La Privacy nell’era digitale

Trattiamo il tema della privacy.

Lo scorso anno, il Garante della privacy ha adottato due importanti provvedimenti in materia di marketing: un provvedimento generale in tema di consenso al trattamento dei dati personali e, le Linee Guida in materia di attività promozionale e contrasto allo spam.

A questo punto ci chiediamo come dobbiamo comportarci nella gestione di attività promozionali o di vendita mediante operatore, messaggi automatici, SMS, e-mail, siti Web ed altre fonti.

L’obiettivo è quello di semplificare l’acquisizione del consenso anche quando è ottenuto attraverso canali digitali. Può essere considerato valido anche per contatti tramite operatore, oppure nel caso di invii postali (non serve, in sostanza, un secondo consenso per l’utilizzo dei canali tradizionali di comunicazione).

Il Garante fornisce delle linee guida, per meglio interpretare le norme esistenti, inserendo alcuni elementi di maggior rigore di cui le aziende dovranno necessariamente tenere conto.

Il primo principio consolidato è quello per cui il marketing diretto, fatte salve alcune eccezioni, richiede, per essere conforme alla legge, l’acquisizione del consenso preventivo ed informato dell’interessato (principio dell’ opt-in ).

L’informativa deve specificare (oltre agli altri elementi obbligatori per legge) quali modalità saranno utilizzate per il trattamento (posta cartacea, telefonate automatizzate, fax, e-mail, sms, mms), e quali le finalità del trattamento, ivi comprese quelle eventuali ed ulteriori rispetto alla finalità di marketing (ad esempio, la profilazione dell’utente).

Quanto al consenso, in ossequio al principio dell’opt-in, non è lecito limitarsi a informare l’interessato, con la prima comunicazione commerciale, della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con la stessa prima comunicazione, il consenso al trattamento dati per finalità promozionali. Nemmeno è lecito assumere che l’interessato acconsenta all’invio di comunicazioni commerciali solo perché i suoi dati personali sono reperibili in pubblici elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque, ivi compreso l’indice nazionale degli indirizzi pec.

Il consenso ad attività di marketing, inoltre, non è validamente prestato se è pre-impostato (come quando la casella del consenso è spuntata in default) ovvero quando esso viene indirettamente coartato facendone una condizione per conseguire una determinata prestazione (ad es. per la registrazione a un sito web).

Non è legittimo, infine, acquisire un unico consenso per finalità promozionali proprie e di terzi, vale a dire per la comunicazione o cessione dei dati a soggetti terzi perché questi inviino proprie comunicazioni commerciali, neppure quando detti terzi siano società controllanti o controllate o collegate. In questi casi non solo l’azienda che raccoglie i dati deve informare previamente gli interessati della progettata comunicazione e/o cessione a terzi, specificando le categorie (economiche o merceologiche) di appartenenza di questi ultimi, ma anche ottenere un consenso distinto da quello richiesto per svolgere essa stessa attività promozionale.

Infine, sempre in tema di consenso, il Garante ha ricordato l’eccezione del c.d. soft spam , la regola, cioè, per la quale, per il solo marketing effettuato mediante posta elettronica, il titolare del trattamento può utilizzare le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso.

Fin qui, le indicazioni tutto sommato prevedibili di un provvedimento che, come detto, si segnala più per il suo valore sistematico che per la portata innovativa. Come anticipato, esso contiene però anche due significative novità.

La prima riguarda la possibilità di acquisizione di un unico consenso per tutte le finalità del trattamento dei dati personali riconducibili alla finalità di marketing in senso ampio, e così quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale.

Nel corso degli anni, il Garante è sempre stato piuttosto rigoroso nell’affermare il principio che il consenso al trattamento dei dati personali non può mai essere acquisito una sola volta per finalità diverse (ad esempio, per l’iscrizione a un sito e al contempo per ricevere comunicazioni commerciali); quando si intende trattare i dati dell’interessato per finalità diverse, ha sempre affermato, occorre ottenere un separato e specifico consenso per ciascuna di esse.

