Le attività di marketing comportano trattamenti di dati personali tra i più complessi e potenzialmente rischiosi di interventi da parte della autorità di controllo. Tra i responsabili marketing, prevale l’idea che la normativa privacy metta troppi vincoli alla loro “fantasia”, e di fatto preferiscono ignorare il problema assumendosi il rischio di sanzioni; al contrario, la normativa difficilmente impedisce di fare marketing, semplicemente impone che ciò sia fatto tutelando i destinatari delle attività stesse. In sostanza, per fare marketing correttamente, sono necessarie conoscenze specialistiche della normativa privacy, per cui le aziende devono avere al loro interno degli esperti in materia, o devono rivolgersi a un consulente (che ovviamente potrebbe essere anche il Data Protection Officer).

Riferimenti normativi

A parte il regolamento europeo sulla protezione dei dati personali (GDPR), che è il cappello generale, le fonti normative specifiche per il marketing sono:

  • D.lgs. 196/03 (“Codice privacy”), artt. 129 e 130;
  • Legge 5/18 (“Nuove disposizioni sul telemarketing”);
  • Provvedimenti del Garante privacy: 4 luglio 2013, «Linee guida in materia di attività promozionale e contrasto allo spam» e  24 febbraio 2005, «Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione»

Il piano marketing

L’errore più comune che le aziende compiono quando intraprendono la strada delle campagne marketing, è quello di concentrarsi sull’avere i dati (i contatti) dei potenziali destinatari prima ancora di aver deciso come impostare la campagna. Questo è un errore gravissimo perché, secondo i principi del GDPR, il punto di partenza di ogni trattamento lecito è la determinazione delle finalità, dalla quale poi discendono le altre decisioni che l’azienda dovrà prendere. In sostanza, l’acquisizione di dati (i contatti) senza avere a fronte la finalità del loro utilizzo (cioè, in questo caso, lo scopo e i mezzi della campagna di marketing) comporta il serio rischio di non poter usare quei dati.

Perciò, la prima cosa da fare è sempre avere chiaro ciò che si vuole ottenere con il marketing, poi decidere come ottenerlo, quindi identificare i mezzi e la platea dei destinatari: in pratica, bisogna fare un piano di marketing.

Stabiliti i mezzi (telefono, posta elettronica, posta tradizionale, messaggistica, social media, etc), si stabiliscono quali dati sono necessari per veicolare il messaggio promozionale (numero telefonico, indirizzo email o postale, nome account o nickname, localizzazione, etc); inoltre, per identificare i destinatari potenzialmente più rispondenti ad accogliere il messaggio, si stabiliscono i criteri che possono essere utilizzati per selezionare i destinatari stessi, e questi criteri si baseranno giocoforza su una serie di altri dati personali (ed in questa fase si potrebbe voler ricorrere alla pratica della “profilazione”).

Il contenuto del messaggio che si vuole veicolare è anch’esso ovviamente parte fondamentale del piano, ma esso non fa parte delle competenze del consulente privacy.

La lista dei contatti

Dal piano marketing abbiamo quindi le tipologie di dati che sono necessari per la selezione dei destinatari, prima, e per contattarli, dopo. Tuttavia, c’è un ulteriore criterio che deve assolutamente essere preso in considerazione: il consenso preventivo che ogni potenziale destinatario deve aver validamente espresso (e non revocato) per le attività di marketing ed eventualmente per la profilazione. Di fatto, tutti coloro per i quali non è possibile dimostrare di aver acquisito questo(i) consenso(i) devono essere esclusi dalla lista dei potenziali destinatari.

Ora, è possibile che l’azienda abbia già un database di potenziali destinatari: si può utilizzare? In teoria sì, ma solo se i dati sono sufficienti (rispetto a quelli necessari) e i consensi necessari validamente acquisiti. La stessa cosa vale se si acquistano liste di possibili destinatari, con in più l’avvertenza che il consenso alle attività di marketing deve essere stato espresso anche “verso terzi”, ciò perché l’azienda che ha acquisito i dati ed i consensi non è la stessa che effettua poi la campagna di marketing. In sostanza, poiché ogni consenso deve essere ottenuto a fronte di un’informativa completa, fa fede ciò che è stato dichiarato in quest’ultima.

