23 Gen 2018

Marketing e GDPR: i principi chiave che ogni marketer deve conoscere

Articolo a cura dell'Avv. Giulia Casacci - http://avvocatogiuliacasacci.it/

Con l'entrata in vigore del GDPR (General Data Protection Regulation) e la sua prossima esecutività a partire dal 25 Maggio 2018, coloro che operano nel marketing non potranno che fare i conti sulle novità introdotte, ben potendo però contare sulla coerenza delle normative privacy in tutta Europa a differenza di quanto accadeva in passato.

E' vero: il GDPR è un testo particolarmente corposo, composto da 173 considerando, premesse esplicative, e 99 articoli.

GDPR

Tuttavia, i professionisti del marketing dovranno in particolar modo tenere presente alcuni principi chiave, il cui rispetto sarà fondamentale per lo svolgimento di un'attività marketing oriented legittima e conforme alla normativa.

L'INFORMATIVA

L'informativa all'interessato rappresenta, già dalla vigenza del Codice Privacy, uno degli adempimenti principali posti in capo al titolare del trattamento.

I contenuti dell'informativa sono elencati in modo tassativo degli artt. 13 e 14 del GDPR, in parte più ampi rispetto a quelli previsti dal Codice Privacy.

L'informativa deve essere fornita all'utente prima di effettuare la raccolta dei dati, deve avere forma concisa e facilmente comprensibile, deve essere facilmente accessibile.

Nell'ambito del marketing attraverso strumenti informatici l'informativa deve essere data preferibilmente per iscritto e in formato elettronico, così che l'utente possa scaricarla e conservarla.

L'informativa è un documento fondamentale per valutare la compliance rispetto al GDPR, ma è anche preludio al consenso e per tale ragione la correttezza e la completezza sono requisiti necessari per poter raccogliere consensi validi e legittimi.

In pratica: è fondamentale verificare che la propria Privacy Policy contenga tutti gli elementi obbligatori previsti dal GDPR e che sia di facile accesso per l'utente mediante appositi link ben individuabili e accessibili prima della raccolta dei dati.

Evitate il copia incolla di modelli rinvenuti nel web: le informazioni obbligatorie da inserire nella policy riguardano le finalità del trattamento, la tipologia di dati raccolti, l'identità e i dati di contatto del titolare del trattamento, del responsabile e del DPO (Data Protection Officer), il periodo di conservazione dei dati e, più in generale, informazioni che come è facile intuire possono variare moltissimo da titolare a titolare.

L'informativa presentata dal GDPR mal si accosta insomma a modelli predefiniti, che potrebbero non rispondere pienamente alle vostre esigenze o, nella peggiore delle ipotesi, potrebbero persino esporvi a sanzioni.

IL CONSENSO

La possibilità di svolgere attività promozionale o di commercializzazione attraverso posta elettronica è subordinata al previo consenso dell'interessato.

Il Garante ha più volte ribadito che gli indirizzi di posta elettronica contengono dati personali, anche qualora il nome dominio sia riferibile a una persona giuridica, cioè a una società.

Il consenso è inoltre un vincolo necessario a prescindere dalla facilità con la quale sia possibile reperire un indirizzo di posta elettronica e dal fatto che sia pubblicato sulla rete internet (es. elenchi abbonati, email pubblicate in siti web, etc..).

Questo significa che avere a disposizione un indirizzo mail non consente, di per se, il legittimo utilizzo per comunicazioni promozionali o commerciali senza previo specifico consenso dell'interessato.

Il GDPR, al considerando 32, prevede che il consenso vada espresso mediante “un'azione positiva inequivocabile”, con la quale l'interessato manifesta l'intenzione libera, specifica e informata di accettare il trattamento.

Non configura quindi consenso il silenzio, l'inattività o la preselezione di caselle.

Parimenti, il Garante ritiene costituisca elusione della normativa la prassi che consiste nel richiedere il consenso dell'interessato attraverso una prima mail avente comunque contenuto promozionale, oppure riconoscendo all'utente un semplice diritto di opt-out, ossia la facoltà di attivarsi al fine di non ricevere più messaggi dello stesso tipo.

In pratica: Il consenso deve essere raccolto attraverso delle opzioni di scelta positive, quali la spunta di un'apposita casella non preselezionata che indichi la specifica finalità dell'invio di comunicazioni commerciali o promozionali.

In particolare, se il consenso è richiesto con modalità elettronica, tale richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso.

