Dati personali e marketing: come usarli nel modo corretto

Prima di iniziare un trattamento di dati personali per finalità di marketing, il Titolare del trattamento deve sempre valutare con attenzione la base giuridica appropriata per il trattamento stesso. Un consenso marketing valido? Ecco come fare per averlo.



Dati personali e marketing. È così importante ottenere un consenso valido?

Partiamo dal fatto che un consenso “non valido” potrebbe danneggiare la reputazione aziendale, distruggere la fiducia dell’interessato e potrebbe esporre a segnalazioni, reclami ed eventuali multe elevate, oltre a rendere vano il lavoro fatto per ottenere i contatti per le comunicazioni marketing.

Consideriamo che a tutt’oggi la maggior parte dei provvedimenti sanzionatori dell’Autorità Garante per la protezione dei dati personali riguarda il marketing effettuato senza consenso (o senza accogliere le richieste di opposizione degli interessati).

Prima di iniziare un trattamento di dati personali per finalità di marketing, il Titolare del trattamento deve sempre valutare con attenzione la base giuridica appropriata per il trattamento stesso. 

Ma abbiamo la percezione che il consenso rimane la principale base giuridica per trattare i dati personali per le finalità di marketing, come indicato nel GDPR e nel nostro codice privacy?

Consenso marketing valido: come fare per averlo

Il Titolare del trattamento deve valutare se il consenso prestato per finalità di marketing, soddisferà tutti i requisiti per essere valido

Di norma il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare i termini proposti o rifiutarli, senza subire pregiudizio magari rispetto ad altre finalità di trattamento dati (es. contratto o servizio).

Se il consenso è ottenuto nel pieno rispetto del GDPR, è uno strumento che fornisce sicuramente all’interessato il controllo sul trattamento dei dati personali che lo riguardano e ne rispetta la libera scelta.

Ricordiamoci che l’ottenimento del consenso non fa venir meno in alcun modo l’obbligo del Titolare del trattamento di rispettare i principi applicabili del GDPR al trattamento dati. Il fatto che il trattamento dei dati personali si basi sul consenso dell’interessato non legittima la raccolta di dati non necessari a una finalità specifica di trattamento.

L’EDPB (Comitato Europeo per la Protezione dei Dati), nelle linee guida sul consenso del 2020, rileva che i requisiti per il consenso ai sensi del GDPR non sono considerati un “obbligo supplementare”, bensì condizioni preliminari per la liceità del trattamento. Pertanto, tali requisiti sono applicabili alle situazioni che rientrano nel campo di applicazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche.

Il GDPR stabilisce che il consenso per finalità di marketing dell’interessato è qualsiasi:

  • manifestazione di volontà libera,
  • specifica,
  • informata
  • inequivocabile 

dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Per raccogliere correttamente il consenso per le finalità di marketing, sappiamo quali sono le cose da fare?

Ecco un esempio di una checklist ideale:

Quando chiediamo il consenso, ci chiediamo se…?

☐ la richiesta di consenso è separata dalle altre finalità

☐ la richiesta di consenso è separata dai “termini e condizioni”

☐ non utilizziamo caselle preselezionate o qualsiasi altro tipo di consenso predefinito (opt-in e non opt-out!)

☐ usiamo un linguaggio chiaro, semplice e di facile comprensione

☐ specifichiamo perché vogliamo i dati e cosa ne faremo

☐ forniamo opzioni distinte ("granulari") per acconsentire separatamente a diverse finalità di trattamento

☐ indichiamo agli interessati che possono revocare il loro consenso

☐ garantiamo che interessati possano rifiutare il consenso senza alcuna conseguenza negativa (es. sul servizio/contratto)

☐ evitiamo di rendere il consenso una precondizione di un servizio

☐ se offriamo servizi online direttamente ai minori, chiediamo il consenso solo se disponiamo di misure di verifica dell'età (per i minori di 14 anni in Italia)

Consenso alla registrazione

☐ conserviamo la traccia di quando e come abbiamo ottenuto il consenso 

☐ conserviamo l’evidenza di esattamente ciò che è stato detto loro in quel momento (testo dell’informativa fornita)

Gestione del consenso e revoca

☐ esaminiamo regolarmente i consensi per verificare che il trattamento e le finalità non siano cambiati

☐ disponiamo di processi per aggiornare il consenso a intervalli appropriati, inclusi eventuali consensi dei genitori

☐ consideriamo l'utilizzo di Dashboard o altri strumenti di gestione delle preferenze privacy, come best practise

☐ rendiamo agevole immediato e gratuito revocare il consenso in qualsiasi momento e pubblichiamo come farlo

☐ agiamo in caso di revoca del consenso non appena possibile

☐ non penalizziamo gli interessati che desiderano revocare il consenso

I requisiti per l’uso corretto e consapevole dei dati per marketing

  • Il Consenso che deve essere inequivocabile e comportare una chiara azione affermativa (un opt-in).
  • In particolare, sono vietate le caselle di attivazione pre-spuntate. 
  • Le opzioni di consenso devono essere distinte ("granulari") in base alle finalità di trattamento. 
  • Il consenso deve essere separato da altre dichiarazioni (es. “termini e condizioni”) 
  • È necessario documentare e dimostrare il consenso.
  • È necessario rivedere i consensi esistenti e i meccanismi di consenso per verificare che soddisfino lo standard GDPR. 

L'approfondimento degli esperti


Usare i dati personali per marketing: da dove cominciare

Effettuare un corso di formazione specifico su marketing, digital marketing dal punto di vista della normativa privacy, sarà fondamentale per la corretta raccolta del consenso e rimaniamo in attesa del nuovo Regolamento UE relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (Regulation ePrivacy).

Scopri le regole e gli adempimenti affinché le attività di marketing vengano svolte nel pieno rispetto della normativa in materia di protezione dei dati personali.

Se ti è piaciuto l'articolo condividi: