Il 3 luglio 2024 il Garante per la Protezione dei Dati Personali ha presentato la propria relazione sull’attività svolta. Quest’anno, iniziamo la nostra analisi concentrandoci sulle principali nozioni, prassi positive e negative, e lezioni utili del Garante in tema di trattamento dati nell’attività di marketing.
Indice
Principi fondamentali “a rischio” nell’attività di marketing
Quali sono le violazioni “tipiche”, o più rischiose, nello svolgimento di attività di marketing. Tra i diversi provvedimenti del 2023, si scopre che i principali problemi hanno a che fare con gli adempimenti in tema di esercizio dei diritti degli interessati (tipicamente, nella gestione di richieste di opposizione), soprattutto nell’ambito del marketing telefonico o tramite posta elettronica. Diverse criticità anche nel rispetto del principio di accountability, di privacy by design e nella gestione della sicurezza dei dati. Ultimi ma non per importanza, i principi di trasparenza e liceità. In particolare, per quello che concerne l’obbligo di fornire idonee informazioni (spesso non conformi, soprattutto negli script che dovrebbero essere utilizzati per i contatti telefonici) e della validità dei consensi marketing acquisiti.
Marketing e legittimo interesse
Sul tema dell’attività di marketing basata sul legittimo interesse, il Garante ha ribadito un paio di punti determinanti:
- in tema di telemarketing, la base giuridica DEVE essere il consenso. Non può in alcun caso essere invocata la condizione di liceità del legittimo interesse;
- il soft spam ammette come unico canale di comunicazione l’e-mail. Attenzione, l’invio di SMS promozionali non ammette il ricorso al legittimo interesse (sul punto, si veda ad es. la sanzione di 75000 euro disposta per l’Università e-campus).
Infine, un concetto ribadito in più occasioni. I dati pubblici, accessibili dal web o attraverso l’accesso a elenchi pubblici non possono essere utilizzati per finalità promozionali.
Rapporti coi fornitori
Molti degli interventi dell’Autorità in tema di marketing, hanno riguardato i flussi d’acquisizione di contatti da soggetti terzi (list provider). In queste circostanze, è essenziale essere consapevoli che, indipendentemente dalla provenienza dei dati, spetta al Titolare verificare che i dati acquisiti siano stati raccolti nel rispetto delle norme privacy. Nella pratica, i suggerimenti prevedono di:
- verificare l’informativa resa (dai list provider)
- verificare i consensi acquisiti
Occorre in particolare evitare il c.d. “doppio passaggio dei dati“. Vale a dire quella situazione in cui, tipicamente, un’agenzia acquisisce contatti da terzi. Si mette in contatto con gli interessati autonomamente, magari per sottoscrivere vari contratti. Infine, riversa i dati nelle liste di un terza compagnia destinataria che avvierà la propria attività di marketing. Quest’ultimo step, sarebbe svolto in violazione del principio di liceità, non essendo stato possibile acquisire un consenso valido e informato.
Marketing e data retention
Nel 2023 si è parlato ancora una volta di conservazione di dati personali trattati a scopo di marketing. Tra gli elementi chiave da memorizzare, vi è quanto citato nel provvedimento a La Rinascente. Parliamo, in particolare, di gestione di fidelity card. L’Autorità ha evidenziato che il documento del 2005 “Fidelity card e garanzie per i consumatori”, anche se non più vincolante, è da considerarsi applicabile con valore di linea guida.
Quindi, quanto tempo possono essere conservati i dati? L’indicazione è:
- 24 mesi per i dati relativi al marketing,
- 12 mesi per i dati relativi alla profilazione.
E la libertà di valutare e prevedere tempi diversi? Il Garante si è espresso sottolineando che il principio di accountability va sempre bilanciato con gli altri (e quindi, anche col principio di limitazione della conservazione). Circostanza tipica è quella dell’utilizzo di dati raccolti in occasione della vendita di beni di lusso, per i quali, in ragione della ridotta frequenza d’acquisto, sono ammessi tempi dilatati (fino a 7 anni). Ma occorre valutare bene se questa logica può effettivamente applicarsi al proprio business. E, in linea generale, ricordare che discostarsi troppo dalle indicazioni e tempistiche indicate dalle Autorità potrebbe rappresentare un illecito (accountability, o meno).
Marketing, profilazione e dark pattern
Il tema delle fidelity card è poi strettamente collegato all’utilizzo di adeguate misure di sicurezza. Nello svolgimento di attività di profilazione, risulta più che mai importante considerare la minimizzazione dei dati. Ad esempio, limitando l’accesso ai profili ai soli operatori che ne hanno necessità, ed evitando di concederlo a tutti gli addetti di una catena di negozi, magari presenti a livello internazionale. O, ancora, evitando la condivisione massima di credenziali per l’accesso ai dati.
Tra le violazioni contestate nel 2023, troviamo poi il riferimento al mancato svolgimento di valutazioni di impatto (DPIA) per svolgere attività di profilazione. La DPIA, come più volte ribadito, è un fondamentale strumento di accountability e la principale garanzia per la corretta gestione e applicazione di idonee misure di sicurezza.
Nel contesto del marketing digitale e presenza sul web, ciò può significare anche concentrare l’attenzione sull’evitare l’utilizzo di dark pattern, frequentemente utilizzati per realizzare interfacce con l’obiettivo di raccogliere consensi in maniera forzata. La progettazione corretta di interfacce web, tema frequentemente citato in ambito consumeristico, ha negli ultimi anni, infatti, assunto sempre più importanza anche per valutare la libertà dei consensi rilasciati per il trattamento dei dati personali. La regola aurea, in questo caso, è sempre la necessità di assicurarsi che un consenso (acquisito ad esempio attraverso l’uso di form online) sia “libero”.
Telemarketing indesiderato: suggerimenti al cittadino
Nella sua relazione, il Garante indica che il fenomeno del telemarketing indesiderato non mostra cenni di sensibile regressione. Tra i principali problemi riscontrati, vi sono soprattutto violazioni di aziende che mancano di verificare la presenza delle utenze che intendono contattare, all’interno del Registro Pubblico delle Opposizioni. Tra gli episodi sanzionati, perfino un caso di contatti a un interessato, iscritto all’RPO, e che si era inoltre espressamente opposto, anche tramite formali istanze di esercizio dei diritti rimaste prive di riscontro.
Nella sua attività di informazioni ai cittadini, il Garante ha richiamato più volte le FAQ concernenti le telefonate mute. Infine, può essere utile sottolineare che le possibilità dell’Autorità di agire a contrasto del telemarketing indesiderato, sono più efficaci in presenza di segnalazioni puntuali e riconducibili a specifici titolari. Per farlo, il servizio telematico è accessibile all’indirizzo: https://servizi.gpdp.it/diritti/s/tel-indesiderate-scelta-auth.
