Vuoi ricevere i nostri aggiornamenti?
Marketing diretto e GDPR: le raccomandazioni dell'Autorità Garante inglese
Indipendentemente dagli esiti della Brexit, il valore extranazionale del documento proposto dall’ICO è reso indubbio da un’articolata serie di utili suggerimenti basati sulle linee guida dell’European Data Protection Board, e in particolare quelle sulla trasparenza, sul consenso, sul legittimo interesse, e sulla profilazione.
Vediamo quindi insieme i seguenti punti fondamentali e i relativi suggerimenti.
1. Quale base legale utilizzare per l’attività di marketing?
In generale, le due basi legali che più facilmente si applicano alle attività di marketing diretto sono il consenso dell’interessato e il legittimo interesse del titolare.
Va però evidenziato che il consenso rimane spesso l’unica opzione valida, ad esempio se si utilizzano anche dati particolari per selezionare il target del marketing, o comunque la più efficiente, qualora si preferisca omologare all’interno di un unico flusso operazioni svolte con varie e molteplici modalità (delle quali solo una parte possa basarsi sul legittimo interesse).
Il legittimo interesse, poi, richiede l’ulteriore svolgimento di una specifica analisi che tenga in considerazione tre elementi:
- lo scopo del trattamento
- il principio di necessità
- il bilanciamento tra gli interessi del titolare e i diritti dell’interessato
Qualora si opti per questa strada, un’indicazione dell’ICO è quella di evitare di focalizzarsi eccessivamente sui presunti vantaggi per i clienti (come si tende erroneamente a fare nel giustificare l’invio di offerte e promozioni che permetterebbero di risparmiare denaro), ricordando invece che, a seconda delle situazioni, il marketing diretto può avere un effetto negativo significativo su determinate persone. È il caso, ad esempio, di persone in difficoltà finanziarie, che per questa ragione dovessero essere il target di comunicazioni su prestiti ad alto tasso di interesse, con il rischio di incorrere in ulteriori debiti.
2. Come garantire la trasparenza per l’attività di marketing?
Ci sono diversi modi per raccogliere contatti da utilizzare per l’attività di marketing. In qualsiasi caso, sia che le liste siano costituite da precedenti acquirenti, acquisite da soggetti terzi che vendono contatti, o derivanti da fonti pubbliche, occorre sempre assicurarsi che il trattamento sia equo e trasparente.
L’informativa privacy dovrà pertanto spiegare chiaramente il tipo di attività che si intende effettuare, evitando termini vaghi come “finalità di marketing”, che potenzialmente coprirebbe molteplici tipi di elaborazione (dalle DEM con le più svariate intensità e frequenze, all’analisi dei comportamenti per la creazione di profili) e non farebbe chiarezza sulle effettive modalità di trattamento.
3. Quanto tempo conservare i dati personali trattati per l’attività di marketing?
Il GDPR specifica unicamente che, nel rispetto del principio di minimizzazione, i dati non devono essere conservati più a lungo del necessario. Tuttavia, il garante inglese ricorda anche che l’attività di marketing non può essere svolta per un tempo indefinito, e che (oltre all’obbligo di dare la possibilità all’interessato di interrompere il trattamento) il valore del consenso dipende dal contesto in cui è stato dato, dalla natura del rapporto tra il Titolare e l’interessato, e dalle aspettative dell'individuo.
Ad esempio, nel caso si ricerchino nuovi clienti utilizzando i contatti raccolti da una parte terza, i destinatari si aspetteranno di ricevere comunicazioni entro un breve periodo, mentre è improbabile che siano ancora interessati di riceverle dopo molto tempo. Per il primo contatto, si consiglia di non fare affidamento su consensi più vecchi di sei mesi.
