Il GDPR attribuisce grande rilevanza alla profilazione, ma meno spazio al marketing poiché ciò che più preoccupa il legislatore comunitario è l’attività di profilazione condotta con l’ausilio di strumenti automatici. L’attività di marketing non viene certo considerata di per sé un’attività illegittima, ma può diventare oggetto di particolare interesse dal punto di vista privacy (vedi ad esempio l’art. 21 del GDPR).
Per poter partecipare ad un programma di raccolta punti e usufruire così di piccoli vantaggi il cliente non deve essere obbligato ad esprimere il consenso a ricevere pubblicità. Il principio è stato ribadito dal Garante privacy che ha vietato a una nota marca di pannolini l’ulteriore trattamento per finalità promozionali dei dati di oltre un milione e mezzo di persone, acquisiti in modo illecito mediante il form “raccolta punti” del sito della società.
Privacy ad hoc per il marketing. Il termine di conservazione dei dati, da usare per le campagne promozionali, può essere deciso dalle aziende, in base alle esigenze oggettive di mantenimento ed espansione della base di clientela. Questo, però, nel rispetto dell'obbligo di acquisizione del consenso, che rappresenta la regola per trattare in maniera lecita i dati personali per scopi di marketing. I casi di soft spam (marketing senza consenso) sono, infatti, l'eccezione, anche se sono comunque un'opzione consolidata nella legge e nella prassi.
Privacy su misura per il marketing. Le imprese possono stabilire per quanto tempo tenere per scopi di marketing e di profilazione i dati personali raccolti con il consenso dell'interessato. È quanto discende dal provvedimento del Garante per la protezione dei dati personali n. 181 del 15 ottobre 2020. Con l'avvento del Regolamento Ue 2016/679 (o Gdpr, operativo dal 2018) può considerarsi superato il provvedimento, sempre del Garante, del 24 febbraio 2005 (sulle Fidelity card), che fissava il limite dei due anni per tenere i dati per scopi di marketing profilato e il limite di un anno per scopi di marketing profilato.
Il Garante privacy ha sanzionato una società che offre servizi di digital marketing con una multa di 300mila euro per aver trattato in modo illecito dati personali a fini di marketing. La digital company veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle società sue clienti (tutte di medio-grande dimensione e alcune molto conosciute) per effettuare campagne promozionali via sms, email e attraverso chiamate automatizzate. Il database era costituito da dati raccolti direttamente dalla società attraverso i propri portali online (di notizie, concorsi a premi, curiosità, ricette di cucina), ma anche da informazioni personali acquistate da broker di dati.
L'Autorità Garante per la protezione dei dati personali e la Corte di Cassazione si sono recentemente pronunciate a tutela di consumatori e utenti, i cui dati personali sono spesso oggetto di campagne promozionali di marketing. Gli operatori del settore sono tenuti ad osservare molteplici norme per svolgere attività di marketing, da ultimo quelle derivanti dalla nuova disciplina in materia di Registro delle opposizioni. Ci sono, tuttavia, delle modalità, osservando le quali gli operatori possono promuovere, legittimamente, i propri servizi e prodotti.
Il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.
Il Garante ha vietato a una società che offre servizi di comparazione sul proprio sito web (mutui, assicurazioni, luce, gas, telefonia) il trattamento, per finalità di marketing e di vendita ad altre aziende, dei dati raccolti attraverso un pop up senza il necessario consenso degli utenti. L’intervento del Garante ha fatto seguito ad alcune segnalazioni, riguardanti - a seconda dei casi - comunicazioni promozionali indesiderate ricevute dalla stessa società per telefono o per email, oppure telefonate promozionali indesiderate, su utenze fisse e mobili, effettuate per conto di società dei settori energetico e delle telecomunicazioni.
La piattaforma di shopping online che obbliga i clienti a registrarsi come utenti sul sito anche per fare anche un singolo acquisto viola il GDPR. Lo evidenzia quanto accaduto a Verkkokauppa.com, azienda finlandese che vende i suoi prodotti sia con consegna a domicilio sia attraverso 4 megastore e oltre 2500 punti di ritiro, che fattura oltre 500 milioni di euro l’anno.
Le comunicazioni effettuate e ricevute all’interno di un social network sono finalizzate unicamente a quanto stabilito nelle condizioni di utilizzo del servizio. Lo ha ribadito il Garante per la privacy intervenendo su un’agenzia immobiliare per aver proposto i suoi servizi alla proprietaria di un immobile utilizzando i contatti di LinkedIn. Questa piattaforma infatti ha come finalità lo scambio di contatti al fine di fornire opportunità di lavoro e non prevede che gli utenti del social network possano utilizzare la piattaforma per inviare messaggi ad altri utenti con lo scopo di vendere prodotti o servizi, anche se in ciò consiste la propria attività lavorativa.