Ancor meglio se tutti i dati di opt-in relativi al consenso utente saranno gestiti centralmente così da allineare in tempo reale tutti i sistemi terzi che sfruttano quel dato.

L'onere della prova, ovvero a chi spetta provare che il consenso sia stato rilasciato correttamente, è a carico del titolare del trattamento.

Questi deve quindi essere in grado di dimostrare che l'interessato ha espresso il proprio consenso specifico per la finalità di marketing ed è quindi sempre preferibile predisporre la raccolta dei dati avendo cura di procurarsi la prova del consenso ricevuto, quantomeno mediante un'azione informatica come la selezione di una specifica casella.

I DIRITTI DELL'INTERESSATO

Il GDPR prevede diverse disposizioni che attribuiscono agli individui specifici diritti volti ad assicurare un maggior controllo sul modo in cui i loro dati vengono raccolti e utilizzati, inclusa la possibilità di accedervi o rimuoverli.

Il professionista del marketing dovrà quindi assicurarsi che gli utenti possano accedere facilmente ai propri dati e che siano posti nella condizione di revocare in qualsiasi momento il loro consenso al trattamento.

Il GDPR introduce per l'interessato una serie di diritti attivabili mediante l'invio di una richiesta al titolare del trattamento, che dovrà darvi riscontro entro 1 mese o, in casi di particolare complessità, entro 3 mesi.

A titolo esemplificativo, rinviando alla lettura della norma per l'elencazione completa dei diritti, all'interessato è riconosciuto il diritto di accedere ai dati personali raccolti e di riceverne copia, il diritto di ottenere la rettifica dei dati, il diritto di chiedere la limitazione, ossia una restrizione, del trattamento, il diritto di opposizione e il diritto all'oblio.

I titolari del trattamento dovranno quindi adottare le misure tecniche e organizzative eventualmente necessarie per favorire l'esercizio dei suddetti diritti e il riscontro alle richieste presentate dagli interessati che, a differenza di quanto attualmente previsto, dovrà avere per impostazione predefinita forma scritta, anche elettronica.

In pratica: La sezione dell'account personale dell'utente dovrà fornire una serie di possibilità tra cui visualizzare in qualsiasi momento le proprie informazioni, modificarle, cancellarle o scaricarle.

Per consentire all'utente di disiscriversi autonomamente e facilmente, basterà includere un link di annullamento dell'iscrizione all'interno del modello stesso di email inviata.

Per evitare cancellazioni indiscriminate, potrebbe essere utile garantire la facoltà agli utenti di gestire le proprie preferenze di posta elettronica, selezionando gli argomenti di maggiore interesse sui quali vogliano continuare a ricevere informazioni, come ad esempio consente di fare Twitter.

Cosa fare dunque in vista dell'esecutività del GDPR?

  1. Controllate la vostra informativa: contiene gli elementi obbligatori previsti dal GDPR? E' formulata in maniera chiara e trasparente? E' messa a disposizione dell'utente prima della raccolta dei dati? In caso di risposta negativa, provvedete alla sua predisposizione o al suo aggiornamento, evitando i copia - incolla.
  2. Controllate la vostra lista contatti: rimuovete chiunque non disponga di una registrazione del consenso e assicuratevi che i nuovi utenti confermino specificamente l'intenzione di iscriversi alla vostra newsletter, anche mediante l'invio di una mail automatica per confermare l'iscrizione. Il consenso raccolto prima del 25 Maggio 2018 resta valido se ha tutte le caratteristiche che il GDPR richiede, diversamente sarà opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quando previsto dal GDPR, predisponendo le opportune modifiche o le integrazioni operative e documentali.
  3. Minimizzate: valutate i dati che avete raccolto e quelli che state raccogliendo, in ossequio al principio di minimizzazione ribadito dal GDPR. Privilegiate la raccolta dei soli dati personali di cui avete bisogno e che effettivamente utilizzerete nelle vostre attività di promozione e comunicazione commerciale: è possibile comprendere le preferenze dell'utente anche senza raccogliere dati personali.
  4. Ottenete un valido consenso: non contattate qualcuno per offerte commerciali o promozionali a meno che non lo richieda espressamente. Il consenso a ricevere tale tipo di comunicazioni non si presume, ma deve essere provato e fornito per la specifica finalità di marketing.

     

Avv. Giulia CasacciArticolo a cura dell'Avv. Giulia Casacci - http://avvocatogiuliacasacci.it/

Dal 2013 si occupa di consulenza e pianificazione delle attività d'impresa in materia di diritto del web e contrattualistica.
Collabora stabilmente con aziende ed enti fornendo consulenza legale a liberi professionisti, Start up e PMI innovative.

