Guida pratica alla privacy policy per il marketing offline e online

Perché una guida pratica alla privacy policy per il marketing offline e online? Perché Il trattamento di dati personali per finalità di marketing costituisce uno dei settori della privacy dove è più facile commettere violazioni.

Accade spesso, infatti, che chi detiene dati personali di terzi (es. un indirizzo mail o un numero di telefono) li utilizzi con troppa leggerezza, determinando vere e proprie campagne di “stalking commerciale” che causano l’irritazione dei consumatori o comunque dei destinatari di queste comunicazioni e il conseguente intervento del Garante.

Come realizzare una campagna di marketing nel rispetto della normativa privacy

Proprio per arginare questo fenomeno, il Garante della Privacy ha pubblicato delle linee guida in materia di marketing e contrasto allo spam (Linee guida in materia di attività promozionale e contrasto allo spam)valide anche per le campagne on line.

A chi si applicano le linee guida? Differenza tra persone fisiche (Sig. Mario Rossi) e giuridiche (Società Alfa S.r.l.)…

Una delle domande che più spesso mi viene posta nella mia attività di consulente in ambito privacy è: c’è differenza tra una campagna di marketing nei confronti di una persona fisica (Sig. Mario Rossi) e giuridica (Società Alfa S.r.l.)?

La risposta è SI!

Infatti, come già specificato in un precedente articolo (Come scrivere una Privacy Policy), in linea generale, il Codice Privacy si applica esclusivamente alle cd. persone fisiche (es. Mario, Luigi, Paola ecc.) e non alle cd. persone giuridiche (Società, ditte individuali, associazioni, enti ecc.).

Tale assunto, tuttavia, vale esclusivamente in linea generale, in quanto riferito esclusivamente alla nozione di interessato.

Nel caso delle attività di marketing, invece, la nozione che viene in evidenza non è tanto quella di “interessato”, quanto quella di “contraente”, la quale ricomprende anche le persone giuridiche (es. le Società).

Quali sono allora le differenze tra una campagna di marketing nei confronti di una persona fisica e di una persona giuridica?

Nelle linee guida che andremo ad analizzare il Garante, nel confermare la predetta impostazione, ha specificato che la differenza risiede nel differente livello di tutela riservato ai due diversi tipi di destinatari delle comunicazioni commerciali.

Le persone fisiche, infatti, potranno avvalersi sia dei rimedi previsti dal Codice Privacy (reclamo, segnalazione, ricorso, esercizio dei diritti di cui all’art. 7), sia dei rimedi ordinari (es. proponendo un’azione inibitoria per “bloccare” il trattamento illecito di dati e/o un’azione di risarcimento danni).

Le persone giuridiche (es. Alfa S.r.l.), invece, potranno avvalersi esclusivamente degli strumenti ordinari di tutela sopra descritti (azione inibitoria e/o risarcitoria).

Fermo restando, quindi, il diverso grado di tutela dei destinatari, il consiglio è sempre quello di trattare i dati con estrema cautela.

Un problema molto delicato riguarda, poi, le comunicazioni commerciali on line, per le quali è spesso difficile distinguere se l’indirizzo mail faccia riferimento ad una persona fisica o giuridica (es. nome.cognome@società.com).

Come bisogna comportarsi?

Il Garante ha specificato nelle linee guida che questo tipo di indirizzi mail sono da considerarsi come indirizzi “personali”, per cui si applicheranno sia le tutele privacy che quelle ordinarie.

Obblighi di legge: informativa e consenso

Se si vuole fare una campagna di marketing, sia offline che online, sarà necessario innanzitutto predisporre un’informativa (anche detta privacy policy) chiara e completa sulle modalità e finalità del trattamento dati.

A tal riguardo il Garante ha specificato che la finalità di marketing ricomprende le “comunicazioni per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”.

Per quanto riguarda, invece, le modalità, il Garante ha rilevato che le comunicazioni commerciali possono essere inviate mediante l’utilizzo di modalità automatizzate (mail, telefonate preregistrate, sms, mms, fax ecc.) e non (telefonate con operatore, posta cartacea).

Tutte queste informazioni devono essere specificate nell’informativa, ma ciò non è sufficiente, in quanto il Codice Privacy prevede che la finalità di marketing possa essere perseguita solo con il consenso libero, informato, specifico, con riferimento a trattamenti chiaramente individuati, dell’interessato, cioè del destinatario delle comunicazioni commerciali.

Il consenso, secondo il Codice Privacy, deve essere documentato per iscritto, per cui, nel caso in cui si utilizzi un modulo cartaceo, si raccoglierà la relativa firma, ma cosa accade se si deve raccogliere il consenso on line?

In questo specifico caso la prassi è quella di utilizzare le checkbox che possono essere spuntate dall’utente.

A tale proposito il Garante ha specificato che, oltre a raccogliere il/i relativo/i flag o spunte, è altresì necessario adottare sistemi di verifica dell’identità dell’utente che si è registrato ad un sito web per ricevere comunicazioni e/o offerte promozionali.

Per raggiungere questo obiettivo, il Garante consiglia l’invio di un’apposita mail all’utente con la quale si chiede di confermare la propria identità cliccando su un apposito link (modalità utilizzata da numerosi siti web).

Ricordiamo, inoltre, che, sia per le campagne offline che online, il consenso deve essere preventivo (sistema dell’opt in), cioè prima si acquisisce il consenso e poi si invia la prima comunicazione commerciale.

La pratica di inviare la prima comunicazione commerciale con l’avviso di potersi opporre ai successivi trattamenti è quindi da considerarsi vietata.

E se prendo i dati dai registri pubblici?

Anche questa è una prassi che spesso viene adottata per reperire in modo rapido un numero elevato di dati personali.

Tuttavia, la regola non cambia: anche nel caso in cui i dati personali sono tratti da registri pubblici, elenchi siti web, atti o documenti conosciuti o facilmente conoscibili è necessario, secondo il Garante, raccogliere un consenso preventivo prima di inviare una qualsiasi comunicazione commerciale.

Stessa regola vale nel caso in cui si utilizzino gli indirizzi pec contenuti nell’“indice nazionale degli indirizzi pec delle imprese e dei professionisti”.

L’unica eccezione al consenso preventivo è costituita dalla possibilità di contattare telefonicamente gli interessati, per richiedere il consenso alla ricezione di comunicazioni commerciali, i cui numeri di telefono sono presenti negli elenchi telefonici e non sono iscritti nel Registro pubblico delle opposizioni.

Le checkbox possono essere prespuntate?

Tornando al mondo del web, vi sono siti che presentano form di contatto e/o registrazione in cui i consensi sono già “prespuntati” o “flaggati”.

Il Garante ha più volte sanzionato come illecita questa prassi, in quanto in contrasto con il principio della libertà del consenso (cfr. provvedimento n. 349 dell’11 giugno 2015; provvedimento n. 532 del 20 novembre 2014; provvedimento n. 429 del 20 dicembre 2012).

Quanti consensi?

Questa è un’altra domanda che spesso mi viene posta dai clienti, alla quale rispondo con un poco gradito…dipende!

Dipende da cosa fate aggiungerei.

E infatti, in linea generale, per ogni finalità è necessario un consenso: uno per il marketing, uno per la profilazione, uno per l’invio di una newsletter informativa (per un approfondimento sui consensi in ambito privacy leggi Privacy Policy, consenso e diritti dell’interessato).

Nell’ambito della finalità di marketing sarà sicuramente necessario ottenere un consenso.

Tuttavia, nel caso in cui le comunicazioni commerciali vengano inviate mediante l’utilizzo di modalità automatizzate (mail, telefonate preregistrate, sms, mms, fax ecc.) e non (telefonate con operatore, posta cartacea) potrebbe essere necessario un doppio consenso.

Utilizziamo il condizionale perché il Garante, nell’ottica della semplificazione, ha specificato che può essere sufficiente anche un unico consenso in questa ipotesi, purché si rispettino le seguenti condizioni cumulative:

1. dall’informativa e dalla richiesta di consenso deve risultare che il consenso si estende ad entrambe le modalità;

2. dall’informativa deve risultare che il diritto di opposizione – vale a dire il diritto dell’interessato ad opporsi all’invio di successive comunicazioni promozionali – riguarda entrambe le modalità e che l’interessato può decidere di opporsi anche con riferimento ad una sola delle due modalità (es. opponendosi esclusivamente all’invio di comunicazioni commerciali effettuato tramite strumenti non automatizzati – cd. opt out parziale).

E’ invece sicuramente necessario un ulteriore consenso nel caso in cui il titolare (cioè chi detiene i dati: si pensi al gestore di un sito web) voglia comunicare e/o cedere i dati personali raccolti a soggetti terzi (caso tipico quello in cui il titolare “venda” i dati degli utenti ad una società terza, la quale poi invierà agli stessi ulteriori comunicazioni commerciali).

Sarà inoltre necessario specificare, nell’informativa, chi sono questi soggetti terzi o quantomeno indicarne la categoria merceologica (es. abbigliamento, turismo, automotive, editoria), nonché se si tratti di società del gruppo (es. Alfa S.r.l. che cede i dati alla Beta S.r.l. che è interamente controllata dalla prima) oppure di soggetti terzi a tutti gli effetti.

L’eccezione del soft spam (valida solo per chi vende online)

Dopo aver letto tutti gli adempimenti che sono necessari per essere compliant dal punto di vista legale, potresti essere tentato di non iniziare alcuna campagna di marketing.

