GDPR e marketing, l'uso delle liste contatti: ecco le regole per non sbagliare - Cyber Security 360

La guida

GDPR e marketing, l’uso delle liste contatti: ecco le regole per non sbagliare

L’utilizzo delle liste contatti per finalità marketing deve essere attuato in compliance al GDPR: vediamo i risvolti privacy di questi strumenti, a cosa servono e quali sono gli aspetti cui prestare attenzione per non rischiare di incappare in sanzioni

03 Set 2020
R
Mario Renzulli

Avvocato, Privacy Officer certificato TUV Italia

L’uso delle liste contatti per finalità di marketing ha implicazioni privacy che non vanno trascurate, alla luce del regolamento europeo GDPR. Le liste contatti sono documenti creati appositamente per le attività di marketing, solitamente indicano nome e cognome dell’interessato e uno o più recapiti di contatto (telefono, mail, residenza). Qualsiasi società può creare da sé un elenco contatti o acquistarlo da aziende terze.

Vediamo come servirsi di questo strumento garantendo la compliance alla normativa sulla data protection.

Liste contatti, cosa dice il GDPR

Bisogna chiarire in primis che i trattamenti per finalità di marketing sono disciplinati in modo da tutelare il più possibile la parte debole del rapporto (l’interessato), per cui, sono leciti unicamente dopo aver acquisito un valido consenso. Il considerando n. 47 del GDPR 2016/679, a tal proposito, precisa che la base giuridica del “legittimo interesse”, può essere invocata soltanto nel caso di soft spam (invio di comunicazioni pubblicitarie inerenti un bene o servizio già acquistato dall’interessato). Assodato che la regola, per i trattamenti con finalità di marketing è il consenso, come possiamo rendere lecito il trattamento di liste contatti?

Si distinguono due ipotesi: per quanto attiene i data base interni, il Titolare deve prevedere una procedura di raccolta, rifiuto e revoca del consenso (black list), per cui il trattamento di dati è lecito in presenza di un consenso valido e dimostrabile. Discorso diverso riguarda, invece, nel caso di acquisto di data base o liste contatti da terze parti.

Il contratto di acquisto delle liste contatti

Il primo passo per verificare la liceità del trattamento, passa per un’attenta analisi del contratto di acquisto delle liste contatti. Le liste vengono cedute, generalmente, per uno specifico periodo di tempo. Il fornitore deve precisare che la raccolta dei dati è avvenuta previo consenso, rilasciato esplicitamente per finalità di marketing di terze parti e che è in condizione di dimostrarlo. Una attenta analisi del contratto costituisce un passaggio fondamentale in chiave di accountability.

Il Titolare dovrà dimostrare di aver valutato il fornitore da un punto di vista di osservanza delle regole dettate in materia di protezione dei dati, prima di completare l’acquisto. Consigliato, pertanto, tenere traccia delle valutazioni effettuate prima di sottoscrivere un tale accordo (analisi dei rischi).

Il contratto dovrà specificare, inoltre, l’inquadramento soggettivo delle parti dal punto di vista del trattamento dei dati. Dalla lettura di proposte contrattuali di numerose società di vendita di liste contatti, appare che esiste ancora molta confusione in merito. Alcuni fornitori, infatti, identificano il cliente con il Responsabile del trattamento, altri lo definiscono autonomo Titolare del trattamento, altri ancora lo qualificano “Contitolare”.

La differenza non è di poco conto considerando che le responsabilità per ognuna di queste figure è totalmente diversa, come diverso è l’approccio che dovranno avere per non incorrere in sanzioni.

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

Con il Provvedimento n. 136 del 05 Aprile 2012, l’Autorità Garante per la Protezione dei Dati Personali ha risolto l’impasse, precisando che il venditore è a tutti gli effetti un autonomo “Titolare del trattamento”. Nel caso risolto con il provvedimento sopra richiamato, il contratto con cui Enel Energia S.p.A. aveva acquistato liste contatti dalla Consodata S.p.A., prevedeva l’impegno della venditrice di tenere indenne l’acquirente a fronte di eventuali conseguenze civili, penali ed amministrative connesse all’uso dei contatti presenti nella lista (manleva).

Questa statuizione ha indotto il Garante a leggere la consapevolezza dell’acquirente circa il suo possibile coinvolgimento in problematiche legate al trattamento e, quindi, la propria qualità di autonomo Titolare del trattamento.

