23 Gen 2018

Marketing e GDPR: i principi chiave che ogni marketer deve conoscere

Articolo a cura dell'Avv. Giulia Casacci - http://avvocatogiuliacasacci.it/

Con l'entrata in vigore del GDPR (General Data Protection Regulation) e la sua prossima esecutività a partire dal 25 Maggio 2018, coloro che operano nel marketing non potranno che fare i conti sulle novità introdotte, ben potendo però contare sulla coerenza delle normative privacy in tutta Europa a differenza di quanto accadeva in passato.

E' vero: il GDPR è un testo particolarmente corposo, composto da 173 considerando, premesse esplicative, e 99 articoli.

GDPR

Tuttavia, i professionisti del marketing dovranno in particolar modo tenere presente alcuni principi chiave, il cui rispetto sarà fondamentale per lo svolgimento di un'attività marketing oriented legittima e conforme alla normativa.

L'INFORMATIVA

L'informativa all'interessato rappresenta, già dalla vigenza del Codice Privacy, uno degli adempimenti principali posti in capo al titolare del trattamento.

I contenuti dell'informativa sono elencati in modo tassativo degli artt. 13 e 14 del GDPR, in parte più ampi rispetto a quelli previsti dal Codice Privacy.

L'informativa deve essere fornita all'utente prima di effettuare la raccolta dei dati, deve avere forma concisa e facilmente comprensibile, deve essere facilmente accessibile.

Nell'ambito del marketing attraverso strumenti informatici l'informativa deve essere data preferibilmente per iscritto e in formato elettronico, così che l'utente possa scaricarla e conservarla.

L'informativa è un documento fondamentale per valutare la compliance rispetto al GDPR, ma è anche preludio al consenso e per tale ragione la correttezza e la completezza sono requisiti necessari per poter raccogliere consensi validi e legittimi.

In pratica: è fondamentale verificare che la propria Privacy Policy contenga tutti gli elementi obbligatori previsti dal GDPR e che sia di facile accesso per l'utente mediante appositi link ben individuabili e accessibili prima della raccolta dei dati.

Evitate il copia incolla di modelli rinvenuti nel web: le informazioni obbligatorie da inserire nella policy riguardano le finalità del trattamento, la tipologia di dati raccolti, l'identità e i dati di contatto del titolare del trattamento, del responsabile e del DPO (Data Protection Officer), il periodo di conservazione dei dati e, più in generale, informazioni che come è facile intuire possono variare moltissimo da titolare a titolare.

L'informativa presentata dal GDPR mal si accosta insomma a modelli predefiniti, che potrebbero non rispondere pienamente alle vostre esigenze o, nella peggiore delle ipotesi, potrebbero persino esporvi a sanzioni.

IL CONSENSO

La possibilità di svolgere attività promozionale o di commercializzazione attraverso posta elettronica è subordinata al previo consenso dell'interessato.

Il Garante ha più volte ribadito che gli indirizzi di posta elettronica contengono dati personali, anche qualora il nome dominio sia riferibile a una persona giuridica, cioè a una società.

Il consenso è inoltre un vincolo necessario a prescindere dalla facilità con la quale sia possibile reperire un indirizzo di posta elettronica e dal fatto che sia pubblicato sulla rete internet (es. elenchi abbonati, email pubblicate in siti web, etc..).

Questo significa che avere a disposizione un indirizzo mail non consente, di per se, il legittimo utilizzo per comunicazioni promozionali o commerciali senza previo specifico consenso dell'interessato.

Il GDPR, al considerando 32, prevede che il consenso vada espresso mediante “un'azione positiva inequivocabile”, con la quale l'interessato manifesta l'intenzione libera, specifica e informata di accettare il trattamento.

Non configura quindi consenso il silenzio, l'inattività o la preselezione di caselle.

Parimenti, il Garante ritiene costituisca elusione della normativa la prassi che consiste nel richiedere il consenso dell'interessato attraverso una prima mail avente comunque contenuto promozionale, oppure riconoscendo all'utente un semplice diritto di opt-out, ossia la facoltà di attivarsi al fine di non ricevere più messaggi dello stesso tipo.

In pratica: Il consenso deve essere raccolto attraverso delle opzioni di scelta positive, quali la spunta di un'apposita casella non preselezionata che indichi la specifica finalità dell'invio di comunicazioni commerciali o promozionali.

In particolare, se il consenso è richiesto con modalità elettronica, tale richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso.

Ancor meglio se tutti i dati di opt-in relativi al consenso utente saranno gestiti centralmente così da allineare in tempo reale tutti i sistemi terzi che sfruttano quel dato.

L'onere della prova, ovvero a chi spetta provare che il consenso sia stato rilasciato correttamente, è a carico del titolare del trattamento.

Questi deve quindi essere in grado di dimostrare che l'interessato ha espresso il proprio consenso specifico per la finalità di marketing ed è quindi sempre preferibile predisporre la raccolta dei dati avendo cura di procurarsi la prova del consenso ricevuto, quantomeno mediante un'azione informatica come la selezione di una specifica casella.

I DIRITTI DELL'INTERESSATO

Il GDPR prevede diverse disposizioni che attribuiscono agli individui specifici diritti volti ad assicurare un maggior controllo sul modo in cui i loro dati vengono raccolti e utilizzati, inclusa la possibilità di accedervi o rimuoverli.

Il professionista del marketing dovrà quindi assicurarsi che gli utenti possano accedere facilmente ai propri dati e che siano posti nella condizione di revocare in qualsiasi momento il loro consenso al trattamento.

Il GDPR introduce per l'interessato una serie di diritti attivabili mediante l'invio di una richiesta al titolare del trattamento, che dovrà darvi riscontro entro 1 mese o, in casi di particolare complessità, entro 3 mesi.

