Oggi ho ricevuto l'ennesima mail di spam. Ma, scorrendo fino in fondo, ho trovato una dicitura (disclaimer) molto curioso: Questo messaggio ti è stato inviato sulla base del legittimo interesse (art. 6, par. 1, lett. f del GDPR). Abbiamo raccolto i tuoi dati da fonti pubbliche (come LinkedIn, siti web aziendali o elenchi professionali) e li abbiamo trattati esclusivamente per proporti un servizio potenzialmente utile per la tua attività. Ebbene: questa affermazione non ha alcun fondamento (è solo un giro di parole pseudo-legale). Vediamo perché

La scusa del "Legittimo Interesse"
Chi invia queste comunicazioni, generalmente rivolte a utenti professionali (B2B), sa benissimo che non ha mai ottenuto il "consenso esplicito" del destinatario, cioè l'autorizzazione formale a ricevere proposte commerciali. E sa altrettanto bene che il GDPR, il Regolamento Generale sulla Protezione dei Dati, è molto severo con chi invia email non richieste.
Allora a cosa si appigliano? All'Articolo 6, paragrafo 1, lettera f) del GDPR, ovvero il famoso "legittimo interesse".
La loro logica è questa: "Io ho un servizio da vendere, tu hai un'azienda e sei su LinkedIn. Il mio servizio potrebbe esserti utile. Quindi, io ho un 'legittimo interesse' a contattarti, e tu sei tenuto a ricevere la mia email".
Messa così, per chi non conosce la normativa, sembra quasi che abbiano ragione. Sbagliato.
Perché questa giustificazione non regge (spiegazione semplice)
Il Garante per la Privacy (sia in Italia, sia a livello europeo) si è già espresso su questa interpretazione "creativa" del GDPR. E la risposta è sempre stata chiara: non è consentito:
1. Il Legittimo Interesse non è un passe-partout per il Direct Marketing - Il legittimo interesse esiste ed è normato (vedi seguito). Ma non può mai prevalere sui diritti e le libertà fondamentali dell'interessato (cioè voi). Per usare questa base giuridica in modo corretto, il mittente dovrebbe effettuare un preventivo "bilanciamento degli interessi" e dimostrare che il suo interesse a proporvi un servizio è superiore al vostro diritto alla privacy e alla tranquillità. Nel caso dello spam generico, questo non avviene mai.
2. Le "fonti pubbliche" non sono un bancomat di contatti - Il fatto che il vostro indirizzo email sia su LinkedIn, sul sito della vostra azienda o su un albo professionale non autorizza nessuno a prelevarlo e usarlo per invii commerciali. I dati sono resi pubblici per uno scopo specifico (es. essere contattati per questioni lavorative inerenti al proprio ruolo), non per finire nei database di un venditore di software. Raccogliere massivamente dati da fonti pubbliche (scraping) per fini di marketing, in assenza di consenso, è una pratica illecita.
3. La scusa del "servizio potenzialmente utile" - Chi decide che quel servizio è utile? Il concetto di "utilità" è puramente soggettivo e presunto dal mittente. Quello che a loro sembra un'offerta imperdibile, per il destinatario potrebbe essere del tutto irrilevante. Non c'è alcun nesso oggettivo preesistente che giustifichi l'invio.
4. Il "No grazie" (opt-out) non basta a sanare l'invio - Spesso si legge: "Se non ti va, rispondi "no grazie" e smetto". Questa tecnica si basa sull'"opt-out" (rifiuto a posteriori). Tuttavia, la legge non ammette ignoranza: in Europa per le comunicazioni elettroniche automatizzate vige la ferrea regola dell'opt-in (consenso preventivo). Per essere precisi, in Italia questo vincolo è normato dall'Articolo 130 del Codice della Privacy (D.Lgs. 196/2003, in attuazione della Direttiva europea ePrivacy). Questo articolo stabilisce chiaramente che l'uso di sistemi automatizzati, come la posta elettronica, per l'invio di materiale pubblicitario o commerciale è consentito esclusivamente con il consenso preventivo del destinatario. Includere un'opzione di cancellazione in fondo al testo non rende legale un'email che, in partenza, non doveva essere inviata.

