Marketing: gli adempimenti necessari per essere conformi alla normativa privacy ed evitare sanzioni da parte del Garante

Negli ultimi anni, il successo di un’impresa dipende sempre di più dall’efficacia delle campagne di marketing intraprese dalla stessa. Da qui, vi è un crescente utilizzo dei dati personali per fini commerciali, il quale è stato accompagnato da un’attenzione sempre maggiore alla tutela della privacy sia da parte dei soggetti proprietari di tali dati, ossia i destinatari delle attività di marketing, sia da parte delle autorità di controlloautorità pubblica indipendente istituita da uno Stato membr... Leggi. Pertanto, nessuna organizzazione oggi può pensare di adottare una strategia di marketing senza prima essersi interrogata su quali siano le norme e i principi che regolamentano la raccolta, il trattamento e la conservazione dei dati personali dei propri clienti o potenziali clienti.

Come abbiamo visto in un nostro precedente articolo, il Garante per la protezione dei dati personali effettua regolarmente accertamenti sull’attività di marketing e risponde anche a reclami e segnalazioni dirette degli interessati. Le conseguenze sanzionatorie potrebbero essere davvero molto rilevanti: la sanzione pecuniaria può raggiungere fino 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente; a questa, poi, potrebbe aggiungersi la pubblicazione del provvedimento con tutti i conseguenti danni reputazionali.

In questo articolo, esploreremo le principali regole e le buone pratiche da adottare per svolgere una strategia di marketing che possa dirsi in linea con la normativa in materia di protezione dei dati personali, fornendo consigli utili e indicazioni pratiche per gestire i dati personali in modo etico e conforme alla legge.

Prima di scendere nei dettagli, però, un ultimo appunto. È, infatti, utile tenere in considerazione anche il fatto che, tenuti fermi gli obblighi normativi, le imprese che adottando buone pratiche e che redigono in modo puntale la documentazione dimostrano la volontà di gestire in modo responsabile e rispettoso i dati dei propri interlocutori. I documenti privacy, come ad esempio l’informativa, sono dunque sì adempimenti da fare per non incorrere in sanzioni, ma sono anche uno strumento di trasparenza che può aiutare un’organizzazione ad aumentare la fiducia dei propri utenti.

Quali sono gli adempimenti?

Il Reg. (UE) 679/2016 (cd. GDPR, General Data Protection Regulation) prevede il dovere di porre in essere alcuni comportamenti e di redigere una serie di documenti.

1. Privacy by design, Privacy by default e valutazione d’impatto, cd. DPIA

Vi sono due fondamentali principi che un’organizzazione deve seguire prima e durante lo svolgimento delle proprie strategie di marketing: il principio della Privacy by designPrincipio che stabilisce che la protezione dei dati debba es... Leggi e quello della Privacy by defaultPrincipio che prevede, per impostazione predefinita, che ven... Leggi.

Quanto al primo, ci si riferisce a un approccio al design di prodotti e servizi che mette la privacy al centro del processo creativo, fin dalla fase iniziale. Nel contesto del marketing, significa considerare la privacy come un valore fondamentale sino dalla fase di pianificazione delle varie campagne. Ciò implica che le aziende devono preventivamente, da un lato, sviluppare delle strategie che rispettino la privacy degli utenti, dall’altro, adottare misure di sicurezza informatica appropriate per proteggere i dati personali. Inoltre, devono rendere trasparenti le loro politiche sulla privacy e chiedere il consenso degli utenti per l’uso dei loro dati personali.

Quanto al principio della Privacy by defaultPrincipio che prevede, per impostazione predefinita, che ven... Leggi, questo richiede che le impostazioni predefinite di qualsiasi servizio o prodotto rispettino la privacy dell’utente, senza richiedere ulteriori azioni da parte sua. Ciò significa che i marketer devono progettare le proprie attività in modo da garantire sistematicamente la massima protezione della privacy dei propri clienti o potenziali clienti, prevedendo ad esempio la minimizzazione dei dati raccolti, la cifratura dei dati e, anche qui, l’implementazione di misure di sicurezza informatiche adeguate. Inoltre, devono garantire che l’utente abbia la possibilità di gestire e controllare, in modo chiaro e soprattutto semplice, le proprie preferenze circa le modalità attraverso cui desidera essere contatto.

Oltre a tutto ciò, tra le domande che un Titolare dovrebbe porsi ancora prima di iniziare a mettere in pratica le proprie strategie di marketing, al fine di stabilire e capire come gestire il rischio per i diritti e le libertà degli interessati, è se vi sia o meno la necessità di effettuare, ai sensi dell’articolo 35 del GDPR, una preventiva valutazione di impatto del trattamento di dati personali per tali finalità. Sul punto, è pacifico che il marketing rappresenti un’attività intrinsecamente rischiosa dal punto di vista della protezione dei dati personali. Non a caso, infatti, il Garante ha disposto che è obbligatorio, dunque non a discrezione del Titolare, procedere alla redazione di una DPIA in caso di trattamenti di dati personali che prevedano l’utilizzo di tecniche che comportano la profilazione degli interessati, come è pressoché la norma nel mondo del marketing.

2. Nomina del DPO

Rilevante è la questione in ordine alla valutazione circa l’opportunità o meno di procedere alla nomina del Responsabile per la protezione dei dati personali, cd. DPO. Un’impresa privata è obbligata a nominare un DPO quando l’attività di marketing rientra tra quelle principali della stessa e vi è un monitoraggio regolare e sistematico degli interessati su larga scala.

In ogni caso, anche non ricorrendo tali circostanze, è bene considerare con attenzione la necessità della nomina di un DPO, soprattutto in un’ottica di accountabilityResponsabilità nell' adozione di approcci e politiche azien... Leggi, vista l’elevata rischiosità intrinseca di tale trattamento. Per lo stesso motivo, è bene giustificare dettagliatamente la scelta di non procedere in tal senso.

3. Aggiornamento del registro dei trattamenti

Il Titolare del trattamento, una volta che ha deciso di intraprendere delle attività di marketing, deve aggiornare il proprio registro dei trattamenti.

Il GDPR, all’articolo 30, par. 1, stabilisce che le informazioni minime da inserire. Innanzitutto, deve essere indicata la finalità del trattamento, la quale sarebbe opportuno fosse accompagnata anche dalla base giuridica dello stesso, che non può che essere in questo caso il consenso dell’interessato. Quanto a quest’ultimo deve essere inserita una descrizione della categoria alla quale appartiene, anche più di una (es. clienti, anche potenziali, utenti del sito web, ecc.). Poi, devono essere esplicitate le categorie di dati personali trattati (solitamente per questa finalità sono dati anagrafici, dati di contatto e dati di indirizzo). Ancora, andranno riportati, anche qui è sufficiente la categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. società partner) e gli eventuali altri soggetti che in qualità di responsabili tratteranno i dati per conto del Titolare (es. agenzia di comunicazione, web agency, ecc.). Altra indicazione obbligatoria è la presenza di trasferimenti di dati personali verso un paese non appartenente allo Spazio Economico Europeo (si pensi all’utilizzo di tool di proprietà di aziende statunitensi) e se vi siano garanzie adottate ai sensi del capo V del GDPR (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.). Ancora, deve essere aggiunto il termine ultimo previsto per la cancellazione delle diverse categorie di dati oppure il criterio di riferimento utile a calcolarlo (es. fino alla revoca del consenso da parte dell’interessato). Da ultimo, deve esserci una descrizione generale delle misure tecnico-organizzative adottate (es. procedure organizzative interne, ecc.).

Quelle citate, lo si ricordi, sono le informazioni obbligatorie, ma nulla vieta di scrivere altre informazioni ulteriori (es. modalità di raccolta del consenso).

4. Nomina dei soggetti autorizzati o responsabili del trattamento

Altro adempimento in capo al Titolare del trattamento è l’analisi e la regolamentazione dei rapporti in essere con tutti i soggetti che trattano i dati personali degli interessati per la finalità di marketing. L’attenzione deve essere rivolta tanto ai soggetti interni all’organizzazione, i cd. autorizzati o incaricati, quanto ai soggetti esterni, i cd. responsabili (es. consulenti).

In ordine alla prima tipologia, il GDPR prescrive che chiunque agisca sotto l’autorità del Titolare non può trattare i dati personali se non è istruito in tal senso. Nella pratica, il Titolare dovrà predisporre un documento attraverso il quale autorizza al trattamento dei dati personali i dipendenti dell’azienda (es. le persone assegnate all’unità organizzativa che si occupa del marketing aziendale) e nel quale sono specificate le istruzioni che gli autorizzati sono tenuti a seguire.

Quanto ai responsabili (es. web agency), il Titolare deve designare attraverso un contratto (o altro atto giuridico conforme al nostro ordinamento) tutti i soggetti che trattano per suo conto i dati personali per finalità di marketing. Il Regolamento europeo chiarisce che il documento di designazione deve vincolare il Responsabile al Titolare e deve definire la materia disciplinata, la durata, la natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati, gli obblighi e i diritti del Titolare. Lo stesso documento deve prevedere, inoltre, che il Responsabile: tratti i dati personali soltanto su istruzione documentata del Titolare, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale; garantisca che le persone da lui autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; adotti tutte le misure tecniche e organizzative previste dal GDPR (si veda in particolare l’articolo 32); vincoli i soggetti da lui nominati responsabili, i cd. sub-responsabili, agli stessi obblighi imposti dal Titolare (si evidenzi che il Responsabile non può ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del Titolare); cancelli o restituisca al Titolare tutti i dati personali dopo che è terminata la prestazione dei servizi; in generale, assista il Titolare nell’adempimento degli obblighi richiesti dalla normativa in materia di protezione dei dati personali.

5. Aggiornamento delle informative

Sulla base della tipologia di soggetto interessato, ossia del soggetto al quale appartengono i dati personali utilizzati nel corso delle campagne di marketing, il Titolare dovrà aggiornare le relative informative privacy (pensando ai casi più comuni, si possono citare l’informativa rivolta ai clienti, l’informativa del sito web, ecc.). All’interno di tale documento si dovrà inserire, accanto alle altre, la finalità di trattamento di cui si sta discutendo, insieme alla base giuridica, che non potrà che essere il consenso, e il tempo di conservazione dei dati oppure un criterio per desumerlo.

Quanto indicato, però, nella maggior parte dei casi non è sufficiente. Si dovrà, infatti, procedere: all’ampliamento della platea dei destinatari dei dati personali, qualora ce ne siano di ulteriori rispetto a quelli già riportati; all’inserimento  dell’intenzione, se vi è, di trasferire all’estero i dati personali; all’aggiunta, nel caso già non ci fosse, di un richiamo al diritto dell’interessato a revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; da ultimo, nell’eventualità di un utilizzo di processi decisionali automatizzati, alla scrittura di una nota circa la loro esistenza e, allorché si faccia uso anche di tecniche di profilazione, informazioni sulla logica utilizzata, nonché l’importanza e le conseguenze previste per l’interessato.

Da evidenziare la circostanza che, in presenza di profilazione dei soggetti, alla finalità di marketing dovrà essere aggiunta una specifica ed autonoma finalità avente ad oggetto tale tecnica. Anche per la finalità di marketing “profilato” la base giuridica sarà il consenso, il quale, come si dirà tra poco, dovrà essere raccolto attraverso una dichiarazione da parte dell’interessato distinta rispetto a quella riferita al marketing “non profilato”.

Per finire, c’è da fare un’ulteriore precisazione che riguarda l’uso dei social media. Nel caso in cui le pagine social del Titolare facciano parte integrante dell’attività di marketing è bene inserire una postilla ove si chiarisce che tra il Titolare e le società proprietarie delle varie piattaforme è stato siglato un accordo di contitolarità e che l’interessato ha il diritto di prenderne visione o meglio può chiedere contezza dei contenuti essenziali dello stesso.

6. La raccolta del consenso

Per le attività di marketing – siano esse online, si pensi all’invio di newsletter periodiche, o meno – è necessario che il Titolare chieda e ottenga il preventivo consenso dell’interessato (il nostro libro: Il consenso nella normativa privacy). Ai sensi dell’articolo 4 del GDPR, per consenso deve intendersi qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile (es. la selezione di una spunta non pre-selezionata al di sotto di un form contatti di un sito web), che i dati personali che lo riguardano siano oggetto di trattamento. Il Titolare deve assicurarsi che il consenso per le attività di marketing sia separato da quello per altre finalità. Nel caso di raccolta di dati online è necessario che questo consenso sia oggetto di una spunta specificatamente dedicata. Inoltre, se vi è l’intenzione di porre in essere attività di profilazione è necessario che sia implementata una seconda spunta ad hoc per la raccolta di tale ulteriore e autonomo consenso.

Un ultimo appunto, l’articolo 130 del Codice Privacy, derivato dalla Direttiva e-privacy (Direttiva 2002/58/CE), autorizza l’uso di sistemi automatizzati di chiamata o di comunicazione solo con il consenso dell’utente, inclusi gli SMS e le e-mail. Tuttavia, per le comunicazioni via e-mail, è consentito il cosiddetto “soft spam” solo se il Titolare utilizza le coordinate di posta elettronica fornite dall’interessato nel contesto di una vendita e l’interessato non rifiuta, ossia non si oppone a tale uso.