A titolo esemplificativo, rinviando alla lettura della norma per l'elencazione completa dei diritti, all'interessato è riconosciuto il diritto di accedere ai dati personali raccolti e di riceverne copia, il diritto di ottenere la rettifica dei dati, il diritto di chiedere la limitazione, ossia una restrizione, del trattamento, il diritto di opposizione e il diritto all'oblio.

I titolari del trattamento dovranno quindi adottare le misure tecniche e organizzative eventualmente necessarie per favorire l'esercizio dei suddetti diritti e il riscontro alle richieste presentate dagli interessati che, a differenza di quanto attualmente previsto, dovrà avere per impostazione predefinita forma scritta, anche elettronica.

In pratica: La sezione dell'account personale dell'utente dovrà fornire una serie di possibilità tra cui visualizzare in qualsiasi momento le proprie informazioni, modificarle, cancellarle o scaricarle.

Per consentire all'utente di disiscriversi autonomamente e facilmente, basterà includere un link di annullamento dell'iscrizione all'interno del modello stesso di email inviata.

Per evitare cancellazioni indiscriminate, potrebbe essere utile garantire la facoltà agli utenti di gestire le proprie preferenze di posta elettronica, selezionando gli argomenti di maggiore interesse sui quali vogliano continuare a ricevere informazioni, come ad esempio consente di fare Twitter.

Cosa fare dunque in vista dell'esecutività del GDPR?

  1. Controllate la vostra informativa: contiene gli elementi obbligatori previsti dal GDPR? E' formulata in maniera chiara e trasparente? E' messa a disposizione dell'utente prima della raccolta dei dati? In caso di risposta negativa, provvedete alla sua predisposizione o al suo aggiornamento, evitando i copia - incolla.
  2. Controllate la vostra lista contatti: rimuovete chiunque non disponga di una registrazione del consenso e assicuratevi che i nuovi utenti confermino specificamente l'intenzione di iscriversi alla vostra newsletter, anche mediante l'invio di una mail automatica per confermare l'iscrizione. Il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche che il GDPR richiede, diversamente sarà opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quando previsto dal GDPR, predisponendo le opportune modifiche o le integrazioni operative e documentali.
  3. Minimizzate: valutate i dati che avete raccolto e quelli che state raccogliendo, in ossequio al principio di minimizzazione ribadito dal GDPR. Privilegiate la raccolta dei soli dati personali di cui avete bisogno e che effettivamente utilizzerete nelle vostre attività di promozione e comunicazione commerciale: è possibile comprendere le preferenze dell'utente anche senza raccogliere dati personali.
  4. Ottenete un valido consenso: non contattate qualcuno per offerte commerciali o promozionali a meno che non lo richieda espressamente. Il consenso a ricevere tale tipo di comunicazioni non si presume, ma deve essere provato e fornito per la specifica finalità di marketing.

     

Avv. Giulia CasacciArticolo a cura dell'Avv. Giulia Casacci - http://avvocatogiuliacasacci.it/

Dal 2013 si occupa di consulenza e pianificazione delle attività d'impresa in materia di diritto del web e contrattualistica.
Collabora stabilmente con aziende ed enti fornendo consulenza legale a liberi professionisti, Start up e PMI innovative.

Dal 2015 inizia a curare, oltre agli aspetti legali, anche la formazione di Imprese e liberi professionisti nel settore marketing e nuove tecnologie, quale relatore in convegni organizzati in materia di diritto del web e privacy.

 

 

Commenti

Buonasera Dott.ssa Casacci,grazie per il suo dettagliato e utilissimo articolo. Vorrei porle un quesito. La mia azienda acquista liste di contatti qualificati per l'invio di email di natura promozionale.Per agire correttamente dovremmo prima inviare a questi contatti un email di natura informativa che ci autorizzi nel trattare i loro dati personali? E poi procedere, in caso di consenso, con l'offerta promozionale?
La ringrazio.
Saluti.

Salve,
le rispondiamo come Staff di Email Marketing Blog: l'acquisizione di liste di contatti - qualificati o meno - non è un buon punto di partenza per fare correttamente email marketing, a prescindere dal quadro legislativo: i filtri antispam e i provider puniscono seriamente e in maniera pesante chi utilizza liste di email per invii "a freddo". Questo vuol dire che usando questi indirizzi molto spesso potreste essere oggetto di censura da parte dei filtri, censura che può essere di medio e lungo respiro e coinvolgere ip di spedizione, mittenti, link contenuti nell'email, pezzi di testo. Per evitare problemi come questi, e per essere in regola con la legge, una volta acquisite le liste, dovreste fare un lavoro di richiesta consensi, che sarebbe meglio non fare attraverso l'email, proprio per evitare problemi con i filtri. Dunque rimane il contatto telefonico, con il quale è possibile a norma di legge raccogliere il consenso, e una volta acquisito è possibile effettuare invii che oltre ad essere "legali", siano ragionevolmente sicuri in termini di filtri antispam. Consigliamo comunque di valutare altre strategie di List Building https://emailmarketingblog.it/blog/2017/01/18/email-marketing-strumenti-...

Grazie mille per il vostro prezioso riscontro!
:)
 
ciao,
Giulia

Aggiungi un commento

Filtered HTML

  • Indirizzi web o e-mail vengono trasformati in link automaticamente
  • Elementi HTML permessi: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Linee e paragrafi vanno a capo automaticamente.

Plain text

  • Nessun tag HTML consentito.
  • Indirizzi web o e-mail vengono trasformati in link automaticamente
  • Linee e paragrafi vanno a capo automaticamente.