Dal 2015 inizia a curare, oltre agli aspetti legali, anche la formazione di Imprese e liberi professionisti nel settore marketing e nuove tecnologie, quale relatore in convegni organizzati in materia di diritto del web e privacy.

 

 

Commenti

Buonasera Dott.ssa Casacci,grazie per il suo dettagliato e utilissimo articolo. Vorrei porle un quesito. La mia azienda acquista liste di contatti qualificati per l'invio di email di natura promozionale.Per agire correttamente dovremmo prima inviare a questi contatti un email di natura informativa che ci autorizzi nel trattare i loro dati personali? E poi procedere, in caso di consenso, con l'offerta promozionale?
La ringrazio.
Saluti.

Salve,
le rispondiamo come Staff di Email Marketing Blog: l'acquisizione di liste di contatti - qualificati o meno - non è un buon punto di partenza per fare correttamente email marketing, a prescindere dal quadro legislativo: i filtri antispam e i provider puniscono seriamente e in maniera pesante chi utilizza liste di email per invii "a freddo". Questo vuol dire che usando questi indirizzi molto spesso potreste essere oggetto di censura da parte dei filtri, censura che può essere di medio e lungo respiro e coinvolgere ip di spedizione, mittenti, link contenuti nell'email, pezzi di testo. Per evitare problemi come questi, e per essere in regola con la legge, una volta acquisite le liste, dovreste fare un lavoro di richiesta consensi, che sarebbe meglio non fare attraverso l'email, proprio per evitare problemi con i filtri. Dunque rimane il contatto telefonico, con il quale è possibile a norma di legge raccogliere il consenso, e una volta acquisito è possibile effettuare invii che oltre ad essere "legali", siano ragionevolmente sicuri in termini di filtri antispam. Consigliamo comunque di valutare altre strategie di List Building https://emailmarketingblog.it/blog/2017/01/18/email-marketing-strumenti-...

Grazie mille per il vostro prezioso riscontro!
:)
 
ciao,
Giulia

Buongiorno Avv. Casacci,
vorrei porre una domanda in merito alla gestione di contatti già in DB. Avere un modulo cartaceo compilato con i dati personali e regolarmente sottoscritto dall'utente è sinonimo di una registrazione del consenso frutto di un'azione positiva inequivocabile anche se precedente al fatidico 25/05/2018? Oppure si dovrà in tal caso ottenere nuovamente specifico consenso?
Grazie per la collaborazione e per l'utilissimo articolo.
Massimo

Risponde direttamente l'Avv. Casacci:
"Il consenso raccolto precedentemente al 25 Maggio 2018 resta valido se ha tutte le caratteristiche previste dal GDPR. In particolare occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all'interessato e che la formulazione utilizzata sia comprensibile, semplice e chiara.
Nel suo commento non è precisata la finalità per la quale è stato acquisito il consenso (se per comunicazione commerciale - promozionale, comunicazione a terzi, ..), ma anche questa è una valutazione da compiere per capire se il modulo sottoscritto sia o meno compliance con il GDPR e se il consenso sia condizione legittimante il trattamento.
Qualora i requisiti e le prescrizioni del GDPR non risultino pienamente rispettati occorre predisporre le necessarie modifiche e integrazioni operative e documentali. In generale, sono esempi di "inequivocabilità" formale: la dichiarazione scritta (come nel suo caso), la manifestazione anche attraverso mezzi elettronici quali la scelta di un'apposita casella o qualsiasi comportamento attivo e positivo che indichi chiaramente che l'interessato accetta il trattamento proposto."

Buonasera,
attualmente nel sito aziendale abbiamo un form di contatto in cui prima del tasto invia è stata riportata la dicitura "Compilando ed inviando questo form di contatto acconsenti al trattamento dei dati personali al fine di fornire il servizio richiesto. Leggi l'informativa privacy resa ai sensi dell'articolo 13 del Dlgs 196/2003 (con link)
Vi è poi una checkbox non preselezionata con affianco la frase: "Desidero ricevere informazioni e comunicazioni commerciali e promozionali relativi all’attività e ai servizi offerti dall'azienda"
Può essere mantenuto tutto così? Il dubbio ce l'ho soprattutto sulla prima parte. So che anche nel sito del Garante avevano una dicitura così per le newsletter, ma non ho capito se con il GDPR è sufficiente o se devo richiedere la spunta di una checkbox anche per fini non commerciali e se posso utilizzarlo come campo obbligatorio (se non mi spunti il consenso al trattamento dei dati per fornire il servizio richiesto non puoi inviare il form, se non compili quello per i fini commerciali invece puoi proseguire comunque)
 
