Marketing online e dati personali: le 6 regole per evitare sanzioni

Da Avvocati.net un breve vademecum in materia di privacy per evitare sanzioni fino a 20 milioni di euro o del 4% del fatturato

La pubblicità e il marketing digitale guadagnano terreno in parallelo all'aumento delle vendite eCommerce. Questo impone alle aziende anche una nuova attenzione a Gdpr e codice della privacy, per non incorrere in sanzioni che in caso di violazioni di lieve entità arrivano fino a 10 milioni di euro o al 2% del fatturato globale, oppure fino a 20 milioni di euro o il 4% del fatturato globale per le violazioni più gravi.

A seguire riportiamo un caso ad esempio e le 6 regole fondamentali per una corretta attività promozionale online, fornite da Avvocati.net.

Il caso

L'Autorità garante per il trattamento dei dati personali ha sanzionato tre società incaricate di attività di telemarketing che disturbavano, con offerte commerciali indesiderate, decine di migliaia di utenti non inclusi nelle liste fornite dal committente, rivolgendosi anche a coloro che non avevano fornito il consenso, o si erano appositamente iscritti nel Registro pubblico delle opposizioni. È stata quindi rilevata, oltre all’assenza dell’adeguata base giuridica del trattamento (il consenso dell’interessato) anche la violazione del principio di “privacy by design”, ossia “la mancanza di un adeguato governo del trattamento dei dati, necessario per garantire il rispetto dei diritti degli interessati” previsti dall'art. 25 del Regolamento Eu 679/2016 per la protezione dei dati personali (Gdpr) e la mancanza di adeguate misure tecniche e organizzative. Anche la Suprema Corte di Cassazione, con l’Ordinanza n. 11019 del 2021, ha confermato che "non sarebbe riconducibile alla nozione di comunicazione commerciale una comunicazione telefonica finalizzata ad ottenere il consenso per fini di marketing, da chi l'abbia precedentemente negato, in quanto tale attività si classifica essa stessa, come una comunicazione commerciale".

Un vademecum in 6 punti

L’avvocato Ruozi Berretta (Avvocati.net) fornisce sei fondamentali consigli agli operatori del mondo della comunicazione, per iniziare con il piede giusto una campagna di marketing, nel rispetto della normativa sul trattamento dei dati personali.

  1. Predisporre una specifica informativa sul trattamento dei dati personali; nella Home Page del sito aziendale a corredo del form da compilare per la comunicazione del dato personale (es: email e nome) servirà posizionare un flag dedicato alla raccolta consenso per attività di marketing con un apposito link alla informativa;
  2. Basare la campagna marketing sul consenso e richiedere un consenso separato per diverse finalità commerciali (es:invio di newsletter, invio di proposte commerciali profilando il cliente, ecc.), con tanti flag dedicati alle rispettive finalità.
  3. Consentire di revocare il consenso con la stessa facilità con cui è stato reso; la formula ‘opt-out’ è una corretta soluzione. Resta inteso che la revoca vale per il futuro, facendo salva la liceità del pregresso trattamento.
  4. Predisporre processi e procedure idonee a gestire il corretto tempo di conservazione del dato personale raccolto per una determinata finalità. Questa è una regola generale: ogni finalità per cui si trattano dati personali ha un tempo di conservazione che deve essere indicato nell’informativa. Alla scadenza del termine di conservazione, i dati personali non potranno più essere trattati per la finalità per la quale sono stati raccolti. Nel caso non vi siano altre finalità che consentano la conservazione dei dati personali, gli stessi dovranno essere cancellati.
  5. Quando la campagna di marketing è esternalizzata, predisporre processi e procedure che garantiscano:
    - Un aggiornamento tra i dati conservati presso il titolare - che comunica i dati dei clienti alla società delegata alla attività di marketing- e quelli conservati presso quest’ultima. E’ importante ricordare che è onere del titolare verificare se e quanti clienti abbiamo esercitato la revoca del consenso, tramite l’opt-out indirizzato alla società che si sta occupando della attività di marketing.
    - Una o più comunicazioni, preferibilmente automatizzate, in vista dello scadere del termine di conservazione naturale del dato personale, per chiedere il rinnovo del consenso e far decorre un nuovo termine.
    -Che la società che gestisce la campagna di marketing per conto del titolare, sia correttamente nominata responsabile Esterno del trattamento, fornendo misure idonee a garantire la sicurezza dei dati personali comunicati.
  6. In alcuni casi, la base giuridica del trattamento per finalità di marketing (diretto) può essere individuata nell’interesse legittimo del titolare. Un classico esempio di interesse legittimo per finalità di marketing diretto è quello effettuato da una società che ricontatta a mezzo email i propri clienti per proporre dei prodotti analoghi a quelli già acquistati. Il ricorso a questa soluzione richiede però, anzitutto, la predisposizione di documentazione idonea a giustificare la correttezza della scelta: il c.d. balance test che dimostri la prevalenza del legittimo interesse del titolare (a svolgere una campagna di marketing, senza richiedere il di consenso) rispetto al diritto del cliente di decidere se ricevere o meno simili comunicazioni commerciali. “Questa base giuridica è quindi lecita soltanto in specifici casi, ed è un’apparente scorciatoia; non va acriticamente considerata come un’alternativa al consenso”.

ARTICOLI CORRELATIDello stesso autore

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome