Un adeguamento a regola d’arte ai passaggi del GDPR, oltre che essere un imprescindibile step per abbattere i rischi di sanzione, costituisce un asset di per sé: fondamentale per accrescere il valore economico del dato stesso e la reputazione dell’impresa che lo tratta. In poche parole, una (grande) opportunità. Vediamo come il marketing può trarre vantaggio da un approccio privacy by design.
Primo comandamento privacy: accountability
“Desidero pubblicizzare i miei prodotti tramite un nuovo canale, ma come faccio a trattare correttamente i dati personali dei miei clienti?”. O ancora: “E se volessi contattare potenziali clienti utilizzando strumenti tradizionali, come le telefonate con operatore o via lettera?”
Interrogativi di questo tipo sono frequenti: la recente entrata in vigore del reg. UE 2016/679 (oramai conosciuto da tutti come GDPR), infatti, ha definitivamente posto al centro il dato personale e la sua adeguata gestione in pressoché tutte le aziende. Qual è, infatti, un’azienda che non tratta dati personali?
Con questo articolo si desidera accompagnare il lettore alla migliore comprensione del percorso necessario per un’attività di marketing conforme alle regole sulla protezione dei dati. Il focus è, in particolare, sul territorio italiano, caratterizzato, oltre che dalla vigenza del GDPR, da una peculiare normativa nazionale.
“Conosci te stesso”: in questa frase può essere condensata la prima fondamentale tappa per trovare risposta alle domande che hanno introdotto il nostro discorso. Infatti, il GDPR si fonda sul principio dell’accountability (o responsabilizzazione), che richiede alle aziende titolari del trattamento innanzitutto di valutare approfonditamente la propria attività e i suoi impatti sui dati personali: dalle risorse umane alla gestione della contabilità, fino ad arrivare all’area più prettamente commerciale, questi sono solo alcuni dei focus dell’assessment.
Una volta mappati i trattamenti di dati rilevanti e valutati i rischi connessi (anche mediante un DPIA, o Data Protection Impact Assessment, se necessario), sono individuate le misure di sicurezza organizzative e tecniche adeguate alla nostra situazione. La valutazione sulla adeguatezza della singola misura costituisce per certi versi l’apice della responsabilizzazione che ci è richiesta: è nel solco dei requisiti essenziali presentati dalla normativa, infatti, che dobbiamo trovare quelli necessari per noi. Un fine lavoro di sartoria, insomma.
La selezione, adozione e applicazione delle misure adeguate riguarda anche la sfera del marketing, consistente in tutte le attività di promozione dei prodotti e dei servizi di un’azienda tramite un determinato canale. In Italia sono previste regole diverse a seconda dello strumento utilizzato. Scopriamole.
Marketing con strumenti tradizionali
Il telemarketing[1] è l’attività promozionale svolta tramite telefonata con operatore. Se attuato verso contraenti ed utenti (sia persone fisiche che giuridiche)[2] con utenze italiane[3] iscritte negli elenchi pubblici italiani, il telemarketing è consentito nei confronti di coloro (prospect, clienti non consensati o cessati da oltre 30 giorni) che non abbiano esercitato il diritto di opposizione con l’iscrizione al registro delle opposizioni (“opt-out”).
Per effettuare una campagna di telemarketing è necessario per prima cosa consultare il registro delle opposizioni e verificare che l’utenza telefonica non sia iscritta. Ai fini della verifica l’operatore deve[4] presentare un’istanza presso il gestore del registro delle opposizioni (FUB) comprensiva di: documentazione attestante l’identità dell’operatore, dichiarazione circa l’attivazione del sistema di identificazione della linea chiamante e, infine, indicazione dell’elenco e/o elenchi pubblici aggiornati da cui si ricavano i dati personali del soggetto che l’operatore ha intenzione di contattare.
