Privacy e marketing: cosa cambia con il GDPR


Il nuovo Regolamento Europeo sulla protezione dei dati (GDPR) impatta molto sulle attività di marketing, profilazione e pubblicità. Questo accade perché le attività di marketing, in particolar modo quelle di direct marketing – le quali comportano, con l’utilizzo di svariati strumenti (email, newsletter, concorsi, promozioni, app), azioni di comunicazione dirette e mirate a definiti target di clienti e consumatori – coinvolgono di fatto attività di trattamento di dati personali molto invasive nei confronti delle persone che vengono interessate. Affinché dunque queste attività non violino diritti e libertà fondamentali degli individui, occorre prestare molta attenzione a tutti gli adempimenti richiesti dalla legge per effettuare un trattamento legittimo. Una nostra consulente ci ha illustrato quali sono.

Indice

Cosa dice il Gdpr: le novità rispetto al passato

Il legittimo interesse: cosa cambia per le aziende

L’informativa privacy

La profilazione

Soggetti terzi

Cosa dice il Gdpr: le novità rispetto al passato

Privacy e marketing: cosa cambia con il GDPR

Già la disciplina precedente il Gdpr poneva al centro dell’attenzione la regolamentazione delle attività di direct marketing, pubblicità e profilazione richiedendo un’adeguata informazione per i soggetti coinvolti e, soprattutto, l’acquisizione del loro consenso specifico per effettuare attività di marketing. Il Gdpr rinnova l’attenzione verso queste attività così importanti per le aziende (soprattutto in ambito della vendita BtoC – Buisness to Consumer), confermando molti degli adempimenti già richiesti precedentemente (informativa e acquisizione del consenso degli interessati al trattamento), ma introducendo anche una fondamentale novità: il principio del legittimo interesse del titolare del trattamento che può essere valutato per legittimare un trattamento e può così sostituire, quale requisito di legittimità, il consenso dell’interessato al trattamento. Il considerando 47) del Gdpr specifica infatti che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

 

Il legittimo interesse: cosa cambia per le aziende

Privacy e marketing: cosa cambia con il GDPR

Le conseguenze operative per i titolari del trattamento sono tantissime: una su tutte, la possibilità di poter utilizzare dati personali o di contatto senza dover richiedere il consenso all’interessato. La base giuridica del legittimo interesse è considerata un’ampia finestra per la libertà di iniziativa dei Titolari del trattamento. Sempre il considerando 47 del Gdpr specifica infatti che “i legittimi interessi di un titolare del trattamento possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”.

Nel concreto però, è necessario precisare che utilizzare quale base giuridica del trattamento il legittimo interesse non è più semplice che acquisire un consenso informato, consapevole e specifico. Il legittimo interesse infatti va ampiamente giustificato: occorre verificare che non siano prevalente sul legittimo interesse del titolare del trattamento i diritti dei  soggetti coinvolti. Per farlo, bisogna effettuare una sorta di “balancing test” e una valutazione dei rischi a riguardo. Le Autorità Garanti parlano infatti di Lia – Legitimate interest assessment – quale documento appropriato che il titolare del trattamento deve redigere per consacrare la valutazione effettuata sul suo legittimo interesse.

Effettuati tutti questi passaggi, comunque, l’azienda non ha la possibilità di trattare i dati in maniera arbitraria, anzi. Il trattamento dovrà avvenire in ogni caso nel rispetto del principio di accountability: il principio, cioè, di responsabilizzazione per chiunque effettua trattamenti di dati personali e che richiede di adottare comportamenti proattivi che dimostrino l’adozione di misure per assicurare l’applicazione del Regolamento. Chiunque intenda svolgere attività di marketing, perciò, deve prima di tutto rispettare tutti gli adempimenti base introdotti dal Gdpr o confermati dalla nuova legge europea.

 

L’informativa privacy

Privacy e marketing: cosa cambia con il GDPR

Tra questi adempimenti, il primo da seguire è l’obbligo di informare gli interessati coinvolti nel trattamento effettuato sulle modalità di svolgimento di tale attività. Lo strumento da utilizzare è sempre quello dell’informativa privacy. In altre parole, il titolare del trattamento deve redigere un documento (l’informativa, appunto) che riporta tutte le informazioni utili all’interessato per capire quale sorte spetta ai dati che fornisce. Sul punto, il Gdpr (agli articoli 13 e 14) ha aggiunto all’informativa alcuni elementi che non erano previsti in precedenza come obbligatori:

  • il tempo di conservazione;
  • l’eventuale trasferimento dei dati personali all’estero;
  • i dati di contatto del dpo (data protection officer)
  • alcuni nuovi diritti che vanno assicurati agli interessati coinvolti nel trattamento;
  • l’utilizzo di un linguaggio chiaro.

Un suggerimento per redigere un’informativa: strutturarla in un formato multilivello, con l’uso di tabelle e di icone.

 

Soggetti che trattano i dati per conto del titolare

Privacy e marketing: cosa cambia con il GDPR

I titolari del trattamento devono inoltre assicurare una gestione corretta di tutti quei soggetti che trattano i dati per loro conto (es. i webmaster), per i quali occorre valutare l’eventuale nomina a Responsabile del trattamento. I soggetti interni alla loro organizzazione, devono quindi essere specificamente autorizzati dal titolare al trattamento dei dati personali. Nell’ambito delle attività di marketing, pensiamo ad esempio ai dipendenti che inviano newsletter accedendo alla piattaforma di supporto o utilizzano contact list aziendali.

 

La profilazione

Privacy e marketing: cosa cambia con il GDPR

Nello svolgere attività di marketing occorre tenere presente che il Gdpr non è l’unica fonte normativa. Tale tipo di attività era già precedentemente disciplinata dalla Direttiva e- privacy che il Regolamento 2016/679 non ha abrogato. Per questo motivo il trattamento dei dati per finalità di marketing con sistemi automatizzati deve continuare a essere gestito – come previsto anche dall’art. 130 del Codice privacy – previa acquisizione del consenso, fatta eccezione per i casi di cosiddetto “soft spam” per i quali non è necessario richiedere consenso agli interessati. Il consenso resta dunque la base giuridica per molte attività di marketing come, ad esempio, la profilazione.

La profilazione consiste nella raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche principali (quali sono i suoi gusti, cosa è solito comprare, quanti anni ha, se ha famiglia o meno, dove vive) e inserirlo in categorie o gruppi e poterne fare delle valutazioni o previsioni, nell’ottica poi di progettare campagne marketing e di comunicazione efficaci. Il GDPR inserisce la profilazione all’interno della disciplina relativa al processo decisionale automatizzato (art. 22 GDPR) e certamente non a caso: date le innovazioni continue della tecnologia (si pensi alle tecniche algoritmiche predittive), le attività di profilazione possono essere oramai interamente basate su un processo automatizzato, senza che l’essere umano intervenga. Tale attività implica poi l’effettuazione di azioni, la presa di decisioni che risultano particolarmente invasive della sfera privata: nel marketing, quando una persona, il suo dato di contatto ed il suo “profilo” finiscono in un data base o in un cluster, diviene poi destinataria di comunicazioni sulla email, oppure addirittura sms sul numero privato o telefonate. Di conseguenza la legge prevede che tale attività si basi sul consenso esplicito dell’interessato coinvolto.

Infine, occorre prestare particolare attenzione al diritto di opposizione che va garantito all’interessato e che deve poter essere esercitato in ogni momento, anche con mezzi automatizzati (si pensi, ad esempio, all’implementazione di apposito link che consente al destinatario di una mail promozionale di opporsi alla ricezione di altre email).

 

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia