Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Digital marketing a norma di Gdpr, ecco come fare (su web e social)

Quale base giuridica applicare per trattare i dati personali raccolti per finalità di marketing? Come fare web e social marketing per promuovere il brand nel pieno rispetto della normativa sulla privacy post Gpdr? I consigli

27 Feb 2020
Clotilde Bettini

Avvocato, Deloitte Legal - Studio Associato


La maggior parte delle realtà aziendali basa il successo del proprio business sugli investimenti effettuati nel marketing e nel digital marketing, anche e soprattutto attraverso l’utilizzo dei social network. In questo modo l’azienda ha la possibilità di sponsorizzare servizi e prodotti raggiungendo un numero significativo di utenti. Per porre in essere tali attività, il Titolare è tenuto al rispetto di determinate regole imposte dalla normativa sulla privacy. Vediamo quali.

Digital marketing e privacy

L’utilizzo dei dati personali degli interessati per finalità di marketing prevede diversi limiti, dettati in primis dalle “Linee Guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, unitamente alle Linee Guida in materia di trattamento di dati personali per profilazione online del 19 marzo 2015 e ai provvedimenti del Garante per la protezione dei dati personali relativi all’invio di mail promozionali.

Il Regolamento Europeo 679/2016 non sviluppa l’argomento in maniera approfondita, ma menziona il trattamento di dati personali per finalità di marketing in relazione alla tutela dei dati personali dei minori (Cons. 38), al diritto di opposizione dell’interessato qualora i suoi dati siano trattati per finalità di marketing diretto (Cons. 70, art. 21) e all’interesse legittimo quale base giuridica per il trattamento dei dati personali per finalità di marketing diretto (Cons. 47).

Quale base giuridica applicare per trattare i dati personali raccolti per finalità di marketing?

In particolare, il Considerando 47 ha creato non pochi problemi interpretativi sull’applicazione della corretta base giuridica per la raccolta dei dati da parte delle aziende che svolgono attività con finalità di marketing.

A tal proposito, infatti, non è possibile applicare in maniera automatica il legittimo interesse quale base giuridica per il trattamento dei dati raccolti per finalità di marketing. Il Considerando 47 deve trovare un equilibrio con l’art. 6 del Regolamento Europeo relativo alla liceità del trattamento, il quale prevede al comma 1 lettera f) la sussistenza di un legittimo interesse del Titolare del trattamento a condizione che non prevalgano gli interessi o i diritti dell’interessato. L’applicazione del legittimo interesse deve avvenire in base a una valutazione relativa al bilanciamento di tali interessi effettuata dal Titolare del trattamento, il quale, infatti, deve specificare all’interno dell’informativa ex art. 13 GDPR quale sia il legittimo interesse perseguito. L’applicazione automatica del legittimo interesse per il trattamento dei dati utilizzati per finalità di marketing sembrerebbe in contrasto anche con l’art. 5 GDPR e ai principi di trasparenza e adeguatezza applicabili al trattamento di dati personali.

Come vedremo in seguito, in alternativa al legittimo interesse, la base giuridica da applicare al trattamento di dati personali per finalità di marketing è il consenso dell’interessato.

Web marketing

Il web marketing è una forma di digital marketing utilizzata non solo per pubblicizzare prodotti e servizi, ma anche per porre in essere analisi di mercato, pianificazioni delle strategie di vendita e distribuzione, gestione dei reclami da parte degli utenti e raccolta dei “Lead”, i dati di contatto dei nuovi potenziali clienti (i “prospect”) attraverso le cosiddette attività di Lead Generation.

A tal fine, l’azienda deve possedere e gestire adeguatamente un sito web efficiente ed efficace, unitamente alla promozione e pubblicità dell’azienda stessa o di un brand attraverso i social network. Tale attività deve essere compiuta nel pieno rispetto della normativa sulla privacy e per questo motivo coloro che si occupano della gestione del sito web e delle attività di marketing devono essere adeguatamente istruiti da parte del Titolare, il quale deve premurarsi di organizzare corsi di formazione sia nei confronti del personale interno, sia nei confronti delle agenzie digital che agiscono quali Responsabili del trattamento.

