Le attività di marketing, sempre più mirate ed invasive, si muovono spesso sul filo dell’illecito dal punto di vista privacy, ma se gestite correttamente, rappresentano sicuramente il motore dell’economia futura. Sappiamo tutti che le aziende sono sempre più a caccia di dati di potenziali clienti e di informazioni che permettano la profilazione sempre più di dettaglio dei clienti acquisiti, e con l’applicazione del nuovo Regolamento Privacy, l’interessato sarà sempre più consapevole dei suoi diritti, col rischio che tante attività promozionali non possano essere avviate per mancanza di consensi. E’ pertanto necessario che le aziende rivedano i loro database (DB) ed il modo in cui sono stati costruiti, e che approfittino della nuova normativa per rinfrescare il rapporto coi clienti, attraverso una informativa privacy che diventi lei stessa uno strumento promozionale in grado di illustrare i vantaggi delle future iniziative e la serietà con cui i dati acquisiti vengono gestiti e custoditi.
Per fare ciò è necessario fare una panoramica di quello che è consentito o meno fare dal punto di vista della normativa.
Informativa e consenso: libertà al consumatore
Il concetto generale da tenere sempre in considerazione è che l’interessato deve essere sempre informato relativamente al fatto che i suoi dati possono essere utilizzati per scopi commerciali e deve essere messo in condizione di dare o revocare il consenso a suo piacimento. In quest’ottica l’informativa non deve essere vista come un obbligo burocratico (che spesso si traduce in lunghi e incomprensibili papiri), ma deve essere uno strumento di trasparenza volto a consolidare il rapporto tra l’azienda e i suoi clienti. Tale informativa può essere scritta, orale, caricata sul sito, comunicata via posta o esposta nei luoghi frequentati dall’utente. Per tutte le attività di tipo commerciale è poi necessario che l’interessato rilasci il consenso, e questo consenso deve essere:
- informato: l’interessato deve ricevere tutte le opportune informazioni relative alle modalità e finalità per cui i suoi dati son trattati
- liberamente espresso: il consenso non deve vincolare l’erogazione del prodotto o servizio e non devono essere esercitate pressioni sull’interessato per ottenerlo. Non è inoltre consentito contrassegnare in anticipo le caselle per il consenso
- documentato per iscritto: se orale, deve essere registrato
- specifico: è necessario individuare tutte le possibili finalità e richiedere consensi per ciascuna di esse (marketing, profilazione, cessione a terzi, ecc…)
- preventivo: il consenso deve essere richiesto prima dell’avvio dell’iniziativa promozionale, non è lecito utilizzare il primo messaggio promozionale per richiedere il consenso
Per quanto riguarda il soft spam, ossia l’invio telematico di materiale promozionale relativo a prodotti o servizi di cui l’utente si è già avvalso in passato, non è necessario acquisire un nuovo consenso, a patto che sia lasciata all’utente la possibilità di revocare il consenso in qualsiasi momento per future iniziative.
Per poter utilizzare dati pubblici, quali quelli per esempio degli ordini professionali, del registro automobilistico, ecc, è necessario prima verificare che tipo di consenso era stato richiesto al momento della costituzione del Data Base (per esempio l’iscritto all’ordine aveva dato il consenso per la cessione a terzi a fini marketing?). Per quanto riguarda invece i numeri contenuti in elenchi telefonici generali, è possibile contattarli telefonicamente tramite operatore, a patto di aver verificato che gli interessati non si siano iscritti al Registro delle Opposizioni (che, ricordiamo, riguarda solo i numeri di telefono presenti appunto su elenchi pubblici).
Profilazione
Tranne situazioni eccezionali in cui comunque le aziende devono chiedere al Garante una valutazione preliminare dell’attività, le iniziative di profilazione devono essere soggette a consenso dell’interessato e sono sempre e comunque vietate le attività di profilazione incrociata (creazione di profili dell’utente attraverso l’incrocio di diverse tipologie di informazioni relative a diverse abitudini di vita e di consumo), a meno che l’interessato non ne sia pienamente consapevole. Nel tema della profilazione entra anche tutto il discorso della geolocalizzazione.
