Strutturare bene le attività di marketing è ormai di fondamentale importanza: le organizzazioni investono tempo e risorse per offrire i propri servizi e prodotti sul mercato, scegliendo la strategia apparentemente più efficace ed efficiente. Occhio però agli adempimenti privacy: l’invio di newsletter, SMS e telefonate promozionali non è nient’altro che un trattamento di dati personali, che deve necessariamente essere svolto nel rispetto della normativa di protezione dei dati.
Diviene allora essenziale evitare che le stesse attività di marketing – destinate a generare nuovi potenziali introiti – non diventino al contempo un’area ad alto rischio di perdita economica per le organizzazioni. Infatti, le sanzioni dell’Autorità Garante per le violazioni delle disposizioni privacy in ambito marketing sono sempre più elevate e possono giungere fino al 4% del fatturato annuo mondiale.
Di conseguenza, è bene determinare sin dalla fase di progettazione delle campagne di marketing gli elementi del trattamento, quali, a titolo meramente esemplificativo:
- le finalità del trattamento (es. promozionale, informative);
- le tipologie di dati da trattare e le modalità di raccolta;
- le categorie di interessati cui si rivolgerà il marketing(ad esempio interessati già clienti, prospect, pazienti);
- i mezzi da utilizzare (es. newsletter, telefonate automatizzate o tramite operatore, SMS)
- la legittimità dei trattamenti (es. valutare se è stato già ottenuto il consenso alle attività di marketing oppure se i messaggi promozionali riguarderanno prodotti simili a quelli già acquistati dagli utenti ai quali ci si rivolge, per cui non sarà necessario il consenso);
- i tempi di conservazione dei dati;
- i contenuti dell’informativa sul trattamento dei dati, già consegnata o da consegnare agli interessati.
Sulla base di queste ed altre valutazioni, le organizzazioni saranno così in grado di limitare le attività di trattamento dati a quanto lecito. In pratica, potranno comprendere cosa si può fare e come occorre farlo in totale compliance alla normativa privacy.
Innanzitutto, sarà necessario individuare la base giuridica sulla quale fondare le attività di marketing.
Le due basi legali che più facilmente si applicano alle attività di marketing sono il consenso dell’interessato e il legittimo interesse del titolare.
Va però evidenziato che il consenso rimane spesso l’unica opzione valida, ad esempio se le attività di marketing sono svolte nei confronti di interessati che non hanno mai acquistato prodotti o servizi del Titolare.
In altri casi, come ad esempio per il “soft spam”, si potrà invece ricorrere al legittimo interesse del Titolare. Attenzione però, la decisione di ricorrere al legittimo interesse deve essere avvalorata da una specifica analisi che tenga in considerazione tre elementi:
- lo scopo del trattamento;
- il principio di necessità del trattamento;
- il bilanciamento tra gli interessi del titolare e i diritti dell’interessato.
Altro aspetto da “mettere in ordine” riguarda le modalità di esercizio dei diritti degli interessati: le organizzazioni dovranno consentire la revoca del consenso o l’opposizione al trattamento dei dati, a seconda della base giuridica prescelta, in modo semplice ed efficace.
Come anticipato, il mancato rispetto della normativa privacy può comportare sanzioni molto severe.
Un pratico esempio ci viene fornito dal provvedimento adottato dal Garante nei confronti di Enel Energia, con il quale è stata comminata una sanzione di € 26,5 milioni per telemarketing aggressivo.
Il provvedimento sanzionatorio è stato adottato dal Garante a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano la ricezione di telefonate promozionali indesiderate, anche su disco preregistrato, ad utenze riservate, in assenza del necessario consenso, ovvero rispetto ad utenze fisse iscritte nel registro pubblico delle opposizioni.
Oltre ciò, lamentavano la difficoltà di esercitare il proprio diritto di accesso ai dati oppure di opposizione al relativo trattamento, oltre che la tardività dei riscontri da parte del Titolare.
Nel corso dell’istruttoria, il Garante ha rilevato un trattamento massivo ed intenso dei dati di contatto degli utenti in assenza di idonee basi giuridiche. A nulla sono valse le difese del Titolare che, a detta del Garante, nel corso dell’istruttoria ha mostrato un approccio agli adempimenti privacy meramente “formalistico”, soprattutto in relazione alla gestione della catena di partner commerciali coinvolti nei trattamenti dati, in totale disallineamento con il principio di accountability.
In tema di telefonate promozionali, vi segnaliamo che proprio recentemente è stato approvato il Decreto del Presidente della Repubblica 27 gennaio 2022, n. 26 che contiene il regolamento in materia di registro delle opposizioni. Tra le novità introdotte, segnaliamo l’estensione della tutela ai:
- numeri telefonici fissi, siano essi presenti in elenchi pubblici o meno
- i numeri telefonici mobili
- gli indirizzi postali.
Le organizzazioni saranno obbligate a consultare il registro pubblico delle opposizioni mensilmente, e comunque prima dell’inizio di ogni campagna promozionale. Sull’argomento si rimanda al nostro articolo di approfondimento consultabile qui.