In un contesto competitivo sempre più guidato dai dati, il marketing rappresenta per le aziende molto più di un mero strumento di crescita. Infatti, il marketing è sia una leva strategica per costruire relazioni durature con i clienti, sia uno strumento per definire una reputazione aziendale solida.
Campagne profilate, lead generation e email automation: ogni attività si basa sulla raccolta e sull’elaborazione di informazioni personali. Tuttavia, questo potenziale rischia di trasformarsi in un boomerang se non viene gestito con rigore dal punto di vista normativo. Per queste ragioni, le operazioni di marketing sono spesso oggetto di reclami da parte dei cittadini e di pronunce sanzionatorie da parte del Garante.
Un provvedimento recente affronta due temi strategici nel marketing: la gestione dei rapporti con terzi e il sistema di double opt-in nelle piattaforme online.
Indice
Il caso di “noicompriamoauto.it”
Il provvedimento nasce da un reclamo riguardante la ricezione di email indesiderate da parte di Noi Compriamo Auto.it S.r.l. (NCA). Il reclamante ha affermato di non aver mai dato il consenso a ricevere tali messaggi, che provenivano da indirizzi email diversi. Dopo aver richiesto l’esercizio dei diritti alla NCA, ha ricevuto un tardivo riscontro, in cui la società ha sostenuto che il consenso era stato fornito tramite un partner, un sito web di cui il reclamante non era a conoscenza.
In seguito, il reclamante ha continuato a ricevere email da un’altra società, che ha dichiarato di aver acquisito i suoi dati tramite un altro portale, anch’esso sconosciuto al reclamante. Tutti i soggetti coinvolti hanno affermato di aver cancellato i dati del ricorrente. NCA ha spiegato che il ritardo nella risposta era dovuto a un problema di filtro antispam e ha messo il reclamante in blacklist dopo la sua richiesta. La società ha anche chiarito di collaborare con terzi per le attività promozionali, assicurando il rispetto delle normative sulla protezione dei dati e allegando contratti con i partner coinvolti.
Il Garante impone il Double Opt-in?
Uno degli elementi contestati dal Garante è la modalità di raccolta dei consensi al marketing, con particolare attenzione alla necessità di utilizzare un meccanismo di double opt-in.
Il double opt-in è un sistema di conferma del consenso in due passaggi: l’utente inserisce i propri dati (es. email) in un form, quindi riceve un’email con un link da cliccare per confermare la sua volontà. Solo dopo questo secondo passaggio il consenso è considerato valido.
Il Garante Privacy chiarisce che, sebbene il Regolamento europeo non imponga esplicitamente il double opt-in, esso rappresenta una misura necessaria per documentare il consenso dell’utente. La semplice registrazione di log tecnici (IP, timestamp o identificativi poco tracciabili) non è più ritenuta sufficiente, specialmente se provenienti da terzi. Pertanto, il double opt-in – ovvero l’invio di una mail di conferma che l’utente deve attivamente cliccare – viene considerato dal Garante lo standard minimo di sicurezza e trasparenza, poiché riduce il rischio di contestazioni e protegge sia l’interessato sia il titolare.
Il Double Opt-in è una misura obbligatoria?
Il double opt-in è indubbiamente un sistema di raccolta dei consensi che offre garanzie sulla volontà dell’interessato, ma non può essere considerato una misura obbligatoria.
Infatti, le cosiddette “misure minime” sono state superate con l’abrogazione dell’Allegato B del Codice Privacy, poiché ormai incompatibili con uno dei principi cardine del GDPR: l’accountability. Questo principio, tuttavia, viene spesso utilizzato in modo ambiguo. Da un lato, viene impiegato per scaricare ogni responsabilità sul titolare, dall’altro viene snaturato, trasformando in obblighi prescrittivi misure che la legge non impone esplicitamente.
Nel caso specifico, questo cortocircuito è evidente. Lo stesso provvedimento del Garante afferma che il Regolamento non impone modalità tecniche specifiche per dimostrare il consenso. Tuttavia, subito dopo, qualifica il double opt-in come “misura minima” a tale scopo, attribuendogli un valore quasi normativo.
È utile essere chiari su questo punto. Il double opt-in è senza dubbio una buona prassi, utile a migliorare la qualità del consenso al momento della raccolta, ad esempio tramite form, newsletter o app. Ma non è infallibile, né può essere considerato l’unico sistema sicuro di raccolta dati. Il provvedimento sembra attribuirgli un valore superiore rispetto ad altri strumenti. Qualificarlo come “misura minima” rischia di generare confusione, portando a credere erroneamente che il solo double opt-in sia sufficiente a garantire la liceità del trattamento.