Si sottolinea che con il nuovo regolamento tutti i titolari che svolgono attività di profilazione su larga scala sono tenuti a fare una Valutazione di impatto sui dati (vedi articolo dedicato) ai fini di descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti da tale operazione. Qualora tale valutazione rilevasse delle anomalie, è necessario confrontarsi col Garante per individuare il massimo livello di tutela possibile.
Iniziative marketing svolte da terzi
Sempre più spesso si demanda a società specializzate iniziative di scouting di nuovi contatti, rimanendo comunque a tutti gli effetti Titolari del trattamento. E questo è un aspetto cruciale della questione, perchè resta in capo al Titolare la responsabilità sulla liceità del trattamento. Detto questo è quindi necessario che il titolare del trattamento si tuteli da eventuali abusi commessi dal fornitore e pertanto:
- si assicuri che i contatti presenti nei DB utilizzati abbiano dato esplicito consenso alla cessione a terzi del loro contatto, e abbiano accettato di essere contattati da terze parti rientranti nel proprio settore di riferimento (abbigliamenti, finanza, largo consumo, etc)
- verifichi a campione il contenuto del consenso richiesto e l’effettiva presenza di tale consenso (magari chiedendo l’evidenza di qualche interessato a campione)
- predisponga debita informativa da inoltrare insieme all’avvio della campagna con tutte le informazioni necessarie a identificare il titolare ed eventualmente revocare il consenso
- formalizzi in capo al fornitore del DB una nomina a responsabile esterno nella quale siano chiarite garanzie e responsabilità in capo al fornitore stesso
Web e social network
Innanzitutto sottolineiamo che i messaggi promozionali inviati agli utenti dei social network sono soggetti anch’essi alla disciplina del Regolamento privacy. Si possono distinguere due ipotesi distinte:
- il primo caso riguarda l’utente che riceve (in privato, in bacheca o sui contatti indicati sul social) un messaggio promozionale relativo a un prodotto o servizio da un’impresa che abbia ricavato tali dati dal profilo social. In questa situazione il trattamento è palesemente illecito a meno che il titolare non dimostri in qualche modo di aver ottenuto esplicito consenso.
- può invece succedere che l’utente, fan della pagina di una determinata impresa o società o follower di un determinato marchio, prodotto o servizio, riceva messaggi pubblicitari collegati ai suddetti elementi. In questo caso il trattamento è considerato lecito se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l’utente abbia voluto manifestare il proprio consenso a ricevere messaggi promozionali. Se invece l’interessato si cancella dal gruppo o cessa di essere follower, il successivo contatto promozionale diventa illecito.
Per quanto riguarda invece i cookie, è necessario distinguere fra quelli tecnici e quelli di profilazione. Mentre in generale quelli tecnici sono sempre concessi a patto di informare l’utente della possibilità di bloccarli (salvo poi non poter usufruire del servizio), per quanto riguarda quelli di profilazione il gestore del sito deve dare immediata e chiara informativa all’utente tramite apposito banner che rimandi ad una informativa di dettaglio che illustri gli scopi dei cookie di profilazione e la modalità per gestire l’opt out.
E cosa si può fare con il contatto del referente dell’azienda cliente?
Tutto è chiaro e trasparente finchè si tratta dell’utente finale (il consumer). Ma che cosa succede per quanto riguarda le iniziative di marketing nel settore B2B, ossia per comunicazioni promozionali destinate al referente della mia azienda cliente? Come descritto nell’apposito approfondimento, se la mail non è info@ (o simili) ma è riferita esplicitamente ad una persona, tipo nome.cognome@azienda.com, allora in linea con quanto stabilito dal Garante è necessario considerare tali indirizzi come personali e quindi riferiti a persone fisiche che van trattate come qualsiasi altro interessato, con la necessità di informativa dettagliata e consenso esplicito per le attività rientranti nella sfera del marketing.
Ulteriori approfondimenti li potete trovare nel Vademecum del Garante sull’attività di marketing
Lascia un commento