Data protection: 10 falsi miti nel nostro settore

Dopo quasi 2 anni dall’applicazione del Regolamento (UE) 2016/679 (“GDPR”) e dall’entrata in vigore del D.Lgs. 101/2018, nel settore del digital marketing, continuano ad attecchire alcuni falsi miti che possono fuorviare le scelte delle aziende o addirittura condurle in errore.

Abbiamo deciso di provare a sfatare 10 dei “falsi miti” più comuni insieme, ricorrendo a una lettura attenta di normativa, provvedimenti e linee guida del Garante Privacy italiano nonchè del Comitato europeo per la protezione dei dati.

Oggi vedremo i primi 5 falsi miti, non perdere il prossimo contenuto blog per gli altri 5.

Share
Condividi su linkedin
Condividi su twitter
Condividi su facebook
Data Protection MagNews

I dati trattati per finalità di profilazione e marketing devono essere cancellati, rispettivamente, dopo 12 e 24 mesi

Tra gli operatori del settore è invalsa la convinzione che i dati personali trattati per finalità di profilazione e marketing vadano cancellati in via perentoria decorsi, rispettivamente, 12 e 24 mesi dalla loro registrazione. Si tratta di un convincimento che affonda le sue radici nel c.d. “Provvedimento Carte Fedeltà” del 2005: provvedimento da considerarsi ancora attuale, volto a disciplinare alcuni aspetti (ivi compresi i tempi di conservazione) dei trattamenti effettuati nell’ambito dell’utilizzo di carte o tessere di “fidelizzazione” che creano un rapporto duraturo con la clientela per acquisti e servizi.

In realtà, il suddetto provvedimento non pare suscettibile di applicazione analogica. Eppure, molte aziende hanno inteso tali termini come obbligatori per ogni trattamento effettuato per finalità di marketing e profilazione, anche al di fuori di “programmi fedeltà”. Ciò deriva probabilmente dal fatto che l’Autorità Garante abbia, nel tempo, di fatto applicato per analogia i principi in materia di tempi di conservazione enunciati in materia di carte fedeltà a tutte le attività di marketing e profilazione effettuate verso clienti e potenziali clienti nell’ambito delle operazioni del proprio CRM (si pensi al caso FCA).

Da una attenta lettura di questi provvedimenti, emerge tuttavia che:

  • anche nell’ambito di “programmi fedeltà”, i tempi di 12 e 24 mesi possono estendersi ad un arco temporale maggiore per particolari categorie di beni, quali ad esempio: beni di lusso, grande distribuzione organizzata, etc.;
  • a decorrere dal 25 maggio 2018, in forza del principio di accountability, spetta al Titolare valutare autonomamente i tempi di conservazione dei dati trattati per finalità di marketing e profilazione effettuando, ove necessario, una valutazione del rischio che potrà naturalmente tenere in considerazione i suddetti provvedimenti, fermo restando il rispetto dei principi privacy (accountability, minimizzazione dei dati, limitazione della conservazione, di pertinenza e non eccedenza).

Per l’invio della Newsletter è sempre necessario un preventivo consenso

Quanti di voi credono che l’invio di Newsletter presupponga la raccolta di un preventivo consenso?

In realtà, ciò non è sempre vero, dipende dal contenuto della Newsletter e da come viene impostata l’offerta della stessa agli utenti. Ad esempio: una Newsletter a contenuto meramente editoriale/informativo potrebbe essere offerta all’utente quale servizio e in tal caso il trattamento dei dati necessario per l’invio della Newsletter potrebbe avere una base legale diversa dal consenso (ad esempio, l’art. 6, lett. b, GDPR). Diverso è il caso in cui la Newsletter sia una vera e propria “DEM” a contenuto promozionale: in tal caso, il Garante ha chiarito in più occasioni la necessità di raccogliere un preventivo consenso.

Devo chiedere il consenso privacy

Molte volte si sente parlare di “consenso privacy” oppure ci si trova dinanzi a form in cui viene richiesto un generico consenso alla privacy policy. 

In realtà, l’espressione “consenso privacy” non ha alcun significato e appare di per sé incompatibile con la caratteristica della specificità del consenso stabilita dal GDPR. Del pari, la privacy policy deve essere letta dall’utente (verso cui il Titolare ha un obbligo di informazione), ma non presuppone la raccolta di un consenso generale rispetto al suo contenuto. In altri termini, approvare la privacy policy spuntando una apposita check-box non implica l’espressione di un valido consenso al trattamento dei propri dati per eventuali finalità di marketing e/o profilazione previste nell’informativa.  Occorre dunque prestare la massima attenzione a fornire un’informativa privacy chiara e completa, avendo cura di richiedere in modo specifico e trasparente gli eventuali consensi necessari per legittimare una o più finalità di trattamento.

Vuoi approfondire il tema del data breach? Abbiamo pubblicato un nuovo contenuto sull’argomento:

Il GDPR mi permette di fare marketing diretto sulla base del legittimo interesse

Molti operatori del settore hanno rinvenuto nel testo del GDPR la (insperata) possibilità di trattare dati personali per finalità di marketing diretto sulla base del legittimo interesse, dunque senza un preventivo consenso del soggetto interessato. La disposizione foriera di una simile lettura va rinvenuta in particolare nel considerando 47 del GDPR, secondo cui <<(…)Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto>> .

In realtà, posto che il considerando 47 del GDPR ha natura meramente programmatica e dunque orienta l’interprete ma non contiene prescrizioni normative, il vero aspetto risolutivo riguarda il fatto che – in materia di marketing – il GDPR deve considerarsi legge generale che, in quanto tale, va letta alla luce della legge speciale applicabile, ossia l’e-privacy Directive codificata in Italia dall’art. 130 del Codice Privacy. Ebbene, dall’analisi di tale disposizione (come detto prevalente in quanto legge speciale), emerge chiaramente che in Italia il marketing diretto automatizzato (quindi svolto ad esempio via e-mail, SMS, fax) deve necessariamente fondarsi su un consenso preventivo del contraente o dell’utente ex art. 7 GDPR. A tale regola, fanno eccezione i soli casi dei c.d. “soft-spam” e “social spam”, nel rispetto dei limiti previsti dalla normativa applicabile.

Posso sempre inviare un’e-mail per richiedere il consenso

Attenzione a intraprendere iniziative di raccolta dei consensi via e-mail. Nel corso della vostra esperienza, probabilmente siete stati tentati dalla possibilità di inviare un’e-mail al vostro database per richiedere il consenso al trattamento per finalità di marketing, in fondo si tratta di una comunicazione “innocua” che non promuove nulla e si limita a tentare di acquisire un consenso.

In realtà, l’invio di una comunicazione del genere già pone indirettamente in essere un trattamento per finalità di marketing e dunque potrebbe essere illecita in assenza di preventivo consenso. Il Garante Privacy si è espresso al riguardo nelle Linee guida in materia di attività promozionale e contrasto allo spam, precisando che ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l’art. 130, commi 1 e 2, del Codice Privacy, in base al quale l´utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in).

Come sempre, se avete altri falsi miti che volete condividere con noi, scriveteci ad marketing@diennea.com. La vostra esperienza potrebbe diventare oggetto di un nuovo approfondimento a beneficio di tutti i colleghi del settore.

* Il presente articolo non costituisce in alcun modo consulenza legale.