4. Quando occorre svolgere una valutazione d’impatto?
La valutazione d'impatto sulla protezione dei dati permette di analizzare un trattamento specifico e aiuta a identificare e a ridurre al minimo i rischi per la protezione dei dati: è un requisito obbligatorio per tutti i trattamenti ad alto rischio, ma che risulta utile anche in altri casi per dimostrare la propria conformità e responsabilità, per mantenere una solida reputazione o per costruire un rapporto di fiducia con gli interessati. Si trovano vari casi di trattamento, applicabili al marketing, per cui la valutazione d’impatto sarà obbligatoria, ad esempio:
- la profilazione su larga scala
- l’interconnessione di dati provenienti da fonti diverse
- le attività svolte senza informare gli interessati, ad es. in casi di utilizzo di dati pubblicamente disponibili
- la geolocalizzazione degli individui per l’invio di pubblicità mirata
- i servizi di marketing rivolti a minori o a individui vulnerabili
Va comunque sottolineato che, anche in assenza di indicazione specifiche o di un rischio elevato, la best-practice prevede lo svolgimento della valutazione d’impatto per qualsiasi nuovo progetto che comporti l'utilizzo di dati personali.
5. Come organizzare la profilazione per finalità di marketing?
La profilazione può essere applicata al marketing diretto in diverse circostanze, ad esempio effettuando analisi dei dati della carta fedeltà per decidere quali nuovi prodotti suggerire un cliente, analizzando la cronologia di navigazione di un utente per prevedere i prodotti che potrebbe acquistare, o effettuando varie ipotesi sulla base dei codici postali associati al target.
In questi e altri casi, sarà sempre necessario garantire la trasparenza, assicurarsi che il trattamento sia legittimo e garantire che i dati personali trattati siano accurati e non eccessivi per lo scopo. È anche importante ricordare che l’attività di profilazione, se effettuata su larga scala, se basata su dati particolari, o se particolarmente intrusiva, deve sempre avvenire sulla base del consenso e prevedere lo svolgimento di una valutazione d’impatto.
6. Quali elementi considerare nell’acquisto di servizi di profilazione da soggetti terzi?
In fase di trattativa con un fornitore di banche dati, non è sufficiente accettare le sue garanzie sulla conformità dei dati. Occorre invece fare un'adeguata due diligence che comprenda la raccolta di informazioni sull'approccio del fornitore alla trasparenza, le fonti utilizzate dal fornitore, i contenuti delle sue valutazioni d’impatto, il tempo trascorso dal momento della raccolta dei dati, le modalità di gestione dei consensi raccolti, e l’eventuale presenza di dati particolari a comporre il set. Sostanzialmente, un fornitore affidabile dovrebbe essere in grado di dimostrare che i suoi dati sono conformi.
7. Come assicurare il rispetto del diritto di opposizione?
Oltre al diritto di essere informato, il diritto di opposizione, la rettifica, la cancellazione e l'accesso sono i più importanti nel contesto del marketing diretto. In particolare, il diritto di opporsi al marketing diretto è categorico: se qualcuno si oppone è necessario interrompere immediatamente il trattamento. Il garante inglese è anche esplicito sul fatto che dal momento in cui si opta per il consenso, il controllo dev’essere dato completamente all’interessato. Pertanto, quando un individuo ritira il consenso al marketing, non è legittimo passare al legittimo interesse per giustificare il proseguimento dei trattamenti.
L’interruzione dei trattamenti collegati al marketing diretto dovrebbe coincidere con l’aggiunta dell’interessato a una “lista di soppressione”, che corrisponderà a un elenco di persone che hanno dichiarato di non voler ricevere marketing diretto. Attraverso la sua gestione, invece di cancellare tutti i dati dei soggetti che si sono opposti, si potranno mantenere quelli sufficienti a poter rispettare anche in futuro la loro scelta, evitando il loro inserimento in nuove mailing-list. Ovviamente, la tenuta di un tale elenco non rientra di per sé negli scopi del marketing, ma avrà come base legale il rispetto delle disposizioni di legge.