A cosa serve davvero il Legittimo Interesse
Il legittimo interesse è una base giuridica validissima e fondamentale del GDPR, ma è stata pensata per tutelare i titolari del trattamento in situazioni ben diverse dal marketing selvaggio. Serve per giustificare il trattamento dei dati quando questo è strettamente necessario, proporzionato e, soprattutto, ragionevolmente atteso dall'utente (come specificato nel Considerando 47 del GDPR), senza che questo invada la sua privacy.
Eccone due esempi pratici previsti dalla normativa stessa:
- Sicurezza informatica: Un'azienda che registra e analizza gli indirizzi IP di chi tenta l'accesso ai propri server per difendersi dagli attacchi hacker o prevenire accessi non autorizzati. Questo trattamento avviene sulla base del legittimo interesse alla sicurezza delle reti, un'ipotesi esplicitamente prevista e autorizzata dal Considerando 49 del GDPR.
- Prevenzione delle frodi: Una banca che analizza i movimenti del tuo conto corrente e incrocia i dati per individuare e bloccare in tempo reale transazioni sospette (ad esempio, un pagamento anomalo dall'estero). In questo caso, il legittimo interesse dell'istituto tutela sia la banca stessa che il cliente. Anche in questo caso, la prevenzione delle frodi è citata testualmente dal Considerando 47 del GDPR come esempio tipico di legittimo interesse.
Cosa fare quando si ricevono queste email
Innanzitutto, non rispondete mai "no grazie" come vi suggeriscono. Se lo fate, state confermando agli spammer che il vostro indirizzo email è attivo, che leggete i messaggi e che siete pronti per essere inseriti in altre liste.
Le opzioni sensate sono due:
- Il tasto
Segnala come spamè la scelta migliore: Cliccatelo senza remore. Segnalare l'email al vostro provider (Gmail, Outlook, ecc.) aiuta ad addestrare i filtri antispam globali e a proteggere tutti gli altri utenti. - Ignorare e cancellare: Spostate il messaggio nel cestino e passate oltre.
In casi di accanimento (se l'invio è continuo e molesto nonostante i blocchi), ci si potrebbe rivolgere al Garante della Privacy, anche se per una singola email B2B, purtroppo, i tempi e i modi della burocrazia rendono la segnalazione poco pratica.

Cosa rischia chi spamma illegalmente?
Chi decide di ignorare queste regole e continuare a inviare comunicazioni massive non richieste (nascondendosi dietro finti "legittimi interessi") si espone a conseguenze legali ed economiche gravissime. Le autorità garanti per la privacy non prendono alla leggera queste violazioni.
Ecco le principali sanzioni previste dalla normativa:
- Sanzioni amministrative milionarie: Il GDPR prevede multe estremamente severe per il trattamento illecito dei dati a fini di marketing. Le sanzioni possono arrivare fino a 20 milioni di euro oppure, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se questo importo risulta superiore (Articolo 83 del GDPR).
- Blocco del trattamento: Oltre all'impatto economico, il Garante può emettere un provvedimento inibitorio. Questo significa obbligare l'azienda a cessare immediatamente l'invio delle email e vietare l'ulteriore utilizzo del database di contatti raccolto illecitamente, paralizzando di fatto le loro attività di vendita.
- Risarcimento danni e danno d'immagine: Chi subisce lo spam ha il diritto di richiedere un risarcimento per eventuali danni. A questo si aggiunge un enorme e incalcolabile danno reputazionale: un'azienda che si presenta tempestando la casella di posta dei potenziali clienti non trasmette affidabilità, ma appare solo scorretta e poco professionale.
Conclusioni
Il GDPR è una norma complessa, ma il suo principio di base è semplice: il controllo dei vostri dati spetta a voi. Le contorsioni legali e le frasi a effetto come il disclaimer del "legittimo interesse" sono spesso solo l'ultimo tentativo di dare una parvenza di professionalità e legalità a pratiche di marketing scorrette.