GDPR vademecum per una corretta campagna pubblicitaria

GDPR

GDPR e la protezione dei dati nelle attività di marketing delle aziende

Con l’entrata in vigore del GDPR sono state introdotte regole stringenti in tema di pubblicità, proprio per questa ragione molte aziende sono state sanzionate dai Garanti europei. Scopriamo quali sono gli accorgimenti da seguire

Tra le attività di marketing più sanzionate dai Garanti europei, per violazione dei principi sanciti dal GDPR, c’è quella che avviene attraverso le cosiddette mailing list. Nel corso degli anni, le aziende per svolgere la propria attività di marketing hanno raccolto e conservato una quantità enorme di dati personali (nomi, cognomi, indirizzi mail). Ma come possono essere usati questi dati? Marco Gentili, Consulente GDPR Privacy & DPO, ICT & Software selector, ha redato una check-list dei comportamenti utili da seguire.

La fonte

Il primo problema da affrontare, per evitare sanzioni, è accertare la fonte da cui provengano le informazioni. Ci sono diversi modi attraverso i quali è possibile acquisire i dati di un soggetto ad esempio: lo scambio di biglietti da visita; eventi e fiere; consumatori o potenziali clienti che hanno manifestato interesse verso i prodotti e/o servizi dell’azienda; banche dati a pagamento; elenchi pubblici (come INIPEC l’indice nazionale degli indirizzi di posta elettronica certificata di professionisti e imprese); indirizzi trovati su Internet e infine quelli rilasciati all’atto di iscrizione al sito web aziendale.

I modi di acquisizione precedentemente elencati sono tutti diversi tra loro, in sostanza però, ai sensi  del Regolamento europeo sulla privacy, per poter utilizzare i dati personali di un soggetto a fini commerciali è necessario il rilascio di un esplicito ed inequivocabile consenso.

GDPR: consenso ed informativa privacy

Un consenso validamente espresso passa necessariamente da una corretta informativa privacy. L’art. 13 del GDPR, in tal senso, prevede espressamente che l’informativa debba essere chiara e comprensibile e debba contenere le seguenti informazioni: l’identità e i dati di contatto del titolare del trattamento e quelli del responsabile della protezione dei dati; le finalità della raccolta nonché le modalità di trattamento nonché il periodo di conservazione degli stessi; gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; l’intenzione del titolare di trasferire dati personali a un paese terzo o a un’organizzazione internazionale; l’elenco dei diritti spettanti all’interessato tra cui: il diritto all’accesso ai dati personali, la rettifica o la cancellazione degli stessi, diritto alla limitazione del trattamento, il diritto di proporre reclamo a un’autorità di controllo. L’informativa è obbligatoria ogni qualvolta per il trattamento sia necessario il rilascio del consenso dell’interessato.

Per essere valido, quindi, il consenso deve essere informato, rilasciato in modo esplicito e inequivocabile oltre ad essere liberamente prestato. Quest’ultimo è un requisito molto importante, in quanto stabilisce che in nessun caso, l’azienda potrà sottoporre la prestazione di un servizio o la vendita di un prodotto alla condizione che l’interessato debba prestare il proprio consenso all’invio di materiale pubblicitario. In questo caso il consenso non sarà validamente espresso e conseguentemente i dati personali non potranno essere utilizzati.

GDPR

GDPR, regole stringenti in tema di pubblicità

Conservazione e protezione dei dati

La durata del trattamento e la conservazione dei dati devono essere espressamente indicate nell’informativa privacy. Fermo restando, il principio generale, che i dati ottenuti possono essere utilizzati fino al momento della revoca del consenso o nel momento in cui sono raggiunte le finalità per le quali sono stati raccolti. Nei casi in cui, invece, i dati si riferiscano a un soggetto che solo occasionalmente si sia rivolto a una determinata azienda, la corretta durata di un trattamento si ricava dai pareri e dalle Linee guida dei Garanti Europei in base ai quali, l’azienda deve cessare l’inoltro di comunicazioni e invio di promozioni passati 24 mesi dall’ultima iterazione con il cliente (acquisto, richiesta preventivi e/o informazioni ecc…).

Infine, in altre ipotesi i termini per la conservazione dei dati sono previsti esplicitamente dalle normative di settore, ad esempio: per i dati amministrativi e fiscali la legge prevede la conservazione degli stessi per un periodo di 10 anni.

Per quanto concerne il profilo della sicurezza è opportuno ricordare che il GDPR prevede sanzioni importanti nel caso di furto o distruzione dei dati personali dei propri clienti. Ogni azienda, pertanto, dovrebbe affidarsi ad esperti di cyber-security che possano implementare le misure di sicurezza come ad esempio: l’istallazione di sistemi antintrusione di firewall e backup collaudati studiati in funzione dell’analisi dei rischi fatta a monte.

In conclusione, per evitare sanzioni i titolari di trattamento dovrebbero sempre controllare tutti gli aspetti sopraelencati o affidarsi ad aziende leader nel settore che li aiutino in tale compito.

 

Benedetta Greco