Tratto dallo speciale:

Marketing, trattamento dati e GDPR: istruzioni per l’uso

di Cristiano Montesi

Pubblicato 20 Maggio 2019
Aggiornato 4 Marzo 2024 12:00

logo PMI+ logo PMI+
Marketing diretto: come adeguarsi al GDPR quando si trattano dati personali degli utenti, compresi quelli in albi ed elenchi professionali.

L’obiettivo di ogni efficace strategia di marketing – in considerazione degli obiettivi aziendali e a partire da un’attenta valutazione della domanda di mercato e della concorrenza – è quello di individuare i bisogni di clienti attuali e potenziali, definendo azioni opportune per generare soddisfazione con reciproco vantaggio.

Si può distinguere in marketing diretto, quando le azioni sono messe in atto direttamente dall’azienda interessata vendere il prodotto o il servizio, e indiretto, quando intervengono degli intermediari tra venditore e consumatore. In entrambi i casi, si ricorre a strumenti ed azioni volte a raggiungere il proprio  target attraverso la gestione dei feedback e la misurazione dei risultati di campagna.

Per le aziende, è ovviamente la prima tipologia quella che genera il maggiore impatto sulla protezione dei dati. Le attività di gestione e trattamento dei dati personali, infatti, per il marketing sono ritenute critiche e hanno imposto particolare attenzione dal parte del Garante Privacy alla luce del GDPR 679/2016.

Consenso

Il trattamento dei dati deve fondarsi su una delle basi giuridiche previste dall’art. 6 del GDPR. Tra esse rientrano, ad esempio, il consenso, il legittimo interesse, gli obblighi di legge e gli obblighi derivanti dal rapporto contrattuale con l’interessato.

Da un lato, nel considerando 47 del GDPR è indicato che:

può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.

Dall’altro, questa affermazione non può prescindere dalla Direttiva e-privacy  2002/85/CE, che è quella che disciplina le comunicazioni per finalità di marketing tramite sistemi automatizzati diversamente dalla Direttiva 95/46/CE, abrogata dal 25 maggio 2018 con il Regolamento 2016/679. Dunque, il trattamento di questi dati deve continuare a essere gestito previa acquisizione del consenso di cui alla Direttiva e-privacy.

L’obbligo di informare sul trattamento dati era già previsto nella normativa precedente al GDPR, che ne rafforza l’obbligo negli artt. 13 e 14 del Regolamento. È specificato che occorre fornire le informazioni con termini semplici e chiari e in modo che l’informativa sia concisa, trasparente, facilmente accessibile e comprensibile.

Il consenso al trattamento dei dati deve essere libero, specifico, informato, e manifestato con una dichiarazione o azione positiva inequivocabile.

Non solo: per le finalità di marketing si deve sempre gestire il consenso in modo tale che la persona che lo concede possa decidere in piena autonomia se e quando ritirarlo; inoltre deve poter decidere se autorizzare o meno il trattamento per le diverse finalità per cui sia richiesto.

Nel caso di servizi online per il consenso rilasciato dai minori occorre verificare, oltre che l’età dell’interessato, anche la nazionalità in quanto il D.Lgs. 101/2018 fissa a 14 anni l’età minima per poter prestare validamente consenso ai servizi della società dell’informazione in Italia, in Germania ed in altri stati membri della UE il limite è rimasto a 16 anni, in altri paesi come Spagna ed Inghilterra hanno abbassato tale limite ai 13 anni. Comunque, sotto al limite stabilito dalla legge si deve richiedere l’autorizzazione dei genitori.

Gli artt. Dal 15 al 22 del GDPR specificano i diritti degli interessati che devono essere garantiti in caso di trattamento dei dati. In ambito marketing occorre prestare particolare attenzione al diritto di opposizione: in qualsiasi momento l’interessato può opporsi al trattamento dei dati personali che lo riguardano ai sensi dell’art. 6. Inoltre, potrà esercitare tale diritto in ogni momento ed anche con mezzi automatizzati, ad esempio tramite i link per cancellarsi dalle mailing list.

Formazione interna

Le aziende devono predisporre apposite autorizzazioni ed adeguata formazione a tutto il personale che accede ai dati trattati nello svolgimento dell’attività di marketing, indipendentemente dalla fase in cui agisce e dall’attività che svolge con quei dati. Qualora il trattamento sia delegato a soggetti terzi il titolare ed il responsabile del trattamento devono sottoscrivere un accordo sul trattamento dei dati, il cui contenuto è definito nell’art. 28 del GDPR.

I dati non possono essere trasferiti all’estero senza prima valutare la sussistenza di idonee garanzie artt. da 44 a 50 del GDPR. Per trasferimento si intende anche l’avvalersi, per tutte le attività anche marketing e comunicazione, di servizi che comportano un trasferimento di dati all’estero. In tal caso occorre verificare se nei paesi in cui sono trasferiti i dati sussistono le garanzie previste dalla normativa UE.

Il trattamento di dati per attività di marketing rientra tra i trattamenti di cui tenere traccia attraverso il registro del trattamento, di cui all’art. 30 del GDPR. L’obbligo di tenuta del registro è in capo al titolare ed al responsabile del trattamento. Se l’attività di marketing è svolta da terzi, questi andranno indicati ne registro.

I dati devono essere protetti con adeguate misure di sicurezza, la cui adeguatezza deve essere proporzionale al rischio relativo al trattamento di cui all’art. 32 del GDPR. Possono essere di vario tipo, da scegliersi in funzione della tipologia di dati trattati e della dimensione aziendale. Sicuramente, il primo step è un’adeguata formazione del personale e degli operatori, per scongiurare pratiche non corrette.

Eventuali violazioni che, a meno che non sia improbabile che possano generare rischi, vanno segnalate entro 72 ore al Garante Privacy e, in alcuni casi, agli stessi interessati, artt. 33 34  GDPR.

DPIA

Prima di iniziare un percorso di adeguamento al GDPR 679/2016, anche quando non fosse obbligatorio, è bene effettuare una valutazione di impatto sulla protezione dei dati (DPIA) prevista dall’art. 35 del GDPR: occorre verificare sempre le reali modalità di trattamento prima di escludere che lo stesso non presenti rischi elevati, in presenza dei quali sarebbe invece necessaria.

Oltre ai dati “standard” trattati mediante consenso da parte degli interessati c’è poi la questione legata ai dati pubblici, come ad esempio quelli pubblicati in elenchi professionali e albi, facilmente accessibili a chiunque: per gestirli c’è comunque bisogno del consenso, che deve essere preventivo, libero, specifico, informato ed inequivocabile, da parte dell’interessato.

Il Garante, nel fornire le proprie motivazioni, si basa su due principi: quello di liceità, correttezza e trasparenza e quello di finalità. Sulla base di questi, i dati “sono trattati in modo lecito corretto trasparente nei confronti dell’interessato“, e sono “raccolti per finalità determinate, esplicite legittime, e successivamente trattati in modo che non sia incompatibile con tale finalità”.

A fronte di questi principi, il trattamento per fini commerciali di dati pubblici è lecito solo se la disciplina che ne regolamenta la fonte indica espressamente di questi dati possono essere trattati e fini commerciali di marketing e solo se le attività commerciali sono direttamente funzionali all’attività svolta dall’interessato che dato il consenso all’inserimento dei propri dati dell’interno di questi elenchi.