Nell’era digitale, l’email rimane un metodo molto utilizzato dalle aziende per il marketing diretto, poiché offre risultati positivi, soprattutto se combinata con attività di profilazione degli utenti. Tuttavia, ogni azienda che desidera creare una campagna promozionale di email marketing in conformità con la normativa sulla privacy deve valutare la conformità legale fin dalla raccolta dei dati, sia offline che online. È importante impostare il trattamento dei dati nel rispetto dei principi del GDPR e dell’art. 130 del D. Lgs. 196/2003 (Codice Privacy).
Pertanto, il titolare del trattamento deve inizialmente valutare attentamente il tipo di attività che intende svolgere, quali dati sono necessari, come trattarli, per quanto tempo e dove conservarli. È anche importante considerare i ruoli e le responsabilità di eventuali terze parti coinvolte, prestando particolare attenzione a quelle localizzate al di fuori dell’Unione Europea. Se necessario o opportuno, potrebbe essere richiesta una valutazione di impatto sulla privacy (DPIA).
Successivamente, il titolare del trattamento deve configurare il trattamento in modo predefinito in conformità con le valutazioni preliminari effettuate. Ciò implica richiedere solo i dati strettamente necessari (ad esempio, nome ed email), impostare correttamente i form e i moduli di contatto, applicare misure che consentano di gestire il trattamento (come revoca del consenso, cancellazione, opposizione, ecc.), fornire un’informativa adeguata e facilmente accessibile, applicare una base giuridica valida (consenso, legittimo interesse, soft spam), nominare i responsabili del trattamento, ecc.
Per una corretta configurazione dei ruoli, il titolare del trattamento deve tenere conto delle recenti decisioni dell’Autorità Garante italiana, secondo cui è necessario agire sulla base dei fatti che hanno caratterizzato il trattamento e del rapporto tra i soggetti coinvolti.
In particolare, per quanto riguarda l’Autorità Garante:
L’Autorità Garante sottolinea che l’errata qualificazione di un soggetto come responsabile del trattamento comporta la mancata registrazione delle revocazioni del consenso o delle richieste di opposizione o cancellazione da parte degli interessati. Ciò può comportare il rischio di inviare messaggi promozionali in violazione del principio di liceità. Pertanto, è fondamentale garantire la trasparenza verso gli interessati, fornendo informazioni sul trattamento in modo conciso, trasparente, comprensibile e con linguaggio semplice e chiaro. Tali informazioni devono essere complete ed esaustive, sempre accessibili e, se del caso, fornite attraverso un approccio stratificato.
Per quanto riguarda la scelta della base giuridica, il titolare del trattamento deve dare la priorità al consenso (opt-in), che rappresenta la regola (articoli 130, commi 1 e 2 del Codice Privacy), anche nel caso in cui l’email promozionale riguardi persone giuridiche. Pertanto, è necessario ottenere un consenso libero (vietando i consensi obbligatori o preselezionati e le pratiche ingannevoli), specifico (uno per ogni finalità), informato (in modo preventivo), inequivocabile (il silenzio non equivale a consenso) e documentabile (registrando tutte le informazioni e gli aggiornamenti sul consenso). Il consenso deve essere revocabile in modo facile, gratuito e in qualsiasi momento.
L’unica eccezione al consenso per l’invio di email commerciali è prevista dall’articolo 130, comma 4 del Codice Privacy. È importante notare che questa eccezione non deve essere confusa con il legittimo interesse, in quanto presenta presupposti e peculiarità che non consentono analogie, secondo il parere di chi scrive.
Un tema molto delicato riguarda la cessione di banche dati per scopi di marketing. Ecco alcuni punti da considerare:
Fonte: Federprivacy