L’art. 4 del GDPR 2016/679 definisce il “Titolare del trattamento” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

Le società che acquistano le liste contatti determinano le finalità e i mezzi del trattamento in maniera totalmente autonoma rispetto alle società venditrici. Queste ultime, infatti, si limitano a concordare le regole di consegna e restituzione dei documenti, indicando generiche raccomandazioni circa la liceità di utilizzo, ma non hanno alcun potere di controllo circa l’organizzazione e l’operato dell’acquirente (potere, invece, riconosciuto al Titolare nel rapporto con il proprio Responsabile del trattamento).

Prova del consenso

Identificato l’acquirente con il Titolare del trattamento, occorre soffermarsi sull’onere di dimostrare la regolare raccolta del consenso (successivo ad informativa resa secondo quanto disposto dall’art. 13 del GDPR) e che tale consenso sia persistente al momento del contatto.

Secondo quanto stabilito dal GDPR, questo onere ricade sul Titolare del trattamento e, quindi, sia sul venditore che sull’acquirente. Va ricordato che benché il consenso possa essere raccolto anche in forma orale, al fine di poterne dimostrare l’esistenza, è necessario conservarne traccia (ad esempio, firma grafica, firma biometrica, firma digitale, flag di un modulo di raccolta consenso, indirizzo ip, data e ora della scelta, ecc.).

Non basta, quindi, la dichiarazione di impegno del venditore, circa la regolare raccolta del consenso, ma è necessario riceverne evidenza per ognuno dei contatti presenti in lista, in modo da poter avere elementi a disposizione in caso di reclamo, verifica ispettiva, o contestazione.

Il Titolare, poi, deve garantire che i dati siano esatti ed aggiornati per cui, nonostante l’esistenza della dimostrazione del consenso, sarà necessario verificare che quella manifestazione di volontà sia attuale e non sia intervenuto alcun cambiamento. Per la realizzazione di tale aspetto è auspicabile la collaborazione continua tra venditore ed acquirente. Entrambi dovranno comunicare all’altro una o più modifiche avvenute in riferimento ad alcuno dei nominativi presenti nella lista.

Il registro delle opposizioni

La revoca del consenso può essere trasmessa direttamente dall’interessato al Titolare, o desunta da azioni compiute dall’interessato, in un momento successivo, incompatibili con lo stesso. Una di queste azioni è sicuramente l’iscrizione al Registro delle Opposizioni. Al momento il Registro contiene soltanto i riferimenti di contatti telefonici di linea fissa ma a breve (si parla di Dicembre 2020) dovrebbe riguardare anche altri metodi di contatto, tra cui i recapiti mobile.

Queste evoluzione richiederà un notevole innalzamento del livello di attenzione per chi vuole operare nel campo del marketing attraverso l’acquisto delle liste contatti, in quanto, prima di ogni azione, dovrà, verificare che ogni singolo contatto non sia presente nel Registro delle Opposizioni. Come detto, infatti, l’inserimento di un contatto telefonico nel Registro delle Opposizioni, comporterà automaticamente la revoca di ogni consenso per finalità di marketing rilasciato in data anteriore.

Cosa fare quando il marketing è affidato a società esterna

Il quadro diviene leggermente più complesso se consideriamo l’ipotesi di affidamento all’esterno dell’attività di marketing (Agenzie). Questo particolare organigramma (tutt’altro che raro), non spoglia il Titolare del trattamento da responsabilità, ma, al contrario, le aumenta, in quanto esso sarà tenuto a vigilare sull’operato dei propri dipendenti e su quello dei Responsabili del trattamento, ivi comprese le Agenzie.

È sicuramente consigliabile includere, nell’atto di nomina a Responsabile del Trattamento, delle linee guida specifiche e dettagliate sull’utilizzo dei dati personali, con particolare attenzione sulle modalità di gestione delle liste contatti. Tale accorgimento potrà divenire inutile, tuttavia, se non dovesse seguire una attività di controllo periodica ed a campione, con redazione di apposito verbale, da conservare in chiave accountability.

Conclusioni

È inutile nascondere che l’assenza di regole precise (o meglio controlli) ha reso le campagne di marketing sempre più invadenti ed aggressive, con la conseguenza che le segnalazioni al Garante, in questo campo, sono ogni anno sempre più numerose. Tra giugno e luglio 2020 il Garante, in più occasioni, ha avuto modo di precisare che l’attenzione delle Autorità sulle attività di marketing (in particolare quelle svolte dai call center) aumenterà in maniera considerevole, in particolar modo dopo l’entrata in vigore delle modifiche al Registro delle Opposizioni.

Il consiglio, pertanto, è di riprogrammare sin da ora le campagne marketing in ottica by design e by default, in modo da abituare quanto prima gli operatori alle nuove procedure, magari più lente ma certamente più sicure.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2