GDPR e marketing: 10 cose che devi assolutamente sapere
Chi svolge o intende svolgere attività di marketing attraverso comunicazioni tramite email, sms o messaggi di altro tipo cosa deve sapere in vista della nuova normativa in tema di privacy contenuta nel Regolamento Generale sulla protezione dei dati (noto anche come GDPR – General Data Protection Regulation) e nel Codice privacy (modificato dal d.lgs. 101/2018)?
Si tratta di una delle domande che in tanti si stanno ponendo a fronte dell’applicazione del Regolamento europeo sulla privacy e pertanto può essere utile fornire le principali indicazioni che chi svolge attività di marketing deve considerare.
1) Obbligo di informare sul trattamento dati
Così come già previsto nella previgente normativa, anche il GDPR continua a prevedere l’obbligo di fornire all’interessato specifiche informazioni relative al trattamento dei dati. Si tratta degli elementi indicati negli artt. 13 e 14 del Regolamento, alcuni dei quali non erano previsti in precedenza (così nel caso del tempo di conservazione, dell’eventuale trasferimento all’estero, dei dati di contatto del DPO – se presente – e di alcuni nuovi diritti dell’interessato), per cui si renderà necessario revisionare il testo delle informative gestite fino ad oggi. La revisione non deve riguardare solo il contenuto dell’informativa, ma anche il linguaggio utilizzato e la sua forma. Occorre infatti fornire le informazioni con termini semplici e chiari e in modo che l’informativa sia concisa, trasparente, intelligibile e facilmente accessibile (utili, a tal fine, le informative multilivello e l’uso di icone).
2) Basi giuridiche del Trattamento: l’art 6 del GDPR
Il trattamento deve fondarsi su una delle basi giuridiche previste dall’art. 6 del GDPR. Tra esse rientrano – volendo richiamare le principali – il consenso, il legittimo interesse, gli obblighi di legge e gli obblighi derivanti dal rapporto contrattuale o precontrattuale con l’interessato. Nel considerando 47 del GDPR si indica che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”. In ordine a questo ultimo aspetto occorre però prestare attenzione e la lettura di tale passaggio non può prescindere da quanto previsto dalla Direttiva e-privacy (Direttiva 2002/85/CE). Infatti la disciplina relativa alle comunicazioni per finalità di marketing mediante sistemi automatizzati – quali email, fax, sms, mms e messaggi di altro tipo – deriva dalla Direttiva e-privacy e non dalla Direttiva madre (Direttiva 95/46/CE). Come noto, il Regolamento 2016/679, abroga, dal 25 maggio 2018, la Direttiva madre e non la Direttiva e-privacy, per cui rimanendo fermo quanto previsto da tale normativa, il trattamento dei dati per finalità di marketing con modalità automatizzate deve continuare a essere gestito – come previsto dall’art. 130 del Codice privacy – previa acquisizione del consenso.
3) Consenso: libero, specifico, informato
Deve essere manifestato con una dichiarazione o azione positiva inequivocabile. Occorre dunque continuare a gestire il consenso per finalità di marketing in modo tale che chi lo presti sia libero di decidere se voler ricevere o meno comunicazioni promozionali (quindi, in concreto, si deve continuare ad escludere la gestione di caselle preflaggate o del consenso obbligatorio per acquistare un bene o un servizio) e chi presta il consenso deve poter decidere se autorizzare o meno il trattamento per le diverse finalità per cui sia richiesto (ad esempio, per finalità di marketing del titolare e per comunicazioni a partner commerciali per loro autonome attività di marketing). Nel caso di servizi online occorre poi prestare attenzione affinchè il consenso sia rilasciato da minori che abbiano compiuto i 14 ani di età (così come previsto dall’art. 2-quinquies del Codice privacy), dovendosi altrimenti richiedere l’autorizzazione ai loro genitori
4) Diritti delle persone di cui si trattano i dati
Le persone di cui si trattano i dati (“interessati”) hanno specifici diritti (per cui si rinvia agli articoli da 15 a 22 del Regolamento), che devono essere garantiti.In particolare, per quanto riguarda il trattamento dei dati per finalità di marketing, occorre prestare particolare attenzione al diritto di opposizione, che l’interessato potrà esercitare in ogni momento, anche con mezzi automatizzati (si pensi, ad esempio, alla gestione di apposito link che consente al destinatario di una mail promozionale di opporsi alla ricezione di altre email).
5) Autorizzazione a chi accede ai dati
Chi accede ai dati deve essere autorizzato. Quindi occorre verificare chi può accedere ai dati trattati nello svolgimento dell’attività di marketing e fornire tutte le istruzioni che le persone autorizzate dovranno seguire nello svolgimento delle operazioni di trattamento (quali sono, ad esempio, la consultazione del data base, la registrazione di nuovi contatti o l’invio delle comunicazioni).
6) Soggetti terzi coinvolti nell’attività di marketing
L’attività di marketing comporta un trattamento di dati che può essere svolto direttamente dal titolare oppure da soggetti esterni che operano per suo conto come responsabili del trattamento. In questo secondo caso titolare e responsabile devono sottoscrivere apposito accordo sul trattamento dei dati, il cui contenuto è definito nell’art. 28 del GDPR.
7) Trasferimento dati all’estero
I dati non possono essere trasferiti all’estero senza prima valutare la sussistenza di idonee garanzie (si vedano sul punto, gli articoli da 44 a 50 del GDPR). Quindi, se per lo svolgimento dell’attività di marketing si utilizzano servizi che comportano un trasferimento di dati all’estero, occorre verificare se sussistono le garanzie previste dalla normativa (tra cui, ad esempio, le decisioni di adeguatezza della Commissione e, in particolare, per il rilievo che assume considerando che spesso ci si avvale, per le campagne di email marketing, di servizi che comportano il trasferimento di dati negli USA, il Privacy Shield).
8) Obbligo di tenuta registri
Il trattamento dei dati relativo all’attività di marketing rientra tra i trattamenti di cui occorre tenere traccia attraverso i registri del trattamento. L’obbligo di tenuta dei registri compete tanto al titolare che al responsabile del trattamento, per cui lo stesso andrà gestito con l’indicazione del trattamento per fini marketing dalla società che svolge autonomamente l’attività o dal consulente o dalla web agency che opera per conto del titolare. Per quanto riguarda il contenuto dei registri, si rinvia all’art. 30 del GDPR.
9) Misure di sicurezza a tutela dei dati
I dati devono essere gestiti con adeguate misure di sicurezza e occorre segnalare eventuali violazioni. Quindi si rende necessario verificare se le misure adottate per i sistemi con cui si gestiscono i dati per l’attività di marketing siano adeguate a garantire un livello di protezione adeguato al rischio (cfr. art. 32 GDPR) e prestare attenzione ad eventuali violazioni che, a meno che non sia improbabile che possano generare un rischio, andranno segnalate entro 72 ore al Garante privacy e, in alcuni casi, agli stessi interessati (si vedano, per un approfondimento, gli artt. 33 e 34 del GDPR).
10) Valutazione d’impatto sulla protezione dei dati
L’attività di marketing in sé non comporta l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (DPIA) prevista dall’art. 35 del GDPR, ma occorre verificare sempre le concrete modalità del trattamento prima di escludere che lo stesso non presenti rischi elevati, in presenza dei quali sarebbe invece necessaria.
Abbiamo scoperto, grazie a Roberta Rapicavoli, quali sono le 10 cose da sapere e ricordare a ogni costo in relazione al GDPR, che vedrà la sua attuazione il prossimo 25 maggio 2018.
La nostra autrice è avvocato, ha conseguito un Master di primo livello in “Diritto delle tecnologie informatiche” ed esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a Internet e alle nuove tecnologie, prestando assistenza a imprese, professionisti e privati.
Il web, come abbiamo visto, non rappresenta affatto una zona franca per il diritto, ecco perché occorre conoscere scrupolosamente che regole per essere presenti online e in materia di protezione dei dati personali.
Nel suo libro “Privacy e diritto nel web: le regole”, Roberta ci spiega con esaustività, in particolare, come fare del sano marketing online, utilizzare siti web e social network nel pieno rispetto delle normative. A supporto di chi legge, per meglio comprendere i singoli casi trattati, sono contemplate anche numerose schede di sintesi. Puoi scaricare gratuitamente l’anteprima del Web Book cliccando qui!
Roberta Rapicavoli
Ultimi articoli di Roberta Rapicavoli (vedi tutti)
- GDPR e marketing: 10 cose che devi assolutamente sapere - 25 gennaio 2019
- Dal Codice privacy al Regolamento UE 2016/679: quali regole per il trattamento dati? - 13 giugno 2017
Libri scritti da Roberta Rapicavoli
Post molto buono. Una volta che tutto questo funziona un dettaglio che dà molta serietà e personalità all’azienda è quello di personalizzare i vostri prodotti come penne, quaderni, tazze… toque dis Dare un tocco distintivo alla vostra azienda che sicuramente incanterà i vostri clienti e dipendenti.