Nell’era del digitale l’email si conferma come una delle modalità per fare marketing diretto tra le più sfruttate dalle aziende, in quanto garantisce risultati molto positivi soprattutto se legata all’utilizzo di attività di profilazione degli utenti.
Ma ogni azienda che intenda creare una campagna promozionale di email marketing compliant con la normativa Privacy deve effettuare una valutazione di conformità legale sin dalla raccolta dei dati (sia offline che online), impostando il trattamento nel rispetto dei principi del GDPR, Reg. UE 2016/679.
Come primo punto di una ipotetica check list, il Titolare del trattamento deve valutare "By Design" che tipo di attività vuole fare, quali dati sono necessari, come trattarli, per quanto tempo e dove conservarli, quali sono i ruoli e le responsabilità di eventuali terzi (con attenzione a quelli stabiliti extra UE), svolgendo - se necessario o ritenuto opportuno - una valutazione di impatto privacy (DPIA).
In secondo luogo, deve procedere ad impostare il trattamento "By Default" in modo che sia conforme alle valutazioni preliminari e quindi: chiedere solo i dati strettamente necessari (in questo caso solo il nome e l’email), impostare correttamente i form ed i moduli di contatto, applicare misure che consentano di gestire il trattamento (come la revoca del consenso, la cancellazione e/o l’opposizione), predisporre un’informativa idonea e sempre accessibile applicando una valida base giuridica (consenso, legittimo interesse, soft spam) e nominare i responsabili del trattamento.
Per una corretta configurazione dei ruoli il Titolare deve tener conto di quanto affermato in alcuni recenti provvedimenti del Garante italiano secondo cui occorre procedere sulla base della dinamica fattuale che ha caratterizzato il trattamento e del rapporto tra i soggetti in esso coinvolti.
In particolare, per il Garante:
- il committente di una campagna di email marketing è Titolare del trattamento se ha definito la finalità ed i mezzi essenziali del trattamento, se ha scelto il fornitore e se gli ha fornito le istruzioni, indipendentemente dalla qualificazione contrattuale dei ruoli ed anche se non ha accesso ai dati personali trattati dal fornitore;
- il terzo che acquista ed utilizza dati personali dal committente per finalità di marketing anche sue o di terzi è Titolare del trattamento se ha stabilito la finalità di detto trattamento, essendo irrilevante la fonte di provenienza dei dati, così come la causa del contratto sottoscritto con il committente.
Il Garante evidenzia come dall’errata qualificazione di un soggetto come responsabile del trattamento derivi conseguentemente la mancata registrazione delle revoche del consenso o delle richieste di opposizione o di cancellazione da parte degli interessati, con il rischio di invio di messaggi promozionali agli stessi in violazione del principio di liceità.
È, poi, fondamentale garantire la trasparenza nei confronti degli interessati, adottando forme appropriate per fornire informazioni sul trattamento in forma concisa, trasparente, intelligibile, con linguaggio semplice e chiaro, completo ed esaustivo, sempre accessibili, eventualmente ricorrendo ad un approccio stratificato.
Quanto alla scelta della base giuridica, il titolare deve privilegiare il consenso che costituisce la regola anche nel caso in cui l’email promozionale riguardi persone giuridiche: dovrà essere, quindi, raccolto un consenso libero, specifico, informato, inequivocabile, documentabile e revocabile (sempre, gratuitamente e in modo facile).
Infine, per quanto riguarda la conservazione dei dati, il Garante, mutando il proprio orientamento risalente al provvedimento del 24/02/2005 (24 mesi per finalità di marketing e 12 mesi per la profilazione), ha recentemente affermato che il consenso è valido fino alla sua revoca e che il tempo di conservazione è rimesso alla scelta del titolare del trattamento secondo il principio di Accountability.
Da ultimo, non va dimenticato che la violazione dell’art. 130 del Codice Privacy, oltre che essere oggetto di sanzioni amministrative, può configurare anche il reato di trattamento illecito di dati (art. 167 Codice Privacy).
(Fonte: Federprivacy del 04/05/2023)
Se la tua azienda non ha ancora preso provvedimenti per adeguarsi alla normativa in materia GDPR o se desideri maggiori informazioni o una consulenza, contattaci senza impegno per informazioni o per un preventivo gratuito, il nostro team di specialisti in materia di Privacy ed esperti DPO saprà consigliarti la soluzione migliore commisurata alla tua attività!
Ci puoi contattare ai nostri recapiti:
Tel. 0584 17 16 857 (4 linee r.a.)
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.
댓글