Uno degli aspetti, su cui il Regolamento Europeo per la Gestione dei Dati Personali (GDPR) può avere un impatto maggiore, riguarda l’attività di mailing al fine informativo e di marketing.
Poiché su questa modalità di trattamento di Dati Personali non vi è nessun specifico articolo del Regolamento che dia indicazioni su come ci si debba comportare, ma è necessario coniugare quanto in generale il GDPR esprime con quanto riportato in precedenti indicazioni delle autorità di controllo (in primis le indicazioni del garante della Privacy), vi sono diverse interpretazioni su alcuni aspetti del marketing e dell’advertising che riguardano soprattutto la necessità di ottenere il consenso