Grazie
 

L'impostazione del modulo è corretta, fatto salvo che i riferimenti normativi e la privacy policy collegata andranno cambiati con quelli del nuovo decreto (attualmente in fase di approvazione) e che servirà "da ponte" fra il vecchio decreto e il regolamento e-privacy europeo che dovrebbe arrivare nel 2019 (qui trova un articolo sulla questione https://emailmarketingblog.it/blog/2018/03/29/oltre-il-gdpr-il-regolamen...).
Se il form ha uno scopo preciso, e viene evidenziato il trattamento dati applicato quando lo si invia (i dati verranno trattati per rispondere alla vostra diretta richiesta...) non c'è alcun bisogno di immettere un'ulteriore spunta, a parte quella facoltativa relativa alla newsletter. Il GDPR, nella sua genericità, parla di “un'azione positiva inequivocabile”, con la quale l'interessato manifesta l'intenzione libera, specifica e informata di accettare il trattamento. Il compilare un form di richiesta informazioni, con il link al documento di trattamento privacy, è da considerarsi azione positiva. Buona norma è prevedere il cosidetto confirmed opt-in, per cui l'invio di una email con un link univoco di conferma.

Intanto grazie mille per la risposta.
La checkbox quindi la lascio solamente per la parte relativa all'invio di comunicazioni commerciali, che ovviamente non è obbligatoria: mi confermate che resta valido il discorso di richiedere un consenso per ogni tipologia di trattamento (ad es uno per l'invio del form, un'altro per l'utilizzo dei dati a scopi commerciali, un altro per la newsletter ad esempio...)?

Salve, sì, il discorso di un consenso per ogni trattamento è corretto. Proprio oggi abbiamo fatto uscire un articolo in merito, anche piuttosto esteso: https://emailmarketingblog.it/blog/2018/05/02/raccogliere-consensi-allep...

Buongiorno,
chiedevo un chiarimento sulla nuova normativa del GDPR. Siamo una società che opera esclusivamente con soggtti partita IVA e non con persone fisiche. Offrimao servizi di consulenza finanziaria ed intermediazione bancaria. Periodicamente inviamo comunicazioni  cartecee, mail, sms ad Imprese (socie e non socie) nelle quali indichiamo i nostri servizi. Questi nominativi con indirizzi, numeri e mail, in parte sono state acquistate nel corso degli anni da diverse Camere di Commercio. Volevo chiedere: 
- Se la nuova normativa si applichi solo alle persone fisiche e quindi non alle imprese, così da essere esentati all'adeguamento
- Se tale nominativi sono utilizzabili ai fini societari o se dobbiamo ottenere il consenso, e se si, visto che gran parte della comunicazione avviene via posta, se sia valido l'invio di una lettera in cui evidenziamo che in caso l'impresa non voglia più essere contattata  può comunicarlo via mail, telefono, sms, o corrispondenza.
Ringraziando anticipatamente, saluto cordialmente
Mario

Il GDPR si applica a chiunque tratti dati di persone fisiche o riconducibili a persone fisiche.
Quando una azienda gestisce una rubrica di clienti, tutte aziende, ma oltre al nome dell'azienda c'è anche solo un nome di un loro dipendente o una email di un dipendente allora quello è già un dato personale per il GDPR e quindi tali dati vanno trattati secondo il GDPR.
Sulle necessità e modalità di raccolta del consenso per invii postali tradizionali non ci sbilanciamo perchè non è un argomento che studiamo. Nell'ambito email è sempre consigliabile avere il consenso anche quando la normativa lascia qualche margine di interpretazione perchè dove c'è questo margine intervengono i filtri antispam, molto più severamente della normativa. Su sms, telefono e posta tradizionale il mondo dell'antispam è molto più acerbo perchè il costo di tali mezzi di comunicazione rende meno appetibile abusarne, ma la legalità di ciò che si fa va verificata con un avvocato.
Importante sottolineare che il fatto che ci sia qualcuno che vende dati di aziende non implica/significa/certifica che dopo averli comprati si possa poi comunicare con le aziende: è possibile, ma non è implicito ed è da verificare sul caso specifico.

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)