A metà luglio la Gazzetta Ufficiale ha pubblicato un provvedimento e nuove linee guida del Garante della Privacy inerenti l’acquisizione del consenso al trattamento dei dati personali e che quindi vanno a interessare un po’ tutte le aziende che gestiscono attività promozionali o di vendita mediante operatore, messaggi automatici, SMS, e-mail, siti Web, nonché i professionisti che con queste aziende ci lavorano.
Il provvedimento mira a semplificare l’acquisizione del consenso, in linea con la tendenza all’integrazione che sempre più caratterizza i diversi canali di contatto con i clienti. Precisa infatti che il consenso alle comunicazioni commerciali, ottenuto attraverso canali digitali, possa essere considerato valido anche per contatti tramite operatore, oppure nel caso di invii postali (non serve, in sostanza, un secondo consenso per l’utilizzo dei canali tradizionali di comunicazione).
Le linee guida, vanno invece a completare il quadro interpretativo delle norme esistenti, inserendo alcuni elementi di maggior rigore di cui le aziende dovranno necessariamente tenere conto.
Il rigore nell’espressione del consenso
Le linee guida ribadiscono il princìpio che non si può fare attività di direct marketing se non si è acquisito il consenso preventivo e informato delle persone a cui ci si sta rivolgendo (cosiddetto opt-in). Non è lecito presumere che l’interessato sia consenziente a una comunicazione per il solo fatto che il suo nominativo è presente su liste d’indirizzi, siti Web o altre fonti di pubblico dominio.
Le informazioni che riguardano le modalità di trattamento dei dati, le finalità, i canali usati, ecc, devono inoltre essere sempre essere fornite prima della comunicazione commerciale. Per questo motivo non è lecito informare l’utente contestualmente con l’invio di una comunicazione commerciale, chiedendo eventualmente allo stesso di dare o negare il consenso per i successivi invii.
Sebbene il principio generale sia quello che non è possibile sfruttare la stessa espressione di consenso per scopi diversi, il Garante ha comunque stabilito che l’invio di pubblicità, vendita diretta, ricerche di mercato e simili possano essere ricondotte a una stessa iniziativa marketing per cui può valere un’unica manifestazione di consenso. Al contrario, se i dati raccolti servono per creare liste profilate per generare altre comunicazioni o per la cessione a terzi, allora è necessario ottenere espressioni di consenso per ogni specifico utilizzo.
Form, spam e social network
Il Garante si è preoccupato che il consenso all’uso dei dati personali non possa essere in qualche modo estorto. Non è valido se è impostato per default in un form online (tipico esempio è il checkbox già spuntato sul consenso), oppure se è condizionato al proseguimento di una registrazione.
Non è inoltre possibile riunire nello stesso checkbox il consenso sia per l’uso da parte dell’azienda sia di terzi, nemmeno se si tratta di società collegate. L’autorizzazione alla cessione dei dati ad altri soggetti deve essere accompagnata da indicazioni più precise circa le attività economiche e merceologiche che svolgono questi “terzi”.
Il Garante si preoccupa anche dello spam via e-mail. Sa da una parte permette di inviare, senza alcun consenso preventivo, e-mail promozionali a persone che hanno comunicato la propria casella nel contesto di precedenti acquisti, dall’altra vieta di proporre merci o servizi diversi da quanto già acquistato. A meno che l’interessato non sia stato informato e abbia dato il suo consenso.
Per quanto riguarda i social network, il Garante vieta l’impiego dei dati presenti nei profili personali per mandare messaggi promozionali, almeno in assenza di un consenso specificamente espresso. Considera invece l’adesione alla fan-page di una società o a quella di un marchio o prodotto commerciale come un’esplicita espressione di consenso che abilita l’azienda all’invio di materiale promozionale, purché sia correlato.
Un decalogo per trattare correttamente i dati
Come si è visto, diverse sono le normative e le regole per gestire correttamente privacy e dati personali. Come procedere, quindi? Di seguito il decalogo stilato da MailUp, società specializzata in email marketing, con il contributo dell’avvocato Marco Maglio:
- Verificare l’origine dei dati che si intende usare prima di qualsiasi campagna promozionale e controllare che i destinatari abbiano ricevuto un’adeguata informativa fornendo un consenso valido.
- Non comprare o usare liste di nominativi di dubbia provenienza.
- Offrire ai destinatari dei messaggi la possibilità di accedere ai dati che li riguardano, di aggiornarli, modificarli, integrarli, farli cancellare o di revocare il consenso in modo chiaro, semplice e senza complicazioni.
- Informare prontamente chi gestisce il database se un destinatario formula un’istanza per l’esercizio dei propri diritti.
- Custodire in modo riservato banche dati, contratti e documenti. In qualsiasi momento potrebbe essere richiesto di dimostrare da dove provengono i dati e quando e come si è ottenuto il consenso.
- Monitorare il database e segnalare a chi lo gestisce anomalie nella qualità dei dati presenti.
- Adottare le misure di sicurezza informatiche previste dal sistema dell’azienda quando ci si connette alla rete per il collegamento alla banca dati.
- Informare i collaboratori sulle regole di riservatezza e sulle norme di protezione dei dati personali per evitare abusi dovuti a negligenza.
- Tenersi aggiornato sui provvedimenti normativi e verificare che tutte le procedure messe in atto rispondano pienamente alle disposizioni di legge; non dimenticare che le normative cambiano e si evolvono rapidamente, come la tecnologia che ne consente il trattamento.
- Aggiungere un indirizzo “sentinella” nella lista, per verificarne usi impropri o furti.
