Garantire la Privacy degli Utenti nel Email Marketing: Campagne Promozionali Conformi al GDPR
Nell’era digitale, l’email rimane un metodo molto utilizzato dalle aziende per il marketing diretto, poiché offre risultati positivi, soprattutto se combinata con attività di profilazione degli utenti. Tuttavia, ogni azienda che desidera creare una campagna promozionale di email marketing in conformità con la normativa sulla privacy deve valutare la conformità legale fin dalla raccolta dei dati, sia offline che online. È importante impostare il trattamento dei dati nel rispetto dei principi del GDPR e dell’art. 130 del D. Lgs. 196/2003 (Codice Privacy).
Pertanto, il titolare del trattamento deve inizialmente valutare attentamente il tipo di attività che intende svolgere, quali dati sono necessari, come trattarli, per quanto tempo e dove conservarli. È anche importante considerare i ruoli e le responsabilità di eventuali terze parti coinvolte, prestando particolare attenzione a quelle localizzate al di fuori dell’Unione Europea. Se necessario o opportuno, potrebbe essere richiesta una valutazione di impatto sulla privacy (DPIA).
Successivamente, il titolare del trattamento deve configurare il trattamento in modo predefinito in conformità con le valutazioni preliminari effettuate. Ciò implica richiedere solo i dati strettamente necessari (ad esempio, nome ed email), impostare correttamente i form e i moduli di contatto, applicare misure che consentano di gestire il trattamento (come revoca del consenso, cancellazione, opposizione, ecc.), fornire un’informativa adeguata e facilmente accessibile, applicare una base giuridica valida (consenso, legittimo interesse, soft spam), nominare i responsabili del trattamento, ecc.
Per una corretta configurazione dei ruoli, il titolare del trattamento deve tenere conto delle recenti decisioni dell’Autorità Garante italiana, secondo cui è necessario agire sulla base dei fatti che hanno caratterizzato il trattamento e del rapporto tra i soggetti coinvolti.
In particolare, per quanto riguarda l’Autorità Garante:
- Nel caso di una campagna di email marketing, il committente sarà considerato il titolare del trattamento se ha definito la finalità e i mezzi essenziali del trattamento, ha selezionato il fornitore e gli ha fornito istruzioni, indipendentemente dalla qualificazione contrattuale dei ruoli o dall’accesso effettivo ai dati personali trattati dal fornitore.
- Nel caso di un terzo che acquista e utilizza dati personali dal committente per scopi di marketing, sia propri che di terzi, sarà considerato il titolare del trattamento se ha stabilito la finalità di tale trattamento. La fonte di provenienza dei dati e la causa del contratto sottoscritto con il committente sono irrilevanti.
L’Autorità Garante sottolinea che l’errata qualificazione di un soggetto come responsabile del trattamento comporta la mancata registrazione delle revocazioni del consenso o delle richieste di opposizione o cancellazione da parte degli interessati. Ciò può comportare il rischio di inviare messaggi promozionali in violazione del principio di liceità. Pertanto, è fondamentale garantire la trasparenza verso gli interessati, fornendo informazioni sul trattamento in modo conciso, trasparente, comprensibile e con linguaggio semplice e chiaro. Tali informazioni devono essere complete ed esaustive, sempre accessibili e, se del caso, fornite attraverso un approccio stratificato.
Per quanto riguarda la scelta della base giuridica, il titolare del trattamento deve dare la priorità al consenso (opt-in), che rappresenta la regola (articoli 130, commi 1 e 2 del Codice Privacy), anche nel caso in cui l’email promozionale riguardi persone giuridiche. Pertanto, è necessario ottenere un consenso libero (vietando i consensi obbligatori o preselezionati e le pratiche ingannevoli), specifico (uno per ogni finalità), informato (in modo preventivo), inequivocabile (il silenzio non equivale a consenso) e documentabile (registrando tutte le informazioni e gli aggiornamenti sul consenso). Il consenso deve essere revocabile in modo facile, gratuito e in qualsiasi momento.
L’unica eccezione al consenso per l’invio di email commerciali è prevista dall’articolo 130, comma 4 del Codice Privacy. È importante notare che questa eccezione non deve essere confusa con il legittimo interesse, in quanto presenta presupposti e peculiarità che non consentono analogie, secondo il parere di chi scrive.
Un tema molto delicato riguarda la cessione di banche dati per scopi di marketing. Ecco alcuni punti da considerare:
- Per il cedente dei dati, se tratta dati personali per finalità di marketing e intende cederli, è necessario informare l’interessato sui destinatari dei dati (almeno indicando le categorie economiche o merceologiche) e ottenere il suo consenso specifico.
- Per l’acquirente dei dati, è consigliabile effettuare verifiche sul fornitore, documentare il consenso ottenuto e informare l’utente riguardo all’utilizzo dei dati.
- In ogni caso, è importante documentare i consensi in modo centralizzato, utilizzando software che registri il consenso rilasciato e gli eventuali aggiornamenti successivi (come revoca del consenso o cancellazione dal database). Questo aspetto è fondamentale perché la perdita di tali informazioni (ad esempio, in caso di sostituzione del software) impedirebbe al titolare del trattamento di rendicontare tutte le attività legate alla gestione dei consensi.
- Per quanto riguarda la conservazione dei dati, l’Autorità Garante ha recentemente modificato la propria posizione rispetto alla precedente decisione del 24/02/2005. Ora si afferma che il consenso è valido fino a quando non viene revocato e il periodo di conservazione dei dati è a discrezione del titolare del trattamento, in conformità al principio di accountability.
- Infine, va ricordato che la violazione dell’articolo 130 del Codice Privacy, oltre ad essere soggetta a sanzioni amministrative, può configurare il reato di trattamento illecito di dati (articolo 167 del Codice Privacy).
Fonte: Federprivacy
