Quando si tratta di fare regali, può essere difficile trovare il regalo perfetto e il rischio di acquistare qualcosa di inutile è alto.
Le carte regalo o gift card (“voucher” fisici o digitali prepagati da un soggetto per farne dono ad altri, che potranno spenderne il controvalore negli esercizi aderenti) offrono un’ottima soluzione, dando a chi le riceve la libertà di scegliere ciò che preferisce.
Pertanto, sono un valido strumento di marketing che necessita, però, di attenta analisi dei rapporti civilistici e normativi con il fornitore delle gift card.
Qualora l’acquisto o l’utilizzo della card comporti il trattamento di dati personali di acquirente o beneficiario, si ricade nel campo di applicazione del GDPR e, tra le altre cose, la corretta identificazione dei ruoli di titolare e responsabile del trattamento è fondamentale per garantire la conformità normativa.
Questo articolo analizza come tali ruoli si applicano ai fornitori di gift card, fornendo esempi pratici e una checklist operativa.
Abbiamo chiesto un “parere” a un software di intelligenza artificiale (AI): la risposta non è errata, ma decisamente superficiale e incompleta. Vediamo perché, analizzando la questione in modo più approfondito.
Indice degli argomenti
La risposta dell’AI: GDPR e applicazione ai fornitori di gift card
Il GDPR distingue due ruoli principali:
- titolare del trattamento dati personali: decide le finalità e i mezzi del trattamento;
- responsabile del trattamento dati personali: tratta i dati personali per conto del titolare, seguendo istruzioni documentate.
Un fornitore di gift card, sia chi la emette sia chi la distribuisce, può assumere ruoli diversi a seconda delle attività svolte:
- responsabile: se gestisce i dati esclusivamente per conto del cliente, senza autonomia decisionale;
- titolare: se utilizza i dati per finalità proprie, come marketing o analisi, e/o decide i mezzi del trattamento.
Esempi pratici
Nel primo caso, responsabile del trattamento:
- il fornitore invia gift card via all’utente finale (l’acquirente) seguendo le istruzioni del committente cliente;
- non utilizza i dati per finalità proprie.
Nel caso 2, titolare del trattamento: il fornitore raccoglie dati degli acquirenti e li usa per campagne promozionali proprie.
Checklist operativa
Utilizza questa checklist per determinare il ruolo del fornitore:
- il fornitore tratta i dati personali degli acquirenti delle gift card anche per finalità proprie (per esempio, marketing, analisi di mercato)? Allora, è un titolare (eventualmente una contitolarità);
- Opera solo per conto del cliente, su sue istruzioni documentate? Allora, è un responsabile.
Contratti: art. 24 GDPR Titolare, art 26 per il Responsabile, eventuale art. 26 GDPR per Contitolare.
Conclusioni dell’AI
Identificare correttamente il ruolo del soggetto emettente o fornitore della gift card è essenziale per stabilire rapporti contrattuali conformi e garantire la protezione dei dati personali.
Documentare la valutazione e adottare accordi adeguati è un passo chiave per la compliance:
- accordo sul trattamento dei dati personali (c.d. DPA Data processing agreement) conforme allo schema di cui alla decisione di esecuzione UE 915/21 per il ruolo di responsabile Art 28 GDPR;
- o accordo di contitolarità se il fornitore ricopre il ruolo di titolare.
Gli errori dell’AI
Innanzitutto è bene chiarire che la contitolarità tra il fornitore di gift card e il cliente è un caso teorico, ma difficilmente riscontrabile nella realtà.
Devono, infatti, ricorrere le condizioni di cui all’art. 26 GDPR, ovvero: due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento e le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti dell’interessato, nonché le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, in modo trasparente mediante un accordo interno il cui contenuto essenziale deve essere messo a disposizione dell’interessato.
Nel “mondo reale” le casistiche più ricorrenti sono due:
- se l’acquirente/cliente acquista una gift card online e aderisce al servizio standard proposto, allora il fornitore è titolare (NON contitolare);
- se la gift card è brandizzata col marchio di un committente ed è spendibile
esclusivamente all’interno degli esercizi commerciali o la rete stabilita dal committente, è pressoché impossibile che il fornitore possa essere un titolare (si veda artt. 4 par. 7, 5 par. 2 e 24 del GDPR nonché Linee Guida EDPB 7/2020), allora il fornitore è responsabile, in quanto fornisce i mezzi ma le finalità (es.: servizio, promozione, spendibilità ecc.) sono totalmente in carico al committente.
Prestare la massima attenzione agli accordi precontrattuali
Per i committenti che vorranno utilizzare tale strumento, il consiglio è di prestare la massima attenzione non solo al contratto ed ai ruoli “privacy” (titolare e responsabile), ma anche alla gestione dell’eventuale residuo economico presente nella gift card alla scadenza, soprattutto se l’utilizzo è limitato ad un’area specifica, in quanto il fornitore ha già ricevuto l’interezza del valore della gift mentre è plausibile che il singolo acquirente non abbia speso l’intero valore.
Si suggerisce, pertanto, di esaminare bene gli accordi precontrattuali, in modo tale da avere una formula win-win nel pieno rispetto delle cogenze normative (civilistiche e privacy).
È inoltre opportuno ricordare che una non corretta identificazione e regolamentazione dei ruoli privacy (in particolare se il fornitore agisce da titolare, a fronte di una “palese” individuazione del ruolo di responsabile), per esempio effettuando con i dati degli utilizzatori attività di marketing, profilazione, cessione a terzi), potrebbe dare adito a sanzioni per illecito trattamento di dati personali e a problemi nei confronti degli utilizzatori delle gift card, con inevitabili danni di immagine e reputazionali, potenzialmente più pericolosi delle sanzioni per la solidità dell’azienda committente.
