
Tra marketing e GDPR: gli obblighi del Titolare del trattamento
23 Luglio 2019
Negli ultimi mesi abbiamo trattato nel nostro blog l’applicazione del Regolamento Europeo in diversi settori, tra cui la fatturazione elettronica, il recruiting automatizzato, la profilazione dei clienti e consumatori con la tecnologia.
Oggi approfondiremo la correlazione tra GDPR e le mail marketing, con le disposizioni di riferimento e le pratiche corrette da seguire.
Sembra un mondo lontano, in realtà coinvolge tutti proprio da vicino. Vuoi sapere perché?
Vediamo se riusciamo a darti una prima risposta con una semplice domanda. Se non utilizzassi la tua casella di posta per qualche giorno, la troveresti così come l’hai lasciata?
Molto probabilmente sarebbe inondata da messaggi pubblicitari e promozionali per i quali potrebbe non essere stato prestato alcun consenso al Titolare.
Come viene chiamata in causa la normativa? Scopriamolo insieme nel nostro articolo.
Utilizzo improprio dei dati personali
Se qualcuno utilizza – senza la nostra volontà – il numero di telefono oppure indirizzo mail si innesca dentro di noi una sorta di fastidio.
Dal punto di vista giuridico, abbiamo una certezza ovvero che i contatti utilizzati consentono di identificare una persona fisica e sono a tutti gli effetti dati personali che chiamano a giudizio le normative di riferimento.
Per entrare ancor più nel dettaglio, citiamo l’articolo 130 del D.lgs. 101/2018 (decreto di armonizzazione del Codice Privacy italiano al GDPR), il quale stabilisce che: “l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente”.
Che cosa intendiamo in termini pratici? Tutte le mail commerciali che hai ricevuto sul tuo indirizzo di posta personale dovrebbero essere riconducibili ad una prestazione di consenso.
Con il Regolamento Europeo quindi le aziende non possono effettuare alcuna attività di marketing senza consenso preventivo, neanche nel caso in cui i dati siano acquisiti da registri pubblici, elenchi, siti web, atti o documenti conosciuti o conoscibili da chiunque.
I requisiti del consenso
Tra le numerose perplessità quando si parla di correlazione tra marketing e GDPR emerge appunto il temutissimo consenso.
Come deve essere? Sicuramente libero, specifico, informato e manifestare inequivocabilmente la volontà dell’interessato.
Vediamo le caratteristiche sopracitate nel dettaglio:
- Libero quando non preimpostato (ad esempio nel caso dei siti web, non è corretta la predisposizione di check-box volti all’acquisizione del consenso, già precompilati) e soprattutto non ottenuto per effetto di vizio, errore, violenza o dolo. Nella valutazione del requisito si prende in considerazione anche l’eventualità in cui l’erogazione del servizio sia subordinata alla prestazione del consenso al trattamento dei dati personali.
- Specifico, da intendersi per ciascuna finalità e per ciascun eventuale trattamento. Facciamo degli esempi pratici: qualora il Titolare intenda trasferire i dati personali a terzi per le loro finalità promozionali, questa azione necessita di essere esplicitata e della richiesta di un consenso a sé, distinto da quello acquisito per altre finalità.
- Informato, proprio grazie ad un’informativa chiara e completa ai sensi dell’art. 13 del GDPR, il quale sottolinea la necessità di informare il contraente della facoltà di esercitare i diritti di cui all’articolo 16 e seguenti del Regolamento europeo per le persone fisiche e la possibilità di attuare presso l’autorità giudiziaria ordinaria rimedi civilistici per le persone giuridiche ed enti assimilati.
- Documentato per iscritto, ciò vuol dire che si pone a discrezione del Titolare la scelta sulla modalità di acquisizione della volontà dell’interessato, ma la cosa fondamentale è che si tenga traccia dell’azione volontaria compiuta.
Quando si può parlare di soft spam
L’unica eccezione alla necessità di acquisire il consenso, contemplata dall’art. 130 del D.lgs. 101/2018, comma 4, è rappresentata dal cosiddetto soft spam: in particolare, si può mancare alla richiesta del consenso quando l’interessato è già cliente dell’azienda che intende effettuare attività di marketing mediante la trasmissione di messaggi per posta elettronica. La base giuridica del consenso in tal caso viene ricondotta al legittimo interesse del Titolare, in conformità a quanto previsto dal considerando 47.
Affinché trovi la giusta applicazione è necessario che:
– la mail sia fornita dal cliente nel contesto della vendita diretta di prodotti e/o servizi similari a quelli precedentemente acquistati;
– i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare e non da terzi;
– il destinatario non deve aver rifiutato l’invio di comunicazioni promozionali e deve avere la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente ed in maniera agevole.
Con lo scopo di agevolare lo sviluppo di attività di marketing lecite e quindi conformi alle normative vigenti ed evitare di incorrere in possibili abusi, si richiede al Titolare di riportare all’interno dell’informativa resa all’interessato tutte le informazioni e valutazioni effettuate relativamente al perseguimento di un proprio legittimo interesse. Tale misura di sicurezza consentirà di non invadere eccessivamente i diritti e le libertà dell’interessato e rendere il quadro normativo più trasparente possibile.