha utilizzato come parametro gli stessi termini individuati con il Provvedimento del 2005: “la suddetta conservazione è da ritenersi palesemente ed immotivatamente eccessiva sia sotto l’aspetto qualitativo (non essendo state selezionate le tipologie da conservare), sia sotto l’aspetto temporale, anche tenuto conto dei termini stringenti stabiliti (24 mesi per i dati utilizzati per finalità di marketing;12 mesi per le finalità di profilazione) stabiliti dal provvedimento generale “Fidelity card’ e garanzie per i consumatori, Le regole del Garante per i programmi di fidelizzazione” – 24 febbraio 2005, doc. web n. 1103045, alla luce peraltro dei principi di accountability e di “responsabilità generale” (v. Cons. n. 74, del Regolamento)”.
Dunque, per definire eccessivo il termine individuato dal Titolare nel caso di specie il Garante ha richiamato il proprio provvedimento antecedente, lasciando intendere che esso non sia stato del tutto sorpassato e che possa essere ancora utilizzato come punto di riferimento.
Nel caso citato si osserva anche che il Garante della Privacy ha ingiunto alla società sottoposta a procedimento di cancellare i dati acquisiti da più di 10 anni, sottintendendo così che il termine di 24 mesi per la conservazione dei dati per marketing non è assoluto, ma può essere superato accertando in concreto la sussistenza di un fondato motivo del Titolare del trattamento.
Dalle pronunce citate si può concludere che il Titolare ha il dovere di:
1. individuare in modo specifico un termine massimo di conservazione dei dati, non essendo sufficiente riportare la formula per cui “la conservazione avverrà fino al raggiungimento delle finalità per cui i dati sono stati acquisiti”;
2. il termine di 24 mesi per la conservazione dei dati, definito con la pronuncia del 24 febbraio 2005, doc. n. 1103045, per finalità di marketing non è stato del tutto sorpassato, ma potrebbe essere considerato ancora un parametro valido oppure un punto di partenza per individuare il tempo massimo di conservazione;
3. il Titolare ha la facoltà di individuare un termine superiore a 24 mesi per la conservazione dei dati per finalità di marketing, oppure 12 mesi per l’attività di profilazione, secondo il principio di responsabilizzazione (accountability), essendo chiamato ad un’attenta valutazione di opportunità delle finalità, delle modalità e dei tempi di conservazione dei dati personali dei propri utenti;
4. l’interessato ha sempre il diritto di rifiutare il trattamento dei propri dati per finalità di marketing al momento della conclusione del rapporto contrattuale;
5 .l’interessato può sempre revocare il consenso rilasciato al Titolare per il trattamento dei propri dati per finalità di marketing, in qualsiasi momento e gratuitamente.
______
*A cura degli Avv.ti Flavia Ciccotelli, Biagio Giancola – Studio Legale WEADVISE
Fonte: Il Sole 24 Ore