Entro 15 giorni dal ricevimento dell’istanza, il gestore del registro pubblico delle opposizioni:
- assegna le credenziali di autenticazione e i profili di autorizzazione all’operatore;
- pubblica gli estremi identificativi dell’operatore su un elenco consultabile sul sito web relativo al registro pubblico delle opposizioni, per un periodo non superiore a 12 mesi dall’ultima consultazione del medesimo registro.
- Una volta che l’istanza dell’operatore è stata accolta e quindi si è verificata la sua iscrizione al registro, l’operatore potrà consultare il registro per 15 giorni per svolgere attività di telemarketing.
L’iscrizione al registro supera e revoca ogni consenso rilasciato dall’interessato; sono però fatti salvi i consensi prestati dopo l’opposizione nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di 30 giorni, aventi ad oggetto la fornitura di beni o servizi[5].
In sintesi:
- se il soggetto è iscritto nel registro delle opposizioni non è possibile effettuare l’attività di telemarketing, a meno che l’utente abbia fornito successivamente all’opposizione un consenso dedicato al titolare;
- se il soggetto non è iscritto nel registro delle opposizioni, è possibile svolgere le campagne fino al rifiuto dell’interessato. Nel corso della stessa telefonata l’utente dovrà essere informato del fatto che i suoi dati sono utilizzati per campagne di telemarketing fino a sua opposizione.
E’ opportuno ricordare che la regola dell’opt-out sopra esaminata si applica unicamente al telemarketing con operatore rivolto agli interessati, prospect e clienti, che hanno utenza italiana iscritta negli elenchi pubblici italiani.
Ne consegue che la regola dell’opt-out è inapplicabile, occorrendo quindi il consenso specifico e preventivo dell’interessato:
- se si tratta di prospect o clienti con utenza non italiana (in questi casi occorre esaminare di volta in volta la legge locale applicabile, che in genere stabilisce la regola dell’opt-in, o consenso preventivo);
- in caso di utenze, anche italiane, non rinvenute su pubblici elenchi italiani;
- per il telemarketing effettuato con strumento automatizzato (quindi senza operatore).
Un ultimo inciso sul telemarketing: spesso le attività sono in concreto demandate a società terze, che effettuano le telefonate tramite propri operatori. In questi casi, occorre regolare in modo adeguato il rapporto tra l’azienda titolare, per conto della quale il call center svolge l’attività, e il call center stesso. Ciò anche a tutela dalle possibili malefatte del fornitore. Solitamente è necessario un accordo di nomina a responsabile esterno del call center, ma gli indici del caso concreto potrebbero deporre a favore di contratti privacy di natura diversa. Anche in questo caso l’accountability è il criterio che deve ispirare le nostre scelte.
La violazione della regola dell’opt-in, così come la GDPR e sanzioni: ecco le violazioni più frequenti contestate dalle Autoritàviolazione della regola dell’opt-out, espone a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Opt-out nel marketing cartaceo
La posta cartacea costituisce il secondo veicolo, dopo il telemarketing, di attività promozionale con strumenti c.d. “tradizionali”. Di recente, la normativa ha infatti esteso anche alla posta cartacea l’applicazione delle regole del registro pubblico delle opposizioni appena visto[6]. Il trattamento per fini di marketing degli indirizzi postali presenti negli elenchi pubblici è quindi equiparato a quello delle relative numerazioni. La regola dell’opt-out si applica quindi anche alle comunicazioni commerciali per posta cartacea.
In base alle disposizioni vigenti il marketing cartaceo è consentito verso i contraenti o utenti[7] che non hanno esercitato il diritto di opposizione tramite iscrizione al registro delle opposizioni (“opt-out”). In alternativa, l’attività può avere luogo se gli interessati hanno prestato apposito consenso (“opt-in”).
Una volta che l’istanza dell’operatore di iscrizione al FUB è stata accolta e quindi si è verificata la sua iscrizione al registro, l’operatore potrà consultare il registro per 30 giorni allo scopo di effettuare trattamenti di dati per fini di invio di materiale pubblicitario e o di vendita diretta o di comunicazione commerciale.
