Non si può pensare di fare impresa senza fare marketing e non si può fare marketing senza considerare la privacy dei clienti. Soprattutto dopo il Gdpr.
Le attività promozionali non possono prescindere dall’analisi e dal trattamento di una serie di dati, personali e non, relativi ai clienti dell’azienda.
Età, sesso, luogo di residenza, preferenze. Questi sono solo alcuni dei dati personali utili a chi fa marketing, in modo da perfezionare e rendere più efficiente ogni azione e trasformare una persona interessata in un cliente dell’azienda.
Posto che già con il Codice Privacy (D.lgs. 196/2003) la compliance alla normativa doveva essere tenuta in considerazione, con il GDPR quest’ultima ha assunto un ruolo ancor più importante. Pensiamo non soltanto alle elevate sanzioni che si rischiano in caso di inadempimento, ma anche al potere in mano agli interessati di potersi rivalere direttamente contro l’azienda in caso di danni derivanti da un illecito trattamento, oppure, non meno importante, l’impatto reputazionale negativo che porterebbe una violazione.
Ma attenzione! Il Codice Privacy non è affatto andato in pensione, è più vivo che mai, essendo stato aggiornato e novellato dal D.lgs.101/2018, per cui, in ambito di trattamento di dati personali con finalità promozionali, è una fonte da tenere in considerazione.
Al fine di analizzare la normativa è importante fare una distinzione tra le attività di marketing diretto e indiretto.
Si parla di marketing diretto quando non vi è presenza di intermediari e di marketing indiretto quando tra il venditore ed il consumatore si frappongono alti soggetti.
Andiamo ad approfondire le due tipologie facendo attenzione alla normativa di riferimento.
Indice degli argomenti
Marketing diretto e soft spam
Ripetiamo che è marketing diretto quell’attività promozionale svolta dall’impresa senza la presenza di intermediari tra essa ed il cliente.
La base giuridica per effettuare questo tipo di attività, è essenzialmente il consenso. L’azienda, infatti, deve acquisire il consenso nei modi e nelle forme prescritte dall’art. 6 lettera A del GDPR e dai considerando 42 e 43.
Non è possibile utilizzare automaticamente e senza consenso i dati tratti da pubblici registri o già pubblici, ad esempio, su siti web.
Il consenso deve essere prestato per ogni finalità diversa di trattamento. Per la profilazione dell’interessato, ad esempio, è necessario richiedere un ulteriore consenso.
Si può derogare alla richiesta di consenso solamente quando ricorrono determinati presupposti:
- quando l’interessato è già cliente dell’azienda e solo per prodotti o servizi analoghi (cosiddetto Soft spam). In questo caso è necessario che l’interessato sia: già cliente del titolare del trattamento, abbia fornito i dati personali di contatto (ad esempio, l’indirizzo e-mail) nel contesto della vendita, i messaggi promozionali devono essere inviati direttamente dal titolare e non da terzi, devono riguardare prodotti e servizi analoghi a quelli già acquistati e bisogna offrire la possibilità al cliente di opporsi al trattamento in questione.
- nel caso in cui l’attività promozionale venga svolta attraverso telefonate con operatore o posta cartacea e l’interessato non si sia opposto.
In questo caso il Codice Privacy novellato, all’art. 130 comma 1 intitolato “comunicazioni indesiderate”, fa una sottile ma importante precisazione.
Tali comunicazioni, infatti, sono consentite nei confronti del contraente o utente che abbia prestato il consenso o che non si sia opposto. Bisogna fare molta attenzione, quindi, al soggetto interessato che non è “persona fisica” ma “utente o contraente”. L’ambito di applicazione di questa norma, quindi, si estende dalle persone fisiche anche alle persone giuridiche.
Al fine di opporsi a tale tipo di trattamenti è sufficiente che l’interessato si iscriva al Registro delle opposizioni, tenuto dalla Fondazione Ugo Bordoni, sia per le telefonate con operatore che, tra breve, anche per la posta cartacea.
Legittimo interesse: la base legale per il marketing
Il considerando 47 accenna alla possibilità che il trattamento per finalità di marketing diretto possa essere considerato legittimo interesse (art. 6 lettera F – GDPR).
Questo però non consente un trattamento indiscriminato di ogni dato personale per finalità di marketing diretto, attenzione. Il legittimo interesse del titolare va sempre bilanciato con i diritti e le libertà dell’interessato (in particolar modo se l’interessato è un minore) e inoltre bisogna tener conto delle ragionevoli aspettative dello stesso in base alla relazione tra i due.
Le linee guida dell’ex Wp29 ora European Data Protection Board (EDPB) sulle decisioni automatizzate e profilazione, aprono alla possibilità di basare anche la profilazione su un legittimo interesse del titolare, sempre che non prevalgano gli interessi del cliente.
Sicuramente in futuro si apriranno nuove possibilità di utilizzo di tale base giuridica ma, al momento, l’unica possibilità in relazione a trattamenti con finalità promozionali pare essere il soft spam (di cui abbiamo parlato prima).
In ogni caso, comunque, non si potrà fare a meno di racchiudere tutte le intenzioni e le modalità di trattamento all’interno di un’informativa chiara e ben visibile all’interessato e, qualora vengano trattati dei dati personali con legittimo interesse, offrire la possibilità di opporsi in maniera semplice a tale trattamento.
Marketing indiretto: le regole
Il marketing indiretto, invece, si presenta nel momento in cui vi siano intermediari tra l’azienda e l’interessato, ad esempio nel caso di inserzioni pubblicitarie sul web.
In questo caso i dati personali del potenziale cliente verranno gestiti direttamente dall’intermediario che, generalmente, li renderà disponibili all’azienda solo in forma aggregata e anonima.
Sarà onere dell’intermediario/titolare informare l’interessato dei trattamenti svolti e valutare attentamente le basi giuridiche con le quali legittimarli.
Qualora poi l’intermediario dovesse condividere i dati in maniera non anonima, dovrebbe ricorrere all’azienda ricevente come responsabile del trattamento ex art. 28, oppure stabilendo un rapporto di contitolarità redigendo un contratto e fissando obblighi e responsabilità di ciascuna parte.
