di Greta V. Galimberti – Trendiest Media – Lo studio legale Avvocati.net ricorda a tutti gli utenti quanto sia importante fare attenzione ai dati personali e spiega come evitare di incorrere in sanzioni. Nel 2020 e in questa prima parte del 2021, la pandemia ha spinto le vendite online e con queste l’intero settore della pubblicità digitale che, però, non sempre è stato rispettoso delle norme in materia di privacy.

Il disturbo da parte di società di telemarketing che vessano gli utenti con numerose e ripetute offerte indesiderate ha portato l’Autorità Garante per il trattamento dei dati personali a sanzionarne tre, colpevoli di aver contattato decine di migliaia di utenti non inclusi nelle liste fornite dal committente, rivolgendosi anche a coloro che non avevano fornito il consenso, o si erano appositamente iscritti nel Registro pubblico delle opposizioni.

Privacy by design

È stata quindi rilevata, oltre all’assenza dell’adeguata base giuridica del trattamento (il consenso dell’interessato) anche la violazione del principio di privacy by design, ossia la mancanza di un adeguato governo del trattamento dei dati, necessario per garantire il rispetto dei diritti degli interessati previsti dall’art. 25 del Regolamento EU 679/2016 per la protezione dei dati personali (noto come G.D.P.R.) e la mancanza di adeguate misure tecniche e organizzative.

Anche la Suprema Corte di Cassazione, con l’Ordinanza n. 11019 del 2021, ha confermato che non sarebbe riconducibile alla nozione di comunicazione commerciale una comunicazione telefonica finalizzata ad ottenere il consenso per fini di marketing, da chi l’abbia precedentemente negato, in quanto tale attività si classifica essa stessa, come una “comunicazione commerciale”.

Attività promozionali: le regole da seguire

Per fare una buona e giusta campagna promozionale non basta essere convinti di essere nel giusto o essere in buona fede, ci vogliono delle regole da seguire scrupolosamente. A fornirne alcune è l’Avvocato Lia Ruozi Berretta, partner di Avvocati.net ed esperta di data protection. “Ad un primo incontro, capita stesso che l’azienda in procinto in iniziare una campagna di marketing ritenga di poter liberamente utilizzare i dati personali dei clienti quando gli stessi sono stati raccolti per diverse finalità (es: conclusione di un contratto)”. L’Avvocato Ruozi Berretta fornisce sei fondamentali consigli agli operatori del mondo della comunicazione, per iniziare con il piede giusto una campagna di marketing, nel rispetto della normativa sul trattamento dei dati personali.

Lia Ruozi Berretta

Sei consigli di Lia Ruozi Berretta, avvocato

1) predisporre una specifica informativa sul trattamento dei dati personali; nella Home Page del sito aziendale a corredo del form da compilare per la comunicazione del dato personale (es: email e nome) servirà posizionare un flag dedicato alla raccolta consenso per attività di marketing con un apposito link alla informativa.

2) basare la campagna marketing sul consenso e richiedere un consenso separato per diverse finalità commerciali (es: invio di newsletter, invio di proposte commerciali profilando il cliente, ecc.), con tanti flag dedicati alle rispettive finalità.

3) Consentire di revocare il consenso con la stessa facilità con cui è stato reso; la formula ‘opt-out’ è una corretta soluzione. Resta inteso che la revoca vale per il futuro, facendo salva la liceità del pregresso trattamento.

4) Predisporre processi e procedure idonee a gestire il corretto tempo di conservazione del dato personale raccolto per una determinata finalità. Questa è una regola generale: ogni finalità per cui si trattano dati personali ha un tempo di conservazione che deve essere indicato nell’informativa. Alla scadenza del termine di conservazione, i dati personali non potranno più essere trattati per la finalità per la quale sono stati raccolti. Nel caso non vi siano altre finalità che consentano la conservazione dei dati personali, gli stessi dovranno essere cancellati.

5) Quando la campagna di marketing è esternalizzata, predisporre processi e procedure che garantiscano:

– un aggiornamento tra i dati conservati presso il titolare – che comunica i dati dei clienti alla società delegata alla attività di marketing- e quelli conservati presso quest’ultima. E’ importante ricordare che è onere del titolare verificare se e quanti clienti abbiamo esercitato la revoca del consenso, tramite l’opt out indirizzato alla società che si sta occupando della attività di marketing.- una o più comunicazioni, preferibilmente automatizzate, in vista dello scadere del termine di conservazione naturale del dato personale, per chiedere il rinnovo del consenso e far decorre un nuovo termine. – che la società che gestisce la campagna di marketing per conto del titolare, sia correttamente nominata responsabile Esterno del trattamento, fornendo misure idonee a garantire la sicurezza dei dati personali comunicati.

6) In alcuni casi, la base giuridica del trattamento per finalità di marketing (diretto) può essere individuata nell’interesse legittimo del titolare. Un classico esempio di interesse legittimo per finalità di marketing diretto è quello effettuato da una società che ricontatta a mezzo email i propri clienti per proporre dei prodotti analoghi a quelli già acquistati. Il ricorso a questa soluzione richiede però, anzitutto, la predisposizione di documentazione idonea a giustificare la correttezza della scelta: il c.d. balance test che dimostri la prevalenza del legittimo interesse del titolare (a svolgere una campagna di marketing, senza richiedere il di consenso) rispetto al diritto del cliente di decidere se ricevere o meno simili comunicazioni commerciali.

“Questa base giuridica è quindi lecita soltanto in specifici casi, ed è un’apparente scorciatoia; non va acriticamente considerata come un’alternativa al consenso”.

Il GDPR e il codice della privacy (D.lgs 196/2003 aggiornato al D.lgs 101/2018 dispongono sanzioni amministrative molto elevate, basate sulla gravità del comportamento tenuto dal Titolare che possono riassumersi come segue:

– fino a 10 milioni di Euro o il 2% del fatturato globale per le violazioni di lieve entità.

– fino a 20 milioni di Euro o il 4% del fatturato globale per le violazioni più gravi.