Anche in questo caso, la violazione della regola dell’opt-in, così come la violazione della regola dell’opt-out, espone a sanzioni amministrative pecuniarie fino a 20.000.000 EUR o, per le imprese, fino al 4% del fatturato mondale totale annuo dell’esercizio precedente.
Marketing “automatizzato”
Veniamo ora al marketing svolto con strumenti automatizzati (vale a dire sms, mms, moderni servizi di messaggistica, e-mail, telefonate pre-registrate senza l’intervento di un operatore). In questo contesto domina, quale requisito, il consenso preventivo del contraente o dell’utente (c.d. “opt-in”)[8].
Ferma la necessità di un assessment approfondito (da cui deriva, tra gli altri, un impianto di policy, registri del trattamento nonché documentazione attestante valutazione dei rischi del trattamento), presupposto di qualsiasi trattamento, il marketing compiuto con i citati strumenti verso persone fisiche e giuridiche, prospect o clienti, richiede il consenso e l’informativa comprensiva degli elementi richiesti dall’art. 13 del GDPR.
Le sanzioni sono le stesse viste in precedenza: la violazione della regola dell’opt-in espone a sanzioni amministrative pecuniarie fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
In questo panorama è necessario dedicare spazio ad una specifica regola, eccezione all’opt-in. Verso i già clienti, infatti è prevista la possibilità di inviare comunicazioni commerciali tramite e-mail pur in assenza di consenso. A condizione, però che sia sempre data, nelle comunicazioni, possibilità di disiscriversi da futuri invii (solitamente l’opt-out ha luogo tramite footer in calce alla comunicazione, sempre accompagnato da un link all’informativa privacy).
L’eccezione del soft-spam
Quella appena descritta è l’eccezione del c.d. “soft-spam” prevista dall’art. 130, comma 4, D.Lgs. 196/2003 e mantenuta invariata dal D.Lgs. 101/2018, che si applica nel caso in cui il titolare del trattamento utilizzi, a fini della vendita diretta di propri prodotti o servizi, l’indirizzo e-mail fornito dall’interessato già cliente, nel contesto della vendita di un prodotto o di un servizio analogo a quello in precedenza acquistato.
E’ interessante soffermarsi sul concetto di analogia di prodotto o servizio richiamato dalla normativa: da nessuna parte la legge spiega come il termine debba essere interpretato. Il lettore non si sorprenderà come, anche in questo caso, il principio di responsabilizzazione costituisca una vera e propria stella polare delle nostre valutazioni. Per cui, anche a seconda del mercato di riferimento, e tenuto conto della nostra situazione, potremo intendere il termine in senso più o meno restrittivo[9].
La base giuridica che autorizza i trattamenti effettuati per finalità di soft-spam è il perseguimento di un legittimo interesse da parte del titolare del trattamento. L’interesse all’invio di comunicazioni in linea con le ragionevoli aspettative dell’interessato, tenuto conto del rapporto esistente, è costituzionalmente garantito (art. 41 Cost.) ed è riconosciuto e tutelato dallo stesso GDPR (Cons. 47)[10].
Per potersi avvalere della soluzione del soft-spam, è necessario effettuare, prima di procedere al trattamento, la valutazione d’impatto sulla protezione dei dati (c.d. DPIA “Data Protection Impact Assessment”) di cui all’art. 35 del Regolamento UE 679/2016.
Privacy by design, “incorporata” nei processi aziendali
Dall’excursus normativo appena percorso è possibile trarre alcuni preziosi insegnamenti, a ben vedere validi per il business aziendale ad ampio spettro, non solo per il marketing.
La compliance aziendale alla protezione dei dati non è un’operazione una tantum. Al contrario, essa è parte di un processo dinamico che riflette la natura dinamica dell’azienda chiamata ad attuarlo. Ciò vale in modo particolare in un’attività caratterizzata dall’intensità del proprio ritmo, come il marketing.
