Marketing e Privacy
La compliance al GDPR può trasformarsi da vincolo in chance di business. Ma serve che le aziende sappiano incorporare nel proprio Dna i processi richiesti, adeguandosi dinamicamente al nuovo modello.
Un adeguamento a regola d’arte ai passaggi della normativa privacy , oltre che essere un imprescindibile step per abbattere i rischi di sanzione, costituisce un asset di per sé: fondamentale per accrescere il valore economico del dato stesso e la reputazione dell’impresa che lo tratta. In poche parole, una (grande) opportunità. Vediamo come il marketing può trarre vantaggio da un approccio privacy by design.
“Desidero pubblicizzare i miei prodotti tramite un nuovo canale, ma come faccio a trattare correttamente i dati personali dei miei clienti?”. O ancora: “E se volessi contattare potenziali clienti utilizzando strumenti tradizionali, come le telefonate con operatore o via lettera?”
Interrogativi di questo tipo sono frequenti: la recente entrata in vigore del reg. UE 2016/679 (oramai conosciuto da tutti come GDPR), infatti, ha definitivamente posto al centro il dato personale e la sua adeguata gestione in pressoché tutte le aziende. Qual è, infatti, un’azienda che non tratta dati personali?
“Conosci te stesso”: in questa frase può essere condensata la prima fondamentale tappa per trovare risposta alle domande che hanno introdotto il nostro discorso. Infatti, il GDPR si fonda sul principio dell’accountability (o responsabilizzazione), che richiede alle aziende titolari del trattamento innanzitutto di valutare approfonditamente la propria attività e i suoi impatti sui dati personali: dalle risorse umane alla gestione della contabilità, fino ad arrivare all’area più prettamente commerciale, questi sono solo alcuni dei focus dell’assessment.
Una volta mappati i trattamenti di dati rilevanti e valutati i rischi connessi (anche mediante un DPIA, o Data Protection Impact Assessment, se necessario), sono individuate le misure di sicurezza organizzative e tecniche adeguate alla nostra situazione. La valutazione sulla adeguatezza della singola misura costituisce per certi versi l’apice della responsabilizzazione che ci è richiesta: è nel solco dei requisiti essenziali presentati dalla normativa, infatti, che dobbiamo trovare quelli necessari per noi. Un fine lavoro di sartoria, insomma.
La selezione, adozione e applicazione delle misure adeguate riguarda anche la sfera del marketing, consistente in tutte le attività di promozione dei prodotti e dei servizi di un’azienda tramite un determinato canale. In Italia sono previste regole diverse a seconda dello strumento utilizzato. Scopriamole.
Il telemarketing è l’attività promozionale svolta tramite telefonata con operatore. Se attuato verso contraenti ed utenti (sia persone fisiche che giuridiche) con utenze italiane iscritte negli elenchi pubblici italiani, il telemarketing è consentito nei confronti di coloro (prospect, clienti non consensati o cessati da oltre 30 giorni) che non abbiano esercitato il diritto di opposizione con l’iscrizione al registro delle opposizioni (“opt-out”).
Per effettuare una campagna di telemarketing è necessario per prima cosa consultare il registro delle opposizioni e verificare che l’utenza telefonica non sia iscritta. Ai fini della verifica l’operatore deve presentare un’istanza presso il gestore del registro delle opposizioni (FUB) comprensiva di: documentazione attestante l’identità dell’operatore, dichiarazione circa l’attivazione del sistema di identificazione della linea chiamante e, infine, indicazione dell’elenco e/o elenchi pubblici aggiornati da cui si ricavano i dati personali del soggetto che l’operatore ha intenzione di contattare.
Entro 15 giorni dal ricevimento dell’istanza, il gestore del registro pubblico delle opposizioni:
Assegna le credenziali di autenticazione e i profili di autorizzazione all’operatore;
pubblica gli estremi identificativi dell’operatore su un elenco consultabile sul sito web relativo al registro pubblico delle opposizioni, per un periodo non superiore a 12 mesi dall’ultima consultazione del medesimo registro.
Una volta che l’istanza dell’operatore è stata accolta e quindi si è verificata la sua iscrizione al registro, l’operatore potrà consultare il registro per 15 giorni per svolgere attività di telemarketing.
L’iscrizione al registro supera e revoca ogni consenso rilasciato dall’interessato; sono però fatti salvi i consensi prestati dopo l’opposizione nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di 30 giorni, aventi ad oggetto la fornitura di beni o servizi[5].
Se il soggetto è iscritto nel registro delle opposizioni non è possibile effettuare l’attività di telemarketing, a meno che l’utente abbia fornito successivamente all’opposizione un consenso dedicato al titolare;
Se il soggetto non è iscritto nel registro delle opposizioni, è possibile svolgere le campagne fino al rifiuto dell’interessato. Nel corso della stessa telefonata l’utente dovrà essere informato del fatto che i suoi dati sono utilizzati per campagne di telemarketing fino a sua opposizione.
E’ opportuno ricordare che la regola dell’opt-out sopra esaminata si applica unicamente al telemarketing con operatore rivolto agli interessati, prospect e clienti, che hanno utenza italiana iscritta negli elenchi pubblici italiani.
Per quanto riguarda la E-mail aziendale, consente all’invio di comunicazioni promozionali inerenti i prodotti e servizi di soggetti terzi rispetto ai Titolari con modalità di contatto automatizzate e tradizionali da parte dei terzi medesimi, a cui vengono comunicati i dati.
Ne consegue che la regola dell’opt-out è inapplicabile, occorrendo quindi il consenso specifico e preventivo dell’interessato:
Se si tratta di prospect o clienti con utenza non italiana (in questi casi occorre esaminare di volta in volta la legge locale applicabile, che in genere stabilisce la regola dell’opt-in, o consenso preventivo);
In caso di utenze, anche italiane, non rinvenute su pubblici elenchi italiani;
per il telemarketing effettuato con strumento automatizzato (quindi senza operatore).
Spesso le attività sono in concreto demandate a società terze, che effettuano le telefonate tramite propri operatori. In questi casi, occorre regolare in modo adeguato il rapporto tra l’azienda titolare, per conto della quale il call center svolge l’attività, e il call center stesso. Ciò anche a tutela dalle possibili malefatte del fornitore. Solitamente è necessario un accordo di nomina a responsabile esterno del call center, ma gli indici del caso concreto potrebbero deporre a favore di contratti privacy di natura diversa. Anche in questo caso l’accountability è il criterio che deve ispirare le nostre scelte.
La violazione della regola dell’opt-in, così come la GDPR e sanzioni: ecco le violazioni più frequenti contestate dalle Autorità espone a sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.
Articolo Ripreso da: Agenda Digitale.EU