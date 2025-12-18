Quando si tratta di fare regali, può essere difficile trovare il regalo perfetto e il rischio di acquistare qualcosa di inutile è alto.

Le carte regalo o gift card (“voucher” fisici o digitali prepagati da un soggetto per farne dono ad altri, che potranno spenderne il controvalore negli esercizi aderenti) offrono un’ottima soluzione, dando a chi le riceve la libertà di scegliere ciò che preferisce.

Pertanto, sono un valido strumento di marketing che necessita, però, di attenta analisi dei rapporti civilistici e normativi con il fornitore delle gift card.

Qualora l’acquisto o l’utilizzo della card comporti il trattamento di dati personali di acquirente o beneficiario, si ricade nel campo di applicazione del GDPR e, tra le altre cose, la corretta identificazione dei ruoli di titolare e responsabile del trattamento è fondamentale per garantire la conformità normativa.

Questo articolo analizza come tali ruoli si applicano ai fornitori di gift card, fornendo esempi pratici e una checklist operativa.

Abbiamo chiesto un “parere” a un software di intelligenza artificiale (AI): la risposta non è errata, ma decisamente superficiale e incompleta. Vediamo perché, analizzando la questione in modo più approfondito.

La risposta dell’AI: GDPR e applicazione ai fornitori di gift card

Il GDPR distingue due ruoli principali:

titolare del trattamento dati personali : decide le finalità e i mezzi del trattamento;

: decide le finalità e i mezzi del trattamento; responsabile del trattamento dati personali: tratta i dati personali per conto del titolare, seguendo istruzioni documentate.

Un fornitore di gift card, sia chi la emette sia chi la distribuisce, può assumere ruoli diversi a seconda delle attività svolte:

responsabile : se gestisce i dati esclusivamente per conto del cliente, senza autonomia decisionale;

: se gestisce i dati esclusivamente per conto del cliente, senza autonomia decisionale; titolare: se utilizza i dati per finalità proprie, come marketing o analisi, e/o decide i mezzi del trattamento.

Esempi pratici

Nel primo caso, responsabile del trattamento:

il fornitore invia gift card via all’utente finale (l’acquirente) seguendo le istruzioni del committente cliente;

non utilizza i dati per finalità proprie.

Nel caso 2, titolare del trattamento: il fornitore raccoglie dati degli acquirenti e li usa per campagne promozionali proprie.

Checklist operativa

Utilizza questa checklist per determinare il ruolo del fornitore:

il fornitore tratta i dati personali degli acquirenti delle gift card anche per finalità proprie (per esempio, marketing, analisi di mercato)? Allora, è un titolare (eventualmente una contitolarità);

Opera solo per conto del cliente, su sue istruzioni documentate? Allora, è un responsabile.

Contratti: art. 24 GDPR Titolare, art 26 per il Responsabile, eventuale art. 26 GDPR per Contitolare.

Conclusioni dell’AI

Identificare correttamente il ruolo del soggetto emettente o fornitore della gift card è essenziale per stabilire rapporti contrattuali conformi e garantire la protezione dei dati personali.

Documentare la valutazione e adottare accordi adeguati è un passo chiave per la compliance:

accordo sul trattamento dei dati personali (c.d. DPA Data processing agreement ) conforme allo schema di cui alla decisione di esecuzione UE 915/21 per il ruolo di responsabile Art 28 GDPR;

(c.d. ) conforme allo schema di cui alla decisione di esecuzione UE 915/21 per il ruolo di responsabile Art 28 GDPR; o accordo di contitolarità se il fornitore ricopre il ruolo di titolare.

Gli errori dell’AI

Innanzitutto è bene chiarire che la contitolarità tra il fornitore di gift card e il cliente è un caso teorico, ma difficilmente riscontrabile nella realtà.

Devono, infatti, ricorrere le condizioni di cui all’art. 26 GDPR, ovvero: due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento e le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti dell’interessato, nonché le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, in modo trasparente mediante un accordo interno il cui contenuto essenziale deve essere messo a disposizione dell’interessato.

Nel “mondo reale” le casistiche più ricorrenti sono due:

se l’acquirente/cliente acquista una gift card online e aderisce al servizio standard proposto, allora i l fornitore è titolare (NON contitolare) ;

e aderisce al servizio standard proposto, allora i ; se la gift card è brandizzata col marchio di un committente ed è spendibile

esclusivamente all’interno degli esercizi commerciali o la rete stabilita dal committente, è pressoché impossibile che il fornitore possa essere un titolare (si veda artt. 4 par. 7, 5 par. 2 e 24 del GDPR nonché Linee Guida EDPB 7/2020), allora il fornitore è responsabile, in quanto fornisce i mezzi ma le finalità (es.: servizio, promozione, spendibilità ecc.) sono totalmente in carico al committente.

Prestare la massima attenzione agli accordi precontrattuali

Per i committenti che vorranno utilizzare tale strumento, il consiglio è di prestare la massima attenzione non solo al contratto ed ai ruoli “privacy” (titolare e responsabile), ma anche alla gestione dell’eventuale residuo economico presente nella gift card alla scadenza, soprattutto se l’utilizzo è limitato ad un’area specifica, in quanto il fornitore ha già ricevuto l’interezza del valore della gift mentre è plausibile che il singolo acquirente non abbia speso l’intero valore.

Si suggerisce, pertanto, di esaminare bene gli accordi precontrattuali, in modo tale da avere una formula win-win nel pieno rispetto delle cogenze normative (civilistiche e privacy).

È inoltre opportuno ricordare che una non corretta identificazione e regolamentazione dei ruoli privacy (in particolare se il fornitore agisce da titolare, a fronte di una “palese” individuazione del ruolo di responsabile), per esempio effettuando con i dati degli utilizzatori attività di marketing, profilazione, cessione a terzi), potrebbe dare adito a sanzioni per illecito trattamento di dati personali e a problemi nei confronti degli utilizzatori delle gift card, con inevitabili danni di immagine e reputazionali, potenzialmente più pericolosi delle sanzioni per la solidità dell’azienda committente.