GDPR: l’utilizzo di attività di marketing finalizzate alla promozione dei propri prodotti e servizi è una prassi sempre più frequente per le aziende. Prassi che non può prescindere dall’analisi e dal trattamento di una serie di dati, personali o meno, relativi ai propri clienti.
Proprio per questo motivo è importante ricordare che le aziende (in qualità di Titolari del trattamento) devono rispettare:
- le disposizioni relative alla tutela dei dati personali previste dal GDPR
- alcuni provvedimenti del garante in materia marketing.
Il tutto sia per garantire un corretto svolgimento dell’attività di marketing e sia per evitare di incorrere in sanzioni da parte dell’Autorità garante.
Normativa di riferimento e base giuridica del trattamento
La disciplina dettagliata sul tema marketing e GDPR è presentata nel documento “Linee guida in materia di attività promozionale e contrasto allo spam”. Secondo questo documento, vi sono delle differenze nel caso che le attività promozionali siano attuate tramite strumenti automatizzati o meno.
Attività promozionali con strumenti automatizzati
Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati (es. email), si applica l´art. 130, commi 1 e 2, del Codice. Secondo questo articolo, l’utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in). Inoltre, all’utente deve essere sempre data la possibilità di disiscriversi dalle comunicazioni promozionali tramite la revoca del consenso (opt-out).
Pertanto, senza il consenso preventivo non è possibile inviare comunicazioni promozionali con i predetti strumenti. Nemmeno nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque.
Attività promozionali senza strumenti automatizzati
Per lo svolgimento dell’attività di marketing senza l’uso di strumenti automatizzati è possibile, invece, contattare telefonicamente i numeri presenti in elenchi telefonici (purché non siano iscritti nel Registro pubblico delle opposizioni, il ROP) nonché quelli presenti in elenchi pubblici. Attenzione però che il contatto telefonico può avvenire solo mediante operatore, in modo da chiedere al contraente di esprimere un consenso a ricevere comunicazioni promozionali secondo le modalità di cui all´art. 130, commi 1 e 2.
Principi alla base del trattamento per finalità di marketing
Con l’introduzione delle nuove regole europee, le campagne di marketing devono essere condotte nel rispetto dei principi generali fissati dall’art. 5 del Regolamento. Quindi i dati devono essere trattati in modo:
- lecito
- corretto
- trasparente nei confronti dell’interessato.
Il Regolamento inoltre prevede (al Considerando 47) la possibilità che il trattamento per finalità di marketing diretto possa essere considerato legittimo interesse (art. 6 lettera F – GDPR).
Questo però non consente un trattamento indiscriminato di ogni dato personale per finalità di marketing.
Il legittimo interesse del titolare va sempre bilanciato con i diritti e le libertà dell’interessato. Bisogna poi tener conto delle ragionevoli aspettative dello stesso in base alla relazione tra i due.
Obblighi del Titolare del trattamento
Il titolare nell’esercizio delle proprie funzioni deve:
- rendere all’interessato un’informativa per indicare come verranno trattati i suoi dati personali e i diritti che può esercitare;
- assicurare che il consenso acquisito dall’interessato per la finalità di invio di comunicazioni promozionali sia libero, informato, specifico, espresso, inequivocabile e deve essere collegato alla specifica finalità per la quale sono stati raccolti i dati;
- acquisire un consenso specifico per ciascuna distinta finalità quali ad esempio: marketing, profilazione, comunicazione a terzi dei dati;
- acquisire un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale;
Eccezione del “soft spam” per l’invio di posta elettronica promozionale
Per la sola posta elettronica può ricorrere l’eccezione del c.d. “soft spam”, di cui all´art. 130, comma 4.
Per soft spam si intende l’invio, da parte di un’azienda (titolare del trattamento) di comunicazioni a fini di vendita a utenti che hanno già acquistato un prodotto/servizio a questa azienda, senza che questa debba chiedere il consenso dell’interessato. Ciò, però, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso.
Cosa succede se non si rispetta la normativa?
Il mancato rispetto delle disposizioni normative è soggetto a sanzioni amministrative pecuniarie fino a 10 milioni di euro. Oppure, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente.
Attenzione: i controlli avvengono molto più spesso di quel che si pensa.
A tal proposito è recente la notizia che vede come protagonista la società Iren S.p.A, società operante nel settore energetico a cui il Garante privacy ha comminato una sanzione di circa 3 milioni di euro.
Il motivo? Il non aver verificato che i dati acquistati da altre aziende per finalità di telemarketing (chiamate promozionali) fossero coperti da consenso. Iren S.p.a. infatti aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Tuttavia, in diversi casi il consenso delle persone poi contattate era venuto a mancare e non era stato verificato nei diversi passaggi dei dati da un’azienda all’altra. Gli accertamenti e la relativa multa sono avvenuti a seguito di diversi reclami e segnalazioni al Garante.
E’ fondamentale dunque svolgere l’attività di marketing nel rispetto del GDPR in modo da evitare di svolgere un’attività “invasiva” e di incorrere in sanzioni.
Desideri verificare che le attività di marketing svolte dalla tua azienda siano a norma di GDPR? Contattaci per una consulenza personalizzata compilando il form che trovi a questo link!