Diversi soggetti nel trattamento dati e individuazione dei ruoli
Nelle attività di marketing, spesso intervengono diversi soggetti: agenzie pubblicitarie, gestori di piattaforme, provider. La definizione di ruoli, compiti e responsabilità secondo il Regolamento generale sulla protezione dei dati (GDPR) è cruciale e spesso sottovalutata.
[Ved. anche Il trattamento dati nella Supply Chain]
Titolare, contitolare e responsabile
Come noto, l’art. 4 del Regolamento definisce “titolare” la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento. Diversamente, si qualifica come “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare, come previsto dall’art. 28 GDPR.
L’EDPB, nelle Linee guida 7/2020, ha stabilito alcuni importanti principi riguardo le definizioni di ruolo. Non è la qualificazione contrattuale a determinare l’esattezza; è necessario analizzare come si sostanzia il rapporto tra i soggetti. Secondo l’EDPB, è considerato titolare il soggetto che determina le finalità e i mezzi del trattamento.
La contitolarità, viceversa, si verifica quando due o più soggetti decidono insieme le finalità e le modalità di un trattamento di dati personali. In tal caso, condividono la responsabilità su “perché” e “come” i dati vengono trattati, e devono regolare i rispettivi ruoli tramite un accordo scritto, come previsto dall’art. 26 del GDPR.
Chi è il titolare del trattamento nelle campagne promozionali?
Chi trae beneficio da una campagna promozionale? Normalmente, è il committente, ovvero il soggetto che avrà benefici in termini di incremento delle vendite, ma che sostiene anche i rischi in caso di non corretto rispetto della normativa e lesione dei diritti delle persone.
Il titolare nelle campagne si individua anche dal contenuto dell’email, ovvero dall’intento di promuovere i servizi o beni di un determinato soggetto, indipendentemente da chi materialmente ha inviato l’email.
In un precedente provvedimento, il Garante ha chiarito che “…i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse della società preponente; con l’effetto che negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi”.
In tali termini, il preponente, essendo il soggetto che determina la finalità promozionale del trattamento e i mezzi per la sua effettuazione, oltre a essere il soggetto nel cui interesse il trattamento è effettuato, si configura come titolare del trattamento.
Come si qualifica il soggetto che concretamente svolge il servizio marketing?
Il soggetto che, per conto del proponente, svolge il servizio può essere, a seconda dei ruoli tra le parti, un contitolare o un responsabile del trattamento.
[Ved. anche Provvedimento Garante 20 ottobre 2022, doc. web n. 9827153 e le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, doc. web n. 2542348]
Quali sono i ruoli coinvolti nel provvedimento su noicompriamoauto.it?
Il Garante ha chiarito che NCA deve essere considerata titolare del trattamento dei dati utilizzati nelle campagne promozionali, anche se l’invio materiale delle email è stato affidato a soggetti terzi. Questo perché il contenuto promozionale faceva riferimento esplicito a NCA e i link conducevano direttamente al suo sito: quindi era chiaramente lei a decidere finalità e mezzi del trattamento.
Affidare l’operatività a terzi non solleva dall’obbligo di controllo: spetta al titolare selezionare e vigilare sui fornitori, come previsto dall’art. 28 del Regolamento.
Il Garante contesta quindi a NCA la totale assenza di controlli sui partner a cui aveva affidato l’attività promozionale, sia nella fase di selezione che durante l’esecuzione delle campagne. I fornitori coinvolti presentavano diversi elementi critici: ad esempio, uno di loro sosteneva di aver ottenuto il consenso dell’utente tramite un portale gestito da una società statunitense, priva di sede nell’UE e senza rappresentante designato, come richiesto dal GDPR. Un altro partner, con sede in Spagna, dichiarava di aver ricevuto i dati da fonti ulteriori, senza fornire una tracciabilità trasparente.
Il Garante evidenzia, come sopra illustrato, che i consensi raccolti non risultano adeguatamente documentati. Infine, il fatto che NCA abbia poi ricostruito i flussi di dati solo in seguito all’opposizione dell’interessato non è una prova di adeguato controllo preventivo.
Lesson learnd e best practice nella gestione dei fornitori in area marketing
Dai provvedimenti del Garante, come studio cerchiamo sempre di ricavarne utili insegnamenti. Di seguito 5 fondamentali regole per la corretta gestione dei partner in progetti marketing.