In questo caso, tuttavia, il Garante ha ritenuto che le finalità sopra elencate (che conviene ripetere: invio di materiale pubblicitario; vendita diretta; compimento di ricerche di mercato; comunicazione commerciale) siano tra loro omogenee, perché ricomprese nella generale categoria del “marketing”, e che richiedere per ciascuna un consenso separato avrebbe comportato un’eccessiva burocratizzazione. Ha, quindi, chiarito che nel caso l’acquisizione del consenso una tantum è da ritenersi conforme a legge.

Allo stesso tempo, però, il Garante ha ribadito che è necessario, al contrario, ottenere una separata espressione di consenso dall’interessato quando si vogliano raccogliere i dati – oltre che per finalità di marketing – anche per finalità di profilazione, e/o di comunicazione o cessione dei dati a terze parti. In questo caso, infatti, manca l’omogeneità del fine che giustifica l’unicità del consenso al trattamento.

E come dobbiamo comportarsi con i social network?

Il Garante ha chiarito che il fatto stesso di diventare fan della pagina di una determinata azienda o follower di un determinato marchio, prodotto o servizio, può costituire di per sé valida espressione di consenso all’invio di comunicazione promozionale, riguardante quel marchio, prodotto o impresa, se dal contesto dell’iscrizione può evincersi che l’interessato abbia voluto manifestare anche la volontà di ricevere messaggi promozionali.

In ogni altro caso, l’impiego di dati personali presenti nei profili degli utenti sui social network, per inviare agli utenti stessi messaggi promozionali, costituisce trattamento illegittimo di dati personali se effettuato senza previo consenso espresso degli interessati.

A questa spiegazione fornita da “Sole 24 Ore” aggiungo questo decalogo per trattare correttamente i dati, stilato da MailUp, società specializzata in email marketing, con il contributo dell’avvocato Marco Maglio:

  1. Verificare l’origine dei dati che si intende usare prima di qualsiasi campagna promozionale e controllare che i destinatari abbiano ricevuto un’adeguata informativa fornendo un consenso valido.
  2. Non comprare o usare liste di nominativi di dubbia provenienza.
  3. Offrire ai destinatari dei messaggi la possibilità di accedere ai dati che li riguardano, di aggiornarli, modificarli, integrarli, farli cancellare o di revocare il consenso in modo chiaro, semplice e senza complicazioni.
  4. Informare prontamente chi gestisce il database se un destinatario formula un’istanza per l’esercizio dei propri diritti.
  5. Custodire in modo riservato banche dati, contratti e documenti. In qualsiasi momento potrebbe essere richiesto di dimostrare da dove provengono i dati e quando e come si è ottenuto il consenso.
  6. Monitorare il database e segnalare a chi lo gestisce anomalie nella qualità dei dati presenti.
  7. Adottare le misure di sicurezza informatiche previste dal sistema dell’azienda quando ci si connette alla rete per il collegamento alla banca dati.
  8. Informare i collaboratori sulle regole di riservatezza e sulle norme di protezione dei dati personali per evitare abusi dovuti a negligenza.
  9. Tenersi aggiornato sui provvedimenti normativi e verificare che tutte le procedure messe in atto rispondano pienamente alle disposizioni di legge; non dimenticare che le normative cambiano e si evolvono rapidamente, come la tecnologia che ne consente il trattamento.
  10. Aggiungere un indirizzo “sentinella” nella lista, per verificarne usi impropri o furti.

2 risposte a "La Privacy nell’era digitale"

Add yours

  1. Pingback: Google e le nuove norme sulla privacy | Marketingando
  2. Pingback: Come evitare di finire nello Spam. | Marketingando

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Gravatar
Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Annulla

Connessione a %s...

Su ↑