Prima di prendere decisioni avventate, ti segnalo che, ai sensi dell’art. 130, comma 4, Codice della Privacy, il titolare (vale a dire chi detiene dati personali di terzi) può, indipendentemente dal consenso dell’utente, inviargli comunicazioni commerciali, aventi, però, ad oggetto solo beni e/o servizi analoghi a quelli già forniti e/o acquistati, all’indirizzo mail fornito da quest’ultimo in fase di acquisto (si tratta del cd. soft spam).

A titolo di esempio, ho acquistato una bottiglia di vino e mi viene inviata una comunicazione commerciale relativa ad una promozione di bottiglie d’annata.

Come si desume dalla norma l’eccezione riguarda esclusivamente il mondo degli acquisti on line e si basa su una sorta di consenso implicito, comunque sempre revocabile tramite l’esercizio del diritto di opposizione.

Al di fuori di questo specifico caso, sarà invece sempre necessario raccogliere il consenso dell’utente.

I rischi nell’utilizzo delle mailing list

Nelle linee guida sul marketing che stiamo analizzando il Garante si è anche occupato della pratica dell’invio delle mail commerciali a centinaia o migliaia di interessati mediante una mailing list.

Il problema risiede nelle cd. mailing list in chiaro, cioè quelle mailing list che consentono ad ogni destinatario di avere accesso all’indirizzo mail degli altri destinatari.

Così facendo, si sta di fatto comunicando un dato personale dell’interessato (la mail appunto) a soggetti terzi, senza aver raccolto lo specifico consenso.

Questi terzi potrebbero utilizzare gli indirizzi mail per inviare ulteriori comunicazioni commerciali, senza essere stati autorizzati da nessuno, alimentando il fenomeno dello spam.

Per evitare possibili sanzioni da parte del Garante o comunque un procedimento da parte degli interessati per trattamento illecito di dati personali, consiglio sempre, in questi casi, di utilizzare la funzione ccn “copia conoscenza nascosta”.

Il social spam è lecito?

Il social spam costituisce una delle modalità di marketing su cui vi è maggiore confusione sul confine tra ciò che è lecito e ciò che è illecito.

E’ necessario partire da una premessa: i messaggi promozionali inviati agli utenti dei social network (es. Facebook), in privato come pubblicamente sulle loro bacheche virtuali, sono sottoposti alla disciplina del Codice della Privacy, per cui la circostanza che su queste piattaforme siano pubblicati ed accessibili numerosi dati personali (es. indirizzo mail e/o numero di telefono) non autorizza nessuno ad inviare comunicazioni commerciali senza aver raccolto uno specifico consenso.

Ciò premesso, in genere le ipotesi che si verificano sono di 2 tipi:

1. L‘utente riceve, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, una determinata comunicazione commerciale relativa ad uno specifico prodotto e/o servizio da un’impresa che abbia tratto i dati personali dal profilo del social network al quale egli è iscritto.

Come anticipato sopra, tale trattamento è da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall’interessato un consenso preventivo, specifico, libero e documentato per iscritto.

2. L‘utente, diventato “fan” della pagina di una determinata impresa o società oppure iscritto ad un “gruppo” di follower di un determinato marchio, personaggio, prodotto o servizio, riceve comunicazioni commerciali concernenti i suddetti elementi.

In questo caso, secono il Garante, la condotta di chi invia comunicazioni a carattere promozionale può considerarsi lecita “se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l’interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l’interessato si cancella dal gruppo, oppure smette di “seguire” quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sarà illecito, con le relative conseguenze sanzionatorie. Ciò, ferma comunque restando la possibilità, talora fornita dai social network ai loro utenti, di bloccare l’invio di messaggi da parte di un determinato “contatto” o di segnalare quest’ultimo come spammer”.

Qui non sempre è facile capire il confine tra ciò ce è lecito e ciò che non lo è, per cui sarà necessario approfondire caso per caso.

A titolo di esempio, si potrebbe ritenere lecito l’invio di una comunicazione commerciale a chi si iscrive ad un gruppo in cui ci si scambiano informazioni sugli sconti e sulle offerte commerciali relative al mondo degli elettrodomestici.

4 semplici consigli per realizzare una campagna di marketing (anche on line) nel rispetto della normativa privacy

Per concludere, Ti suggerisco 4 consigli pratici da tenere in considerazione se vuoi raccogliere dati personali di terzi per finalità di marketing:

  • specifica nell’informativa (privacy policy) se intendi utilizzare i dati raccolti per finalità di marketing

  • indica nell’informativa quali saranno le modalità per l’invio delle comunicazioni commerciali (automatizzate e/o non automatizzate)

  • indica nell’informativa se i dati raccolti saranno oggetto di comunicazione e/o cessione a soggetti terzi e chi sono questi terzi

  • raccogli i necessari consensi degli interessati

CONTATTI

Avv. Daniele Costa

KBL Law

daniele.costa@kbl-law.com

L’immagine del post è stata realizzata da muneebfarman, rilasciata con licenza cc.