La soluzione più semplice, dal punto di vista normativo, è che l’azienda acquisisca i dati dei potenziali destinatari direttamente e appositamente per la campagna, in modo che abbia tutti i dati e tutti i consensi necessari.

L’effettuazione della campagna

Una volta che l’azienda ha la sua lista di contatti e deciso le modalità con cui veicolare il messaggio, è il momento di partire con la campagna.

Per prima cosa, è necessario mettere a disposizione dei destinatari un’informativa completa che descriva i trattamenti di dati personali inclusi nel compimento della campagna (questa informativa può anche essere quella già utilizzata per la raccolta dei contatti, se questa è stata fatta in funzione della campagna; altrimenti ne serve una dedicata): il modo più semplice è la pubblicazione su internet (preferibilmente il sito aziendale o le sue pagine social) e utilizzare sempre l’indirizzo della pagina come riferimento (nelle mail o sulla lettera, o nei messaggi o nella telefonata) all’interno della cosiddetta informativa breve, cioè un’indicazione al destinatario delle informazioni fondamentali per capire da quale soggetto arriva il messaggio e per quali motivi.

Nel caso in cui le modalità di contatto includono la telefonata o la posta tradizionale, è sempre necessario fare un passaggio attraverso il Registro delle Opposizioni, per cui la lista dei contatti viene filtrata di tutti i contatti che hanno effettuato l’iscrizione al registro stesso (attenzione che la lista risultante deve essere utilizzata entro 15 giorni per le telefonate, o 30 per la posta tradizionale). Maggiori informazioni sui costi e modalità di questo passaggio si trovano sul sito del registro delle opposizioni. Per le altre modalità, inclusa la posta elettronica, questo passaggio non è necessario.

Con tutte queste “attenzioni”, il contatto è lecito e non può essere contestato; tuttavia, al destinatario è sempre riconosciuto il diritto di revocare il consenso o di opporsi al marketing, nonché di richiedere la cancellazione dei dati e la loro origine, e ciò può essere richiesto in qualsiasi modo e senza formalità (quindi, anche a voce o rispondendo ad una mail/messaggio): per questo motivo, l’azienda deve essere pronta, cioè organizzata, ad aderire alla richiesta, in particolare registrando la revoca del consenso o l’opposizione in modo tale da impedire ulteriori contatti futuri (che sarebbero, a quel punto, illeciti).

Il ruolo del consulente/DPO

Sulla base del processo appena descritto, risulta evidente che le conoscenze specialistiche del consulente o DPO sono necessarie per:

  • Supportare la definizione del piano marketing rispettando i principi del GDPR (in particolare, limitazione delle finalità e minimizzazione dei dati);
  • Verificare gli aspetti relativi alla profilazione, all’eventuale rientro nelle casistiche del “soft spam” o del legittimo interesse, all’eventuale estensione del consenso a certe modalità di contatto, all’utilizzo di servizi esterni (inclusi i social media) per raccogliere i dati e/o effettuare la campagna;
  • Verificare la lista di contatti eventualmente già in possesso, o da acquisire da terzi, rispetto ai dati ed ai consensi; oppure supportare l’azienda nel trovare le modalità per la raccolta dei dati;
  • Supportare l’azienda nell’eventuale iscrizione e uso del registro delle opposizioni;
  • Verificare l’informativa da fornire ai destinatari della campagna;
  • Indirizzare rispetto alle modalità di contatto (presentazione dell’azienda, informativa breve, indirizzo all’informativa completa);
  • Supportare gli operatori nella gestione delle richieste di revoca del consenso, opposizione o cancellazione, e di ogni altro possibile conflitto con i destinatari.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.