APPROFONDIMENTI DEL DPO: MARKETING E PROFILAZIONE

Coloro che svolgono attività di marketing e di comunicazione sono chiamati a gestire una grande quantità di dati che devono essere trattati in modo corretto e in conformità al GDPR.

Proponiamo un breve vademecum per suggerire come implementare attività di marketing e di profilazione conformi alla normativa in materia di protezione dei dati.

In ambito privacy gli strumenti di monitoraggio che favoriscono un controllo regolare degli Interessati sono numerosi e vengono utilizzati anche per scopi di marketing.

Il GDPR contempla la possibilità di trattare i dati personali per finalità di marketing già al Considerando 70, ma pone un limite ben preciso circa le tipologie e i trattamenti ammissibili alla luce delle proprie norme: il riferimento, infatti, è alle sole finalità di marketing diretto e ai trattamenti assimilabili ad attività di profilazione.

 

Cosa si intende per profilazione marketing?

In generale per profilazione si intende l’insieme delle attività svolte da un’impresa per analizzare le preferenze degli utenti, ovvero per raccogliere, elaborare ed organizzare i dati di ciascuno, al fine di suddividerli in gruppi di profili simili tra loro.

La profilazione, quale species di “trattamento automatizzato”, subordinata al consenso dell’Interessato e non costituente il fondamento di un procedimento decisionale unicamente automatizzato, è uno dei trattamenti sui quali il Legislatore si è soffermato con più attenzione, proponendo una definizione puntuale all’articolo 4, paragrafo 1, numero 4 del GDPR:

per profilazione si intende «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.».

Questa definizione è stata meglio chiarita dal Gruppo di lavoro ex art. 29 (oggi EDPB) nelle Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679. L’utilizzo dell’aggettivo “automatizzato” di per sé non esclude la totale mancanza del coinvolgimento umano, quindi, quest’ultimo non comporta necessariamente l’esclusione dell’attività di profilazione.

Lo sviluppo della tecnologia e dei nuovi media, infatti, ha portato gli operatori del settore ad adottare in misura sempre maggiore e quasi esclusiva strumenti di tipo digitale (p.e. piattaforme invio newsletter, social media, pubblicità online,…) alternativi a quelli tradizionali. Il vantaggio di queste tecnologie è quello di poter ottenere e gestire una massa rilevante di dati in poco tempo e in maniera automatizzata, con un notevole vantaggio per le proprie strategie commerciali.

Attraverso l’elenco a seguire andiamo ad illustrare le attività cui è preposto il Titolare del trattamento, con riferimento agli adempimenti tecnici e privacy per il marketing, nel rispetto di tutti i princìpi direttamente ricavabili dal GDPR.

 

Gli strumenti di marketing

Il ruolo crescente che i canali digitali hanno rivestito negli ultimi anni spinge a considerare i tool digitali (in generale tutte le infrastrutture che connettono gli utenti ai diversi sistemi attraverso un’interfaccia semplificata ed integrata) come gli strumenti maggiormente idonei a monetizzare tutte quelle attività di gestione dei dati e di sfruttamento delle potenzialità economiche: parliamo, come anticipato prima, di piattaforme di invio e-mail, SMS, App, pagine e siti web, e-Commerce e social media.

Ciascuno dei canali precedentemente citati amplia il raggio di azione degli operatori marketing e permette loro di raccogliere un numero di dati considerevole volto alla profilazione degli utenti. Emerge subito un punto di contrasto tra il quantitativo considerevole menzionato e il principio di minimizzazione ex art. 5, comma 1, lettera c), GDPR: “i dati devono essere adeguati, pertinenti e limitati rispetto alle finalità del trattamento in essere”.

Per ovviare a questo aspetto e per garantire la conformità rispetto al principio espresso, è utile procedere con attività di anonimizzazione, di pseudonimizzazione ovvero di aggregazione dei dati stessi. In questo modo il dato trattato diventa statistico e non è più riconducibile ad un singolo Interessato.

 

La profilazione e i funnel di marketing

Oggi sono molto diffusi strumenti di Marketing Automation che svolgono attività di profilazione utili lato marketing ed al contempo sensibili lato privacy. Citiamo per esempio Salesmanago, Shopify, G2 Deals, HubSpot Marketing Hub. Ciascuno di essi, attraverso la costruzione di un processo di profilazione che prevede l’inserimento di un utente all’interno di un Funnel commerciale (lett. “imbuto”), tratta un ventaglio di informazioni generali che, via via, diventano sempre più dettagliate al fine di creare una buyer-persona specifica che viene guidata verso l’acquisto di un prodotto.

Il primo momento del processo consiste nella creazione di un database di contatti (generalmente e-mail raccolte presso gli utenti) che vengono man mano segmentati in gruppi, secondo le caratteristiche generiche che contraddistinguono ciascun individuo censito. I momenti successivi permettono di classificare ulteriormente l’utente/cliente in base alle azioni che questo effettua all’interno di un portale web (ricerche, liste dei desideri, acquisti conclusi o sospesi). Grazie a questa profilazione è possibile inviare messaggi promozionali One-to-One e comunicazioni commerciali personalizzate che vengono gestite e inviate direttamente dalla piattaforma e che sono volte a portare il lead-prospect verso la conversione desiderata (es: acquisto, iscrizione ad un corso, …).

Quanto descritto è chiaramente un trattamento automatizzato riconducibile alla profilazione per finalità di marketing.

 

Le informative da redigere

Il soggetto intenzionato a compiere attività di profilazione all’interno delle proprie attività di marketing, in qualità di Titolare, deve necessariamente informare l’Interessato sulle modalità del trattamento e deve ottenere il consenso per poter procedere.

Deve, pertanto, predisporre e rilasciare un documento, l’informativa, il cui rilievo si coglie con riferimento alle seguenti funzioni tipiche:

• informare l’Interessato in merito all’attività di profilazione prevista: a tal proposito l’informativa deve essere rilasciata antecedentemente al trattamento dei dati;
• specificare le finalità del trattamento e le sue conseguenze;
• raccogliere il consenso, il quale deve essere specifico per ciascuna finalità: perciò, qualora un operatore decida di condurre diverse attività quali profilazione, marketing e comunicazione/cessione di dati a terzi dovrà richiedere all’Interessato un numero pari di consensi (Linee Guida in materia di attività promozionale e contrasto allo spam). Al contrario, più operazioni di uno stesso trattamento non richiedono più consensi, come indicato dal Garante «più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale» «sono funzionali a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza  … dell’acquisizione di un unico consenso (GPDP 2542348 2.6.1; 1252220, 12998784, 1466985).

Per comprendere meglio questo meccanismo, si pensi per esempio ai moduli contatti: i consensi richiesti devono essere gestiti separatamente in base alle finalità del trattamento che si andrà a svolgere: Se il trattamento prevede attività di profilazione, il consenso dovrà essere specifico e chiaramente dichiarato, così come per l’iscrizione ad una newsletter o per la cessione di dati a terzi.

Una eccezione alla necessaria raccolta del consenso per svolgere attività di marketing è individuata all’art. 130, comma 4, GDPR per il cosiddetto soft spam: con soft spam si intende l’invio di comunicazioni commerciali a clienti esistenti per proporre un servizio correlato a quello già fornito.

Se ci si trova in questa condizione, è infatti possibile inviare le comunicazioni commerciali e/o promozionali anche in assenza della base giuridica consensuale, purché le stesse siano effettuate via e-mail. Nel merito si è espresso di recente anche il Garante, nel provv. 11 gennaio 2023, n. 9, condannando la società Bakeca, a modificare il testo dell’informativa fornita agli interessati, dovendo indicare  che il trattamento è effettuato in conformità all’art. 130, comma 4, del Codice purché l’interessato non rifiuti tale uso inizialmente o in occasione di successive comunicazioni.

 

Le informative marketing

Per comprendere l’importanza dell’informativa nelle attività di marketing (non solo in quelle di profilazione), occorre valutare quali informative specifiche costituiscono il preludio più efficace affinché il trattamento venga svolto in conformità al GDPR:

• informativa per i clienti:

il Titolare deve illustrare al cliente=Interessato tutta una serie di informazioni in merito ai dati che saranno oggetto del trattamento nel corso del rapporto commerciale in essere;

• informativa – privacy policy:

si tratta del documento attraverso cui il Titolare informa l’utente che atterra sul suo sito web sui trattamenti a cui possono essere soggetti i suoi dati (Es: tracciamento degli accessi)

• informativa – cookie policy:

il Titolare deve informare l’utente in merito alla presenza di cookie sul suo portale e sulle modalità di trattamento dei dati gestiti mediante gli stessi. Qualora i cookie non siano solamente di tipo tecnico, è necessario prevedere una prima informativa sintetica da mostrare subito all’accesso (banner) e una seconda informativa di dettaglio.

• informativa – form:

è il documento che sui siti web deve accompagnare ogni form di raccolta dati e che specifica le finalità legate al singolo trattamento che si andrà ad effettuare sulle informazioni raccolte.

• informativa per gli eventi e la partecipazione alle fiere:

in quest’ultimo caso il documento è necessario per informare i partecipanti-Interessati circa le modalità di trattamento dei dati raccolti durante lo svolgimento dell’evento, anche mediante lo scatto di foto e la registrazione di video. Si può ritenere che in tale ipotesi il trattamento non consista in attività di profilazione, è invece più corretto ritenere che il trattamento delle informazioni sia condotto per scopi di marketing.

 

Gli obblighi generali nelle attività di profilazione

Nel rispetto del principio-dovere di accountability (art. 5, par. 2, GDPR) il Titolare del trattamento, ai fini di poter svolgere attività di profilazione, deve ottemperare agli obblighi generali – e non – ricavabili dai principi di cui alle norme in materia di protezione dei dati, tra i quali:

• obbligo di liceità, correttezza e trasparenza;
• obbligo di acquisizione del consenso, ove previsto, soprattutto nel caso di attività riguardanti i minori. Per le finalità di marketing, in particolare, l’articolo 130 del Codice della Privacy, obbliga il Titolare a richiedere il consenso sia alle persone fisiche sia alle aziende. Tuttavia, l’Interessato deve poter rifiutare qualunque richiesta avanzata dal Titolare e finalizzata alla raccolta di dati per renderli oggetto di trattamento e sfruttarli per attività di profilazione o di marketing;
• obbligo di informazione corretta e trasparente agli Interessati, titolari dei diritti di informazione e di accesso;
• obbligo di rispettare i diritti degli Interessati, correlato al divieto di assumere decisioni basate unicamente su processi automatizzati. Nel caso della profilazione e del marketing è fondamentale ricordare che a tale dovere giuridico corrisponde ancora una volta una posizione di diritto attribuita all’Interessato, titolare dei diritti di opposizione, di rettifica o cancellazione, il quale potrà vietare il trattamento dei propri dati personali per le suddette finalità e, in generale, limitare la profilazione ex art. 21 GDPR;
• obbligo di adozione delle misure tecniche ed organizzative ispirate ai princìpi di privacy by design e di privacy by default, a garanzia dei diritti dell’Interessato;
• obblighi di gestione dei dati raccolti (inerenti al registro dei trattamenti e alla formazione del personale)
• obblighi di rilievo per le attività di marketing, tra cui l’obbligo di garantire all’utente la possibilità di disiscriversi da ogni comunicazione, l’obbligo di gestire le attività legate ai cookie ed il divieto di retargeting;
• l’obbligo di nomina di un DPO, ove necessario.

 

Gli obblighi aggiuntivi nelle attività di profilazione

Nell’approfondimento delle questioni legate alle attività di profilazione e di marketing, rispetto alla disciplina in materia di protezione dei dati personali, possiamo spendere alcune considerazioni ulteriori per un gruppo di obblighi specifici del Titolare del Trattamento.

Possibilità di disiscrizione da ogni comunicazione

Per una maggiore conformità rispetto al GDPR, ed al fine di garantire il rispetto del diritto di opposizione dell’Interessato, il Titolare è tenuto ad offrirgli la possibilità di opporsi al trattamento in ogni momento in modo semplice, chiaro e gratuito.

A livello pratico, il Titolare del Trattamento può dare concretezza a questa previsione attraverso la predisposizione di un’opzione di disiscrizione inserita in calce nelle singole comunicazioni, lasciando all’interessato la libertà di opporsi al trattamento specifico condotto attraverso ciascuna singola piattaforma (p.e. disiscrizione dalla newsletter, disiscrizione dall’elenco dei contatti SMS o e-mail).

Attività legate ai cookie

Il Titolare del Trattamento deve preoccuparsi di rendere agevoli all’utente tutte le attività legate alla gestione dei cookie presenti sul proprio sito web. In particolar modo, nel caso delle attività di marketing, l’elemento di maggior rilievo è rappresentato dai cookie di profilazione, citati poco addietro. Senza dilungarci eccessivamente, la principale attività che il Titolare deve compiere con riguardo all’utilizzo di queste particolari stringhe di testo consiste nella predisposizione di un banner cookie, attraverso il quale l’Interessato possa esprimere chiaramente il proprio consenso o rifiuto specifico, informato ed inequivocabile rispetto all’attivazione di ciascun cookie e rendere così la disponibilità dei propri dati per ciascuna attività di profilazione e di marketing.

Necessità di nomina del DPO

Nell’epoca digitale in cui oggi siamo tutti immersi, l’ingente quantità di dati coinvolti (larga scala) nello svolgimento di attività di marketing, unita alla presenza di confini ormai evanescenti tra trattamenti leciti e illeciti, pone la necessità di nominare un DPO (Data Protection Officer) per offrire una maggior tutela alla sfera privata e ai diritti degli interessati.

Oltre ai casi in cui sorge l’obbligo di nomina del DPO ex art. 37 GDPR, nelle ipotesi in cui il trattamento dei dati sia condotto per finalità di marketing e di profilazione, il medesimo dovere scatta ove il “Titolare del Trattamento compia attività di monitoraggio fondate sull’utilizzo di strumenti di tracciamento idonei a creare profili basati sui parametri delle preferenze, degli acquisti, dei dati di navigazione online o con GPS ricavati attraverso analisi sistematiche o condotte su larga scala”. Un esempio può aiutare ancora una volta a capire meglio l’idea: si pensi alla GDO che rilascia le tessere fedeltà: queste hanno ovviamente lo scopo di monitorare le abitudini e le scelte del cliente così da potergli poi inviare comunicazioni e offerte mirate (oltre all’ulteriore scopo di creare una base dati sulle abitudini globali degli utenti).

 

Conclusione

In conclusione, è possibile dire che le attività di marketing e di profilazione possono essere svolte da un Titolare solamente qualora osservi la normativa privacy e ottemperi a quanto previsto dal GDPR. L’Interessato ha il diritto di conoscere le modalità con le quali i suoi dati verranno trattati e deve avere in qualsiasi momento la possibilità di recedere dal consenso prestato.

DPO e profilazione marketing