Tempo di lettura stimato: 4'
Come fare marketing diretto a norma? Come inviare newsletter promozionali in regola? Approfondiamo in questo articolo le regole a cui ogni azienda dovrebbe attenersi. Per farlo, guardiamo a due provvedimenti del Garante per la protezione dei dati che risalgono al 2019 - il caso Pampers (provvedimento n. 130/2019) e il caso Mediaworld (provvedimento n. 133/2019) – e che sono il punto di riferimento per capire come fare marketing, nel rispetto della normativa in materia di protezione dei dati personali.
In particolare, i due casi risultano interessanti rispetto alla gestione del consenso per finalità di marketing. Infatti, molto spesso, i titolari del trattamento, proprio perché non vogliono presentare ai loro clienti o sui loro siti, tre o quattro check-box, decidono di raccogliere un consenso unico. È giusto? È sbagliato?
Ne parliamo in questo articolo, ma prima partiamo da una premessa: non tratteremo la profilazione e i processi decisionali automatizzati. Ci limiteremo a parlare solo di attività di marketing e del consenso legato a queste attività, per esempio, l’invio di una newsletter.
La gestione del consenso per le attività di marketing: due casi esaminati dal Garante
Nel caso Pampers, l’autorità è intervenuta perché la società aveva inviato newsletter promozionali a circa un milione di indirizzi e-mail, raccolti e utilizzati senza un valido consenso, promuovendo una raccolta punti. Per poter partecipare alla raccolta, infatti, i clienti non avevano la possibilità – come richiesto dalla normativa, - di esprimere un consenso libero e specifico per le singole finalità di trattamento. Erano invece obbligati a rilasciare due consensi generici: uno per la società e uno per i marchi collegati.
Il Garante, in questo caso ha ricordato che l'utente deve essere posto nelle condizioni di conoscere quel consenso e sapere esattamente perché lo sta rilasciando. Non ci deve essere confusione.
Nel caso Mediaworld, l’autorità è intervenuta su segnalazione di una cliente che si lamentava di ricevere comunicazioni pubblicitarie via e-mail, nonostante non le fosse stato chiesto il consenso e che si fosse opposta diverse volte. In nuce, senza entrare nel merito di tutti i dettagli del caso, anche nei confronti di questa società, il Garante ha chiarito che sussiste l’obbligo in capo al titolare di acquisire il consenso libero, specifico e inequivocabile dell’interessato in relazione a una o più specifiche finalità.
Attività di marketing: come acquisire il consenso in regola col GDPR
I provvedimenti del Garante chiariscono che il consenso deve essere trasparente e, in particolare, nella gestione del consenso per finalità di marketing, l’autorità richiama le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, ancora vigenti (per quanto compatibili con il GDPR e il rinnovato D.lgs. 196/2003).
Nelle linee guida si puntualizza che: “Va tuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale […]
Al riguardo, il Garante le suddette attività sono funzionali, nella maggior parte dei casi, a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare – sempre di norma – l’acquisizione di un unico consenso”.
Quindi, è richiamato il concetto del cosiddetto consenso unico plurifunzionale, che comprende diverse finalità di marketing: invio di materiale pubblicitario, vendita diretta, di ricerche di mercato. Nel caso Pampers, l’azienda aveva adottato queste linee guida: il primo consenso era richiesto per finalità promozionali, dove, per finalità promozionale e di marketing, erano stati inseriti l'invio di newsletter, l'analisi statistica, i sondaggi di opinione. Quindi la società aveva accomunato indistintamente diverse finalità. Tuttavia, il Garante, nella sua pronuncia, ha chiarito che è sempre preferibile la regola della granularità dei consensi.
Il consenso, dunque, deve essere sia trasparente che granulare.
Gestione dei consensi: consigli del consulente
È chiaro che, per chi si occupa di marketing, inserire tutti i consensi è più complesso, perché chiaramente questo stimola meno l'utente a rilasciare il consenso. Mentre, prevedendo un consenso unico, è molto più probabile che l'utente acconsenta.
Però è molto importante rispettare la granularità del consenso, anche nel marketing. Quindi, se si riesce a specificare bene qual è il trattamento e a fare in modo che l'interessato abbia trasparenza su quel trattamento, l’azienda si sta mettendo nelle condizioni di non dover poi subire un provvedimento per un'eventuale istanza presentata da un utente.
Tuttavia, spesso, i reparti marketing cercano di trovare il modo per ottenere un consenso unico plurifunzionale, accorciando questa procedura di raccolta. Come consulenti, quando siamo chiamati a sorvegliare una campagna di marketing diretto, dobbiamo anche capire, per esempio, se le newsletter riguardano più marchi, se le indagini di mercato riguardano solo un marchio o tutti i marchi della società e se, ad esempio, è necessario creare dei consensi che siano granulari.
L’ultimo assaggio? Nel prossimo articolo!
Quali sono state le sanzioni per attività di marketing più pesanti comminate in Italia?
Puoi aspettare il prossimo articolo o non aspettare affatto e iscriverti ora a Raise Academy per accedere alla formazione completa e aggiornata su GDPR, privacy e cybersecurity.
Raise Academy è l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