Il dato ha delle importanti ripercussioni perché impone alla stessa azienda grande celerità nell’adozione delle misure adeguate. Solo una costante attività di monitoraggio (meglio se supportata da strumenti tecnologici che garantiscano la sua efficacia e sostenibilità), in tandem con un dialogo fluido tra i diversi comparti aziendali, è in grado di intercettare in tempo le iniziative che richiedono l’efficace e tempestiva adozione di dette misure.
Ma non è tutto. L’esperienza insegna che, trascorso il primo periodo di vigenza del GDPR, in questo momento storico la sfida è posta dalla concreta implementazione delle misure. Attività questa tutt’altro che ovvia.
Prendiamo l’esempio del consenso, concetto apparentemente banale. Ebbene, la trasposizione nella realtà del requisito non è agevole come potrebbe sembrare. Non basta, infatti, garantire che l’utente abbia acconsentito al trattamento per fini di marketing: questa manifestazione di volontà, per essere rispettata (e sfruttata) dall’azienda, deve essere incorporata in un processo, adeguatamente inserita “a sistema”, storicizzata e gestita, per esempio in caso di conseguente opposizione dell’interessato.
L’adeguamento, quindi, richiede grandi sforzi. Basta muovere di poco l’angolo della propria visuale, però, per scorgere l’altro verso della medaglia. E’ indubbio, infatti, che la corretta gestione del dato personale comporta, per l’azienda che ha investito in questo senso e con i giusti tempi, un solido vantaggio concorrenziale e di reputazione rispetto alle concorrenti che hanno tralasciato il fattore della protezione dei dati personali.
Queste ultime, infatti, saranno costrette a ripensare ai loro processi “in corsa”, con evidente dispendio di risorse e probabile esito disorganizzato. Inoltre, così facendo si espongono ai rischi sanzionatori (che oggi possono toccare importi tali da mettere in difficoltà anche i più grandi gruppi multinazionali) e ai conseguenti danni reputazionali.
I conti non vanno fatti senza l’oste, si dice. In questo caso, lo possiamo proprio dire, l’oste è la privacy.
Note
- Disciplinato dalla L. 11 gennaio 2018, n. 5 (recante nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni gestito dalla Fondazione Bordoni) e dal D.P.R. 7 settembre 2010, n. 178, disciplina l’istituzione e la gestione del registro delle opposizioni, come di recente modificato dal D.P.R. 8 novembre 2018, n. 149 (c.d. “Decreto Crosio”) e dall’art. 130, comma 3-bis D. lgs. 196/2003.
- L’inciso implica che la normativa è applicabile non solo ai soggetti interessati persone fisiche e ditte individuali ma anche alle aziende persone giuridiche (e quindi rispetto al B2B). E’ il Provvedimento del 20 settembre 2012, n. 262 dell’Autorità Garante che delinea i confini della nozione di “contraente”
- Il registro per i numeri cellulari diverrà applicabile a partire dal 1° dicembre 2020.
- Così come disposto dall’art. 5 D.P.R. n. 178/2010.
- Così recita l’art. 5 L.5/2018.
- A disciplinare l’attività, già regolata dall’art. 130, comma 3 -bis Codice Privacy, si è aggiunto il D.P.R. 8 novembre 2018, n. 149, pubblicato il 19 gennaio 2019. Le annesse regole sono divenute applicabili a partire dal 6 maggio dello stesso anno
- Come per il telemarketing anche in questo caso ci si riferisce ad attività sia B2C sia B2B.
- Così come stabilito dall’art. 130, commi 1 e 2, Codice Privacy
- Gli esempi, come sempre, aiutano a comprendere: se ci trovassimo nel contesto del mercato automotive, un approccio restrittivo ammetterebbe il soft-spam in caso di vendita al già cliente di un nuovo modello di auto. Adottando maglie più larghe, invece, l’attività potrebbe estendersi all’offerta di prodotti connessi all’oggetto della vendita, ma di natura diversa: per cui, sempre prendendo ad esempio il mercato delle automobili, a colui che ha acquistato il nostro modello di auto andremo a proporre una polizza assicurativa.
- Cons. 47 GDPR: I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.