Marketing sui siti web: cookies e altri metodi devono essere mantenuti separati

In tema di marketing effettuato tramite i siti web (e per similitudine, con le app per smartphone), un recente, e pesante, provvedimento del Garante per la protezione dei dati personali ha fornito interessanti precisazioni.

La principale riguarda la corretta gestione delle informative e dei consensi. In particolare, è pratica scorretta, perché volutamente ingannevole, accorpare in un unico documento e relativo “consenso” (cioè mettere a disposizione un unico controllo come un pulsante o una spunta da abiltare) le informazioni e l’accettazione delle condizioni contrattuali legate ai servizi del sito con le autorizzazioni per la ricezione di materiale pubblicitario, la profilazione, e i cookies. Vediamo quindi quali sono le pratiche corrette da adottare.

Le informative

Quando si parla di informative privacy (ma ciò vale anche per qualsiasi altro documento che debba fornire all’utente le informazioni di cui ha bisogno, oltre agli abblighi di legge), bisogna ricordare che l’adempimento reale è il rispetto del principio di trasparenza, secondo il quale l’interessato deve essere messo nelle condizioni di comprendere esattamente quali sono i trattamenti di dati personali che lo riguardano. Pertanto, il Garante ricorda che non sono accettabili formule dubitative o generiche (“potremmo”, “eventualmente”, etc), nonché di indicare in modo non puntuale quali sono le basi giuridiche (in alcuni casi, l’informativa riporta le finalità da una parte, affermando poi che esse si basano su una o più delle basi giuridiche che vengono sostanzialmente copiate dall’art. 6 del Reg. UE 679/16). Invece, è necessario che le informazioni prevista dall’art. 13 o dall’ art. 14 siano espresse puntualmente: ogni finalità, la sua base giuridica; se vengono indicate le categorie di dati, solo quelle effettivamente raccolte o generate; il periodo di conservazione, deve essere dichiarato esplicitamente (ciò è particolarmente importante nel caso del marketing).

Cookies

Per i cookies, valgono ovviamente le linee guida applicabili da ormai un anno. In sostanza, i consensi per le varie tipoligie di cookies che lo richiedono devono essere selezionabili liberamente e singolarmente tramite il banner, che quindi deve permettere ciò nel modo più semplice e chiaro possibile per gli utenti. Il banner deve ovviamente anche permettere l’accesso all’informativa che dettaglia le informazioni relative ai cookies in uso nel sito (includendo anche quelli tecnici per cui non è necessario il consenso).

Attività di marketing

Per le attività di marketing, il Garante ha già da tempo previsto la necessità di separare le finalità, e quindi i consensi, relativi ai vari aspetti che l’azienda intende implementare. In particolare, si deve differenziare almeno per queste tipologie (ovviamente, se applicate):

marketing diretto (cioè effettuato in funzione della promozione dell’azienda, dei suoi servizi o dei suoi prodotti);
l’uso della profilazione (la raccolta di dati ulteriori finalizzata alla comprensione della personalità dei singoli utenti)
il marketing di terze parti (cioè quando i dati sono trasferiti ad altri soggetti per la promozione di aziende, servizi e prodotti terzi, non collegati all’azienda a cui appartiene il sito)
la pubblicità personalizzata (cioè scelta specificatamente per l’utente o per le categorie a cui appartiene)

È bene notare che quest’ultimo aspetto è stato recentemente ribadito dal comitato europeo delle autorità di controllo dei dati personali, in una decisione vincolante riguardante il mondo dei servizi “social”: se è legittimo che un servizio sia compensato attraverso la vendita di spazi pubblicitari, gli utenti devono essere liberi di rifiutare che la pubblicità derivante sia personalizzata su di loro.

Condizioni contrattuali

Qualora il sito serva a fornire servizi per i quali si configuri la necessità di esplicitare dei vincoli contrattuali per le parti (e ciò include anche la vendita di prodotti, quindi il caso del cosiddetto e-commerce) che devono essere accettati, è evidente che l’accettazione di tali termini deve essere totalmente scollegata da altri aspetti, come appunto quelli dei consensi per altre finalità di trattamento di dati personali. Nel provvedimento ricordato all’inizio, il Garante ricorda (perché non è certo una novità) che questi vincoli contrattuali devono essere riportati in un documento, quindi meglio una pagina dedicata, che si limiti a questo scopo; com’è naturale, il servizio comporterà alcuni trattamenti di dati personali, funzionali alla fornitura del servizio o del prodotto, per i quali il consenso non è necessario (e richiederlo comunque è sia indicazione di non comprensione della normativa, sia legalmente sbagliato), proprio perché la base giuridica del trattamento sono i termini contrattuali stessi; l’informativa privacy riguardante questi trattamenti deve quindi essere un documento a sua volta autonomo, sia da quello dei termini contrattuali, che dalle altre informative privacy (come quella dei cookies).

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Richiedi più informazioni facilmente con WhatsApp