DPO e profilazione marketing

18 Maggio 2022

Contesto attuale

Nell’era digitale che stiamo vivendo, e che ci catapulterà nel prossimo futuro nel metaverso, le attività delle aziende sono sempre più improntate a forme di marketing digitale, che spesso assumono risvolti lato “legge privacy” di difficile interpretazione, per gli operatori stessi.

Per citare un esempio, dati alla mano, il report dell’Osservatorio statistico di MailUp del 2021 riporta che in Italia sono state inviate, attraverso la piattaforma, più di 15 miliardi di mail di cui il 70% sotto forma di newsletter e il 26% come DEM (Direct Email Marketing). A questi numeri dobbiamo poi aggiungere le altre piattaforme e le diverse modalità di contatto (tramite, ad esempio, SMS, notifiche via APP o chiamate telefoniche).

Il confine tra un’attività di profilazione commerciale lecita ed il trattamento illecito di dati personali per invasività della sfera privata diventa sempre più labile. Diventa, quindi, fondamentale la figura del DPO (Data Protection Officer), dotata di esperienza e conoscenza specifica del settore, a cui affidarsi per svolgere una valutazione dei rischi o segnalare eventuali errori di progettazione (in virtù dei principi di privacy by design e privacy by default) prima che si trasformino in data breach o reclami da parte degli interessati.

Ruolo del DPO

Chi meglio del Data Protection Officer potrebbe svolgere questo ruolo?

Ricordiamo che la sua figura, nata col GDPR e descritta dall’art. 37, ha proprio l’obiettivo di:

informare e fornire consulenza al titolare del trattamento
sorvegliare l’osservanza del Regolamento Europeo
fornire un parere in merito alla valutazione d’impatto
cooperare con l’autorità di controllo
fungere da punto di contatto tra le parti

e uno dei parametri che ne prevede l’obbligo di nomina è definito al paragrafo 1, lettera b), le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.

Ecco, quindi, che avere un supporto per tutti quei titolari che del marketing mirato ne fanno il core business aziendale, diventa essenziale. Gestori di telefonia, fornitori di servizi (luce, gas…), ma anche attività con e-commerce o tessere fedeltà, sono solo alcuni esempi di realtà soggette all’obbligo. Ciò non esclude che anche a livello facoltativo qualunque titolare possa ricorrere alla nomina del DPO per sua maggior tutela.

Adempimenti privacy per il marketing

Quando un’azienda intraprende campagne di marketing deve tenere presente tutta una serie di elementi, ragionati anche sulla base dei principi di privacy by design e by default, tra i quali in primis la richiesta di consenso all’interessato; cosa tutt’altro che scontata, evidenziata dalle pesanti sanzioni che il Garante italiano ha comminato alla quasi totalità delle grosse compagnie telefoniche e fornitori di servizi energetici.

Le motivazioni all’interno dei provvedimenti dell’autorità sono spesso legate a carenze nell’acquisizione dei consensi o all’utilizzo di database di cui non si può determinare con certezza la provenienza, dovute al fatto che i colossi del settore si rivolgono a partner in subappalto senza verificare che i contatti siano stati ottenuti lecitamente. Ne sono un esempio, le ingiunzioni nei confronti di Wind Tre SpA per 16,7 milioni di euro e del partner commerciale Merlini Srl per 200 mila euro¹².

Aggiungiamo, inoltre, che per l’Italia resta in vigore l’art. 130 del Codice Privacy, a integrazione del GDPR, che prevede la richiesta del consenso per attività di marketing non solo per le persone fisiche ma anche verso le aziende.

Attenzione poi all’utilizzo di strumenti di tracciamento che possono portare alla creazione di un profilo dell’interessato basato sulle preferenze, gli acquisti, la navigazione online o con GPS. Monitoraggio che, se rientra nei parametri di sistematicità e larga scala come potrebbe essere la tessera fedeltà di uno store, fa scattare l’obbligo di nomina del DPO.

Attività del Garante Privacy

A conferma del fatto che le campagne di marketing e profilazione sono un’arma affilata nelle mani di operatori piuttosto aggressivi sotto l’aspetto commerciale, oltre alle sanzioni già citate, il piano ispettivo del primo semestre 2022 del Garante³ riporta tra le attività proprio: “l’accertamento in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali nei confronti di “fornitori di database”. Tradotto: call center e società che mettono a disposizione dei loro clienti database con migliaia di contatti raccolti negli anni, a volte senza consenso esplicito.

Se siete un’azienda, fate attenzione ai partner con cui collaborate, verificatene competenze e serietà (ad esempio la certificazione ISO 27001 sulla sicurezza dei dati è un’ottima garanzia) e chiedete evidenze sulla liceità dei dati personali trattati. Infine, come consumatori, occhi aperti su possibili violazioni nei vostri confronti legate a trattamenti illeciti.

¹Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 9 luglio 2020… – Garante Privacy

²Ordinanza ingiunzione nei confronti di Merlini s.r.l. – 9 luglio 2020… – Garante Privacy

³Deliberazione del 22 dicembre 2021 – Attività ispettiva di iniziativa… – Garante Privacy

About Stefano Carlesso

La predisposizione di Stefano ad entrare subito in empatia con il cliente fa di lui un consulente senior di primo livello. Ha alle spalle una formazione specifica legata al Regolamento Europeo Privacy e alla Protezione dei Dati. Gestisce su territorio nazionale circa 100 clienti, molti dei quali legati al settore sanitario/farmaceutico e alla scuola. Il suo obiettivo è quello di proporre al cliente la migliore soluzione possibile, trasmettendo sempre professionalità e sicurezza.