Di Giuseppe Virgallita
Nell’ articolo precedente abbiamo parlato del diritto allo smart working e la sua regolamentazione.
In questo articolo vi parliamo del rispetto del GDPR nel marketing diretto.
Il marketing è l’insieme delle azioni volte al piazzamento di prodotti o servizi da parte di imprese.
Esistono due tipi di marketing, quello diretto e indiretto.
Il marketing diretto si ha quando le azioni sono messe in atto direttamente dall’azienda interessata a vendere il prodotto o il servizio. Mentre quello indiretto si ha quando intervengono degli intermediari fra venditore e consumatore. In entrambi i casi l’azienda ricorre a strumenti ed azioni per raggiungere il proprio target. Questo lo fa attraverso la gestione dei feedback e la misurazione dei risultati di campagna. Le aziende solitamente utilizzano la prima tipologia, il marketing diretto dunque, che genera il maggior impatto sulla protezione, conservazione e gestione dei dati.
Il marketing e la gestione dei dati.
Le attività di gestione e di trattamento dei dati personali sono ritenute assai critiche per il marketing e hanno imposto un’attenzione particolare da parte dell’Autorità Garante per la privacy alla luce del Regolamento UE 2016/679 (GDPR).
Inoltre, la diffusione di nuovi canali di promozione commerciale, soprattutto per le imprese medio piccole, assume un ruolo centrale sia nella normativa del GDPR, che nella normativa italiana di attuazione.
Il rispetto del GDPR nel marketing diretto è funzionale al raggiungimento degli obiettivi aziendali.
Ad esempio, un qualunque messaggio pubblicitario inviato rispettando i principi generali in materia di trattamento dati, risulta sicuramente molto più efficace e permette al titolare del trattamento di progettare le proprie strategie di marketing in maniera più incisiva e sicura, evitando di incorrere in sanzioni. Il trattamento dei dati in ambito di marketing deve basarsi su una delle basi giuridiche previste dall’art. 6 del GDPR. Fra di esse rientrano, ad esempio, il consenso, il legittimo interesse, gli obblighi derivanti dalla legge e tutti gli obblighi inerenti al rapporto contrattuale con l’interessato.
L’art. 47 del GDPR prevede che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Tuttavia, questa affermazione non può prescindere dalla Direttiva sulla e-privacy 2002/85/CE che disciplina le comunicazioni per scopi e finalità di marketing tramite sistemi automatizzati. Il trattamento di questi dati, dunque, deve continuare ad essere gestito previa acquisizione del consenso di cui alla Direttiva e-privacy.
L’obbligo di fornire una informativa dettagliata, con termini semplici, diretti e chiari, era peraltro già previsto dalla normativa precedente al GDPR, che ne rafforza l’obbligo negli artt. 13 e 14 dello stesso Regolamento. Viene specificato, inoltre, che l’informativa deve essere trasparente e comprensibile, oltre che facilmente accessibile all’interessato.
Il consenso al trattamento dei dati.
Il consenso al trattamento dei dati deve essere libero, specifico, informato e manifestato con una dichiarazione o azione positiva inequivocabile. Per le finalità di marketing si deve sempre gestire il consenso in modo tale che la persona che lo conceda possa decidere in piena autonomia se e quando revocarlo; inoltre, deve poter decidere se autorizzare o meno il trattamento per le diverse finalità per cui sia richiesto.
Molto importanti sono gli artt. che vanno dal 15 al 22 GDPR, in quanto specificano tutti i diritti degli interessati che devono essere garantiti in ambito di trattamento dati. Nel marketing, in particolare, occorre prestare particolare attenzione al diritto di opposizione. L’interessato, infatti, potrà in qualsiasi momento validamente opporsi al trattamento dei dati personali che lo riguardano, ai sensi dell’art. 6 del GDPR. L’interessato potrà esercitare tale diritto in ogni momento, anche con l’ausilio di mezzi automatizzati. Ne è un esempio tramite il link per cancellarsi dalle mailing list.
Anche per tutte le attività di marketing valgono le prescrizioni previste dagli artt. 44-50 GDPR. I dati personali dell’interessato, infatti, non possono essere trasferiti nei paesi esteri, senza la previa verifica della sussistenza di idonee garanzie previste dalla normativa europea.
Il trattamento dei dati per le attività di marketing rientra fra i trattamenti da documentare e tracciare attraverso la redazione del Registro del trattamento, di cui all’art. 30 GDPR. Sarà obbligo del titolare e del responsabile del trattamento tenere aggiornato il registro. Se l’attività di marketing è svolta da soggetti terzi, questi andranno indicati nell’apposito registro.
I dati, inoltre, devono essere protetti con adeguate e pertinenti misure di sicurezza, la cui adeguatezza e pertinenza devono essere proporzionali al relativo rischio al trattamento, ai sensi dell’art. 32 GDPR. Queste misure di sicurezza possono essere di vario genere, da scegliersi in funzione della tipologia dei dati trattati e della dimensione dell’azienda.
Eventuali violazioni dei dati, “data breach”, dovranno essere segnalate entro 72 ore all’Autorità Garante per la privacy e, in casi specifici, anche agli stessi interessati, ai sensi degli artt. 33 e 34 GDPR.
E per quanto riguarda i dati pubblici?
Oltre ai dati “comuni e standard” trattati mediante il consenso espresso dagli interessati, assume particolare rilevanza la questione legati ai dati pubblici. Parliamo ad esempio, di quelli resi noti e pubblicati all’interno di albi professionali ed elenchi, facilmente accessibili e raggiungibili da chiunque. Per la loro gestione è comunque necessario il consenso, il quale deve essere preventivo, libero, specifico, non equivocabile ed informato da parte del soggetto interessato.
L’Autorità Garante, nel fornire le proprie motivazioni, si basa sui principi che reggono tutta l’impalcatura della normativa GDPR, ossia quelli di correttezza, finalità, liceità e trasparenza. Dunque, i dati “vengono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, e vengono raccolti per specifiche finalità, esplicite e legittime, successivamente trattati in modo che non siano incompatibili con le predette finalità”.
Il trattamento dei dati pubblici per fini commerciali e di marketing è lecito solo se la disciplina che ne regolamenta la fonte, indichi espressamente se tali possano essere trattati per fini di marketing. Sempre inoltre, che le attività commerciali siano direttamente funzionali all’attività dell’interessato che ha prestato il consenso all’inserimento dei propri dati all’interno degli appositi elenchi.
Perché il GDPR è così importante per il marketing diretto?
Alla luce di quanto detto sinora, appare evidente l’importanza che riveste l’impianto normativo del GDPR nel campo del marketing, soprattutto quello diretto. Il titolare del trattamento dati dovrà adeguare tutto l’assetto aziendale al principio di responsabilizzazione, la arcinota “accountability”, che permea l’intero Regolamento Europeo. Nello specifico, il titolare dovrà aver cura di riportare all’interno della informativa privacy, tutte le informazioni e le valutazioni effettuate relativamente al perseguimento di un proprio legittimo interesse, finalizzato allo svolgimento di attività di marketing diretto. Il tutto al fine di favorire il corretto sviluppo di iniziative pubblicitarie e attività commerciali senza una invasione smisurata dei diritti e delle libertà dell’interessato, così da rendere l’attuale quadro normativo il più chiaro e trasparente possibile.
IWS Consulting si adegua e promuove l’aderenza al GDPR anche in tema di marketing diretto.
Nel prossimo approfondimento ci occuperemo ancora di marketing, stavolta focalizzando l’attenzione sulla gestione delle mail.
