Gdpr: marketing diretto e indiretto
Le attività promozionali ai sensi della nuova normativa sulla privacy (Gdpr), regolamento Ue 679/2016 e d.lgs. n. 101/2018
di Monia Vasta - Le attività promozionali non possono prescindere dall'analisi e dal trattamento di una serie di dati, personali e non, relativi ai clienti dell'azienda.
Età, sesso, luogo di residenza, preferenze. Questi sono solo alcuni dei dati personali utili a chi fa marketing, in modo da perfezionare e rendere più efficiente ogni azione e trasformare una persona interessata in un cliente dell'azienda.
- Gdpr e marketing
- Marketing diretto e soft spam
- Legittimo interesse: la base legale per il marketing
- Marketing indiretto: le regole
Gdpr e marketing
[Torna su]
Posto che già con il Codice Privacy (D.lgs. 196/2003) la compliance alla normativa doveva essere tenuta in considerazione, con il GDPR quest'ultima ha assunto un ruolo ancor più importante. Pensiamo non soltanto alle elevate sanzioni che si rischiano in caso di inadempimento, ma anche al potere in mano agli interessati di potersi rivalere direttamente contro l'azienda in caso di danni derivanti da un illecito trattamento, oppure, non meno importante, l'impatto reputazionale negativo che porterebbe una violazione.
Si deve tenere da conto che il Codice Privacy, in ambito di trattamento dei dati personali con finalità promozionale continua ad esistere, aggiornato e novellato dal D.lgs. 101/2018.
Al fine di analizzare la normativa è importante fare una distinzione tra le attività di marketing diretto e indiretto.
Si parla di marketing diretto quando non vi è presenza di intermediari e di marketing indiretto quando tra il venditore ed il consumatore si frappongono alti soggetti.
Marketing diretto e soft spam
[Torna su]
Per marketing diretto si intende quell'attività promozionale svolta dall'impresa senza la presenza di intermediari tra essa ed il cliente.
La base giuridica per effettuare questo tipo di attività, è essenzialmente il consenso. L'azienda, infatti, deve acquisire il consenso nei modi e nelle forme prescritte dall'art. 6 lettera A del GDPR e dai considerando 42 e 43.
Non è possibile utilizzare automaticamente e senza consenso i dati tratti da pubblici registri o già pubblici, ad esempio, su siti web.
Il consenso deve essere prestato per ogni finalità diversa di trattamento. Per la profilazione dell'interessato, ad esempio, è necessario richiedere un ulteriore consenso.
Si può derogare alla richiesta di consenso solamente quando ricorrono determinati presupposti:
- quando l'interessato è già cliente dell'azienda e solo per prodotti o servizi analoghi (cosiddetto "Soft spam"). In questo caso è necessario che l'interessato sia: già cliente del titolare del trattamento, abbia fornito i dati personali di contatto (ad esempio, l'indirizzo e-mail) nel contesto della vendita, i messaggi promozionali devono essere inviati direttamente dal titolare e non da terzi, devono riguardare prodotti e servizi analoghi a quelli già acquistati e bisogna offrire la possibilità al cliente di opporsi al trattamento in questione;
- nel caso in cui l'attività promozionale venga svolta attraverso telefonate con operatore o posta cartacea e l'interessato non si sia opposto. In questo caso il Codice Privacy novellato, all'art. 130 comma 1 intitolato "comunicazioni indesiderate", fa una sottile ma importante precisazione.
Tali comunicazioni, infatti, sono consentite nei confronti del contraente o utente che abbia prestato il consenso o che non si sia opposto. Bisogna fare molta attenzione, quindi, al soggetto interessato che non è "persona fisica" ma "utente o contraente". L'ambito di applicazione di questa norma, quindi, si estende dalle persone fisiche anche alle persone giuridiche.
Al fine di opporsi a tale tipo di trattamenti è sufficiente che l'interessato si iscriva al Registro delle opposizioni, tenuto dalla Fondazione Ugo Bordoni, sia per le telefonate con operatore che, tra breve, anche per la posta cartacea.
Legittimo interesse: la base legale per il marketing
[Torna su]
Il considerando 47 accenna alla possibilità che il trattamento per finalità di marketing diretto possa essere considerato legittimo interesse (art. 6 lettera F – GDPR).
Questo però non consente un trattamento indiscriminato di ogni dato personale per finalità di marketing diretto, attenzione.
Il legittimo interesse del titolare va sempre bilanciato con i diritti e le libertà dell'interessato (in particolar modo se l'interessato è un minore) e inoltre bisogna tener conto delle ragionevoli aspettative dello stesso in base alla relazione tra i due.
Le linee guida dell'ex Wp29 ora European Data Protection Board (EDPB) sulle decisioni automatizzate e profilazione, aprono alla possibilità di basare anche la profilazione su un legittimo interesse del titolare, sempre che non prevalgano gli interessi del cliente.
Marketing indiretto: le regole
[Torna su]
Il marketing indiretto, invece, si presenta nel momento in cui vi siano intermediari tra l'azienda e l'interessato, ad esempio nel caso di inserzioni pubblicitarie sul web.
In questo caso i dati personali del potenziale cliente verranno gestiti direttamente dall'intermediario che, generalmente, li renderà disponibili all'azienda solo in forma aggregata e anonima.
Sarà onere dell'intermediario/titolare informare l'interessato dei trattamenti svolti e valutare attentamente le basi giuridiche con le quali legittimarli.
Qualora poi l'intermediario dovesse condividere i dati in maniera non anonima, dovrebbe ricorrere all'azienda ricevente come responsabile del trattamento ex art. 28, oppure stabilendo un rapporto di contitolarità redigendo un contratto e fissando obblighi e responsabilità di ciascuna parte.
Vai alla guida Gdpr: tutto quello che c'è da sapere
Data: 28/06/2019 16:00:00Autore: Monia Vasta