a cura di ICAF-Privacy – Oggetto di particolare interesse per il GDPR-Regolamento Europeo 679-2016- è il direct marketing che è un insieme di tecniche di marketing attraverso le quali aziende comunicano direttamente con clienti.
Gli strumenti di promozione e comunicazione di mkt più utilizzati sono:
– promozione commerciale a mezzo di incaricati alla vendita diretta;
– promozione telefonica, ovvero telemarketing via telefono fisso o mobile;
– campagne pubblicitarie sui Social Network;
– campagne pubblicitarie su siti internet;
– comunicazioni commerciali via posta cartacea (direct mail);
– comunicazioni commerciali via posta elettronica (email marketing);
– comunicazioni commerciali via cellulare (mobile marketing);
– coupon (tagliandi di offerte, omaggi o sconti) inseriti in annunci stampa o siti internet;
1)Adempimenti
Innanzitutto sarà sufficiente fornire una comunicazione chiara e trasparente circa la possibilità di esprimere il proprio diniego, sia in fase di raccolta dei dati sia successivamente potendosi opporre, in qualsiasi momento, alle operazioni di trattamento per finalità di marketing diretto ai sensi dell’articolo 21 del GDPR.
Sino ad oggi l ambito è stato disciplinato dall’articolo 130 del D.Lgs. 196/2003 (cd. “Codice Privacy”) e dai provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali che hanno stabilito che il consensoera necessario per comunicazioni promozionali e pubblicitarie inviate attraverso strumenti automatizzati (e-mail, sms, mms, fax e telefonate automatizzate senza operatore), mentre una deroga al consenso valeva per comunicazioni di marketing effettuate mediante strumenti non automatizzati (posta cartacea e telefonate con operatore) qualora i dati vengano estratti da pubblici elenchi.
Ora il Considerando 38, 47 e 70 del GDPR introduce un presupposto per cui, in presenza di giustificati legittimi interessi di marketing e di una adeguata informativa, nel perseguimento della finalità di marketing diretto il c.d. meccanismo di “opt-out” diventa la regola. Ciò significa che, sulla base giuridica di un giustificato legittimo interesse del titolare del trattamento, non risulta piu necessario richiedere uno specifico consenso da parte dell’interessato affinché quest’ultimo possa essere legittimo destinatario di comunicazioni commerciali dirette. Ciò che sarà invece sufficiente è fornire una comunicazione chiara e trasparente circa la possibilità di esprimere il proprio diniego, sia in fase di raccolta dei dati sia successivamente potendosi opporre, in qualsiasi momento, alle operazioni di trattamento per finalità di marketing diretto ai sensi dell’articolo 21 del GDPR.
Rispetto al contesto di cui sopra, con l’entrata in vigore del GDPR, il tema del marketing diretto dovrà quindi essere affrontato con un diverso approccio all’interno dell’informativa resa agli interessati ai sensi dell’articolo 13 del GDPR ossia indicando tutte le informazioni e valutazioni effettuate dal titolare del trattamento relativamente al perseguimento di un proprio legittimo interesse finalizzato allo svolgimento di attività di marketing diretto. Ciò comporta che il modulo di raccolta del consenso non conterrà più una richiesta di consenso per il marketing diretto bensì la semplice possibilità di opporsi sin da subito al trattamento dei propri dati per tale finalità.
2)Internet
L’uso corretto di nuove tecnologie come Internet e la posta elettronica per condurre una campagna di marketing rappresenta la principale preoccupazione dell’Autorità Garante che è intervenuta in materia con diversi provvedimenti.
Si pensi in particolare alle Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 oppure al provvedimento sul Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto del 15 maggio 2013.
Molti principi contenuti in questi provvedimenti sono ancora validi come la necessità di un’informativa chiara e completa e di un consenso preventivo che sia libero, informato, specifico e documentato.
Ma gli aspetti più interessanti riguardano l’utilizzo della rete dove diversi sono gli aspetti da prendere in considerazione.
3)Utilizzo di liste per l’invio di più mail o messaggi (vedi whatsapp, messenger, ecc.)
I soggetti che si avvalgono di tale modalità per finalità di marketing devono rispettare principi e norme proprie del quadro normativo comunitario.
Peraltro, nel caso dell’invio di e-mail, chi si avvale di liste di indirizzi talvolta lascia in chiaro gli indirizzi dei destinatari del messaggio promozionale, che quindi possono venire a conoscenza degli altri destinatari ed eventualmente utilizzare i loro indirizzi per i fini più vari.
L’attività promozionale effettuata con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari della promozione.
Risulta necessario pertanto mantenere riservati gli indirizzi magari utilizzando la funzione “ccn” (ossia l’inoltro per conoscenza in “copia conoscenza nascosta”), gli indirizzi di posta utilizzati per l’invio della promozione.
4)Social spam – messaggi promozionali inviati agli utenti dei social network (come Facebook, Skype, WhatsApp, Viber, Messenger)
II c.d. “social spam” consiste in un insieme di attività mediante le quali lo spammer veicola messaggi e link attraverso le reti sociali online.
Ciò si inquadra nel problema dell’indiscriminato e spesso inconsapevole impiego dei propri dati personali da parte degli utenti nell’ambito dei social network.
Riguardo a tale tipo di spam, si fa presente che i messaggi promozionali inviati agli utenti dei social network (come Facebook), in privato come pubblicamente sulla loro bacheca virtuale, sono sottoposti naturalmente alla disciplina comunitaria cioè al consenso.
La medesima disciplina è applicabile ai messaggi promozionali inviati utilizzando strumenti o servizi sempre più diffusi tipo Skype, WhatsApp, Viber, Messenger, etc.
Per questi ultimi strumenti, si ricorda il rischio di proliferazione dello spam dato che tali strumenti talora comportano la condivisione indifferenziata di tutti i dati personali presenti negli smartphone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet) o l’accesso della società che li fornisce alla lista dei contatti o alla rubrica presente sul telefono mobile dell’utente per reperire e/o conservare tali dati personali.
Il rischio di ricevere spam, e in particolare il c.d. “spam mirato”, basato sulla profilazione degli utenti, si potrebbe aggravare in considerazione della tendenza dei gestori delle piattaforme tecnologiche a policy privacy sempre più semplificate che, unificando i profili sui diversi servizi resi dalle medesime piattaforme, consentono di pervenire ad una conoscenza sempre più approfondita degli utenti, a cui indirizzare messaggi diversificati sulla base dei gusti rilevabili su molteplici applicazioni.
Esempi
Una prima ipotesi è quella in cui l’utente riceva, in privato, in bacheca o nel suo indirizzo di posta e-mail collegato al suo profilo social, un determinato messaggio promozionale relativo a uno specifico prodotto o servizio da un’impresa che abbia tratto i dati personali del destinatario dal profilo del social network al quale egli è iscritto.
In questo caso il trattamento, in assenza di una specifica e dettagliata informativa, sarà da considerarsi illecito, a meno che il mittente non dimostri di aver acquisito dall’interessato un consenso preventivo, specifico, libero e documentato ai sensi di quanto prescritto dal GDPR.
Una seconda ipotesi è quella in cui l’utente sia diventato “fan” della pagina di una determinata impresa o società oppure si sia iscritto a un “gruppo“ di follower di un determinato marchio, personaggio, prodotto o servizio (decidendo così di “seguirne” le relative vicende, novità o commenti) e successivamente riceva messaggi pubblicitari concernenti i suddetti elementi.
In questo caso l’invio di comunicazioni promozionali riguardanti un determinato marchio, prodotto o servizio, effettuato dall’impresa a cui fa riferimento la relativa pagina, si considera ora illecita anche se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, puo evincersi in modo inequivocabile che l’interessato ha in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa.
5)Marketing Automation
Il temine “marketing automation” viene utilizzato per indicare i processi e le tecnologie che permettono ad un’azienda di rendere automatiche specifiche comunicazioni di marketing (anche basate sui comportamenti degli utenti) convertendo in clienti nuovi contatti, risparmiando tempo e migliorando l’efficienza e la produttività.
Con poco sforzo, l’azienda può impostare il suo piano di comunicazione in base a tempi e obiettivi specifici.
Si parte dalle basi, ad esempio si può stabilire che venga inviata un’email di ringraziamento ad ogni nuovo contatto che scrive su di un form; o che vengano inviati gli auguri ogni anno ad un cliente, o ancora che ad una determinata navigazione del contatto attraverso un web site, corrisponda una comunicazione via email specifica da parte dell’azienda.
. Tuttavia l’adozione di un sistema di marketing automation è in grado di creare una miniera di conoscenza del consumatore con inevitabili conseguenze in termini di privacy.
Per creare una strategia di marketing automation è necessario integrare il kit documentale privacy.
La strategia più efficace per affrontare un progetto di marketing automation si riconduce a :
– Definizione degli obiettivi
– Gestire i contatti
– Nutrire i contatti
– Misurare il ritorno d’investimento.
Avv. Anna Clementi
ICAF – Privacy – Comitato Scientifico
IL GIORNO 06 OTTOBRE 2018 AVRA’ INIZIO IL CORSO ABILITANTE PRIVACY-DPO PRESSO ICAF – MILANO, CON POSSIBILITA’ DI PARTECIPARE IN AULA O WEBINAR.
INFO E ISCRIZIONI
formazione@istitutoicaf.it – 02.67.07.18.77
Il corso mira ad un formazione di alto livello contenutistico e qualitativo adeguata all’ottenimento della certificazione del professionista che vorrà operare nel settore della consulenza privacy ad ogni livello o ad acquisire per l’utente / impresa adeguate competenze per poter adempiere agli obblighi introdotti dal nuovo GDPR evitando contenziosi e sanzioni.
Fra i docenti annoveriamo autorevoli relatori, tra cui componenti dell’Autorità Garante per la protezione dei dati personali e figure apicali di note ed importanti società di importanza nazionale e internazionale.
Verranno affrontate le principali novità e i contenuti del Decreto di Adeguamento alla normativa italiana al GDPR approvato in via definitiva l’08/08/2018 e i relativi adempimenti per imprese e professionisti.
Sintesi D.lgs. 101/2018
Il Dpo fra compiti e funzioni
Cosa vuol dire privacy nei social media
Il Decreto 10 agosto 2018 n.101 di adeguamento al Gdpr è uscito in Gazzetta Ufficiale… ecco cosa cambia!