Tale premura è dovuta al fatto che i dati personali dell’interessato disponibili su Internet e sui social network, come gli indirizzi email, non possono essere utilizzati per inviare comunicazioni promozionali senza il consenso dell’interessato (nonostante siano stati resi pubblici dallo stesso utente).

Il trattamento sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall’interessato un consenso preventivo, specifico, libero e documentato ai sensi dell´art. 130, commi 1 e 2, del D. Lgs. 196/2003.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Il trattamento dei dati personali per finalità di marketing diretto, ad esempio, presuppone il consenso esplicito e specifico dell’utente. Il caso più comune è l’invio delle newsletter a contenuto promozionale, per il quale deve essere raccolto il consenso esplicito dell’interessato e deve sempre essere data la possibilità a quest’ultimo di esercitare, in qualsiasi momento, l’opzione di opt-out, ad esempio cliccando sul tasto “Unsuscribe”.

Se i dati personali vengono raccolti per una finalità ulteriore rispetto alla finalità di marketing diretto, come ad esempio per finalità di profilazione dell’utente, tale finalità deve essere descritta chiaramente all’interno dell’informativa e deve essere richiesto un consenso specifico e separato.

La lead generation

La stessa questione si pone nei confronti delle attività di lead generation effettuate sia attraverso il sito web sia presso i punti vendita o di merchandising. La lead generation consiste in tutte quelle iniziative con finalità di marketing che coinvolgono direttamente l’utente attraverso attività interattive o che attraggano la sua attenzione sul brand/azienda sia attraverso il sito web sia presso punti vendita o stand. Il Titolare ha così la possibilità di raccogliere i dati di contatto dell’interessato, il quale da “lead” potrebbe diventare “prospect”. Attraverso il sito o le hostess/stuart presenti sul punto vendita, il Titolare deve fornire all’interessato idonea informativa, raccogliere il consenso al trattamento dei suoi dati personali e dare all’interessato la possibilità di rifiutare in qualsiasi momento futuri contatti commerciali. Il fine ultimo delle attività di lead generation è quello di creare un database di potenziali clienti, i quali hanno dimostrato un determinato interesse nei confronti di un prodotto o servizio e veicolare in questo modo le comunicazioni commerciali e promozionali nei loro confronti.

Le attività di marketing svolte attraverso i social

Le attività di marketing svolte attraverso l’utilizzo dei social network permettono all’azienda di interagire con un numero significativo di utenti. Tali attività, però, non possono prevedere l’invio di comunicazioni promozionali attraverso la posta privata o la pubblicazione di messaggi promozionali sulla bacheca del social network dell’utente.

Le Linee Guida in materia di attività promozionali e contrasto allo spam del 4 Luglio 2013 si esprimono molto chiaramente sul punto. L’invio di comunicazioni promozionali riguardanti un determinato marchio o prodotto, effettuato dalla relativa pagina social dell’impresa, può considerarsi lecito se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l’interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa.

Caso pratico: ripostare le foto dell’utente

A partire dal principio sopra esposto della manifestazione inequivocabile del consenso da parte dell’utente, l’azienda ha la possibilità di «ripostare» le foto dei suoi fan/follower senza chiedere nuovamente un consenso esplicito e separato. Un esempio pratico sono i concorsi indetti sui social network: un’azienda indice un contest chiedendo agli utenti di postare le loro foto con il prodotto e un determinato hashtag. Le foto migliori verranno ripubblicate sulla pagina ufficiale all’interno del social network. In questo caso l’interessato pubblica una foto sul suo profilo con un hashtag particolare con l’intenzione di partecipare al contest e di vedere, quindi, ripubblicata la sua foto sul profilo dell’azienda.

In caso contrario, se l’interessato pubblica di sua sponte una foto con l’hashtag e il nome di un brand o di un prodotto senza che sia stato indetto un contest o un’iniziativa marketing di altro genere da parte dell’azienda, quest’ultima non è legittimata a ripubblicare la foto del fan/follower sulla propria pagina social ufficiale. L’azienda dovrà contattare l’utente e chiedere il consenso alla ripubblicazione dell’immagine. In caso di non risposta da parte del fan/follower non se ne può desumere un silenzio-assenso e la foto non potrà essere ripubblicata.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3