Email marketing & Privacy: come impostare campagne promozionali conformi al GDPR
Nell’era del digitale l’email si conferma come una modalità per fare marketing diretto ancora molto sfruttata dalle aziende, in quanto garantisce risultati molto positivi soprattutto se legata all’utilizzo di attività di profilazione degli utenti.
(Nella foto: l'Avv. Matteo Maria Perlini, Delegato Federprivacy e speaker al Privacy Day Forum 2023)
Ma ogni azienda che intenda creare una campagna promozionale di email marketing compliant con la normativa privacy deve effettuare una valutazione di conformità legale sin dalla raccolta dei dati (sia offline che online), impostando il trattamento nel rispetto dei principi del GDPR e dell’art. 130 del D. Lgs. 196/2003 (Codice Privacy).
Quindi, prima di tutto il titolare del trattamento deve valutare by design che tipo di attività vuole fare, quali dati sono necessari, come trattarli, per quanto tempo e dove conservarli, quali sono i ruoli e le responsabilità di eventuali terzi (con attenzione a quelli stabiliti extra UE), svolgendo - se necessario o ritenuto opportuno - una valutazione di impatto privacy (DPIA).
Successivamente, il titolare deve procedere ad impostare il trattamento by default in modo che sia conforme alle valutazioni preliminari e quindi: chiedere solo i dati strettamente necessari (in questo caso solo il nome e l’email), impostare correttamente i form ed i moduli di contatto, applicare misure che consentono di gestire il trattamento (la revoca del consenso, la cancellazione, l’opposizione, ecc.), predisporre un’informativa idonea e sempre accessibile, applicare una valida base giuridica (consenso, legittimo interesse, soft spam), nominare i responsabili del trattamento, ecc..
Per una corretta configurazione dei ruoli il titolare deve tener conto di quanto affermato in alcuni recenti provvedimenti del Garante italiano secondo cui occorre procedere sulla base della dinamica fattuale che ha caratterizzato il trattamento e del rapporto tra i soggetti in esso coinvolti.
In particolare, per il Garante:
- il committente di una campagna di email marketing è titolare del trattamento se ha definito la finalità ed i mezzi essenziali del trattamento, se ha scelto il fornitore e se gli ha fornito le istruzioni, indipendentemente dalla qualificazione contrattuale dei ruoli ed anche se non ha accesso ai dati personali trattati dal fornitore;
- il terzo che acquista ed utilizza dati personali dal committente per finalità di marketing anche sue o di terzi è titolare del trattamento se ha stabilito la finalità di detto trattamento, essendo irrilevante la fonte di provenienza dei dati, così come la causa del contratto sottoscritto con il committente.
Il Garante evidenzia come dall’errata qualificazione di un soggetto come responsabile del trattamento derivi conseguentemente la mancata registrazione delle revoche del consenso o delle richieste di opposizione o di cancellazione da parte degli interessati, con il rischio di invio di messaggi promozionali agli stessi in violazione del principio di liceità.
È, poi, fondamentale garantire la trasparenza nei confronti degli interessati, adottando forme appropriate per fornire informazioni sul trattamento in forma concisa, trasparente, intelligibile, con linguaggio semplice e chiaro, completo ed esaustivo, sempre accessibili, eventualmente ricorrendo ad un approccio stratificato.
Quanto alla scelta della base giuridica, il titolare deve privilegiare il consenso (opt-in), che costituisce la regola (art. 130 commi 1 e 2 Codice Privacy) anche nel caso in cui l’email promozionale riguarda persone giuridiche: dovrà essere, quindi, raccolto un consenso libero (vietati i consensi obbligatori o preselezionati ed i dark patterns), specifico (uno per ogni finalità), informato (preventivamente), inequivocabile (non esiste il silenzio-assenso), documentabile (registrando tutte le informazioni e gli aggiornamenti sul consenso), revocabile (sempre, gratuitamente e in modo facile).
L’unica eccezione al consenso per l’invio di mail commerciali risulta essere quella prevista dal Codice Privacy all’art. 130, comma 4: si tratta di una semplificazione da non confondere, a parere di chi scrive, con il legittimo interesse, avendo presupposti e peculiarità che non consentono analogie.
Tema molto delicato è, poi, quello della cessione di banche dati per finalità di marketing:
- dal lato del cedente, se questi tratta dati per finalità di marketing e li vuole cedere deve indicare all’interessato chi sono i destinatari (con riferimento almeno alle categorie economiche o merceologiche) ed ottenere il suo consenso specifico;
- dal lato dell’acquirente, è opportuno fare delle verifiche sul fornitore, documentare il consenso ed informare l’utente.
In ogni caso, è necessario documentare i consensi in modo centralizzato, avvalendosi di software per registrare il rilascio del consenso ed i successivi aggiornamenti (revoca, cancellazione dal database): è un aspetto molto importante, in quanto la perdita di tali informazioni (ad esempio in caso di sostituzione del software) non consentirebbe al titolare del trattamento di rendicontare tutte le attività di gestione dei consensi.
Infine, per quanto riguarda la conservazione dei dati, il Garante, mutando il proprio orientamento risalente al provvedimento del 24/02/2005 (24 mesi per finalità di marketing e 12 mesi per la profilazione), ha recentemente affermato che il consenso è valido fino alla sua revoca e che il tempo di conservazione è rimesso alla scelta del titolare del trattamento secondo il principio di accountability.
Da ultimo, non va dimenticato che la violazione dell’art. 130 del Codice Privacy, oltre che essere oggetto di sanzioni amministrative, può configurare anche il reato di trattamento illecito di dati (art. 167 Codice Privacy).
Nel video: lo speech di Matteo Maria Perlini al Privacy Day Forum 2023. Sotto le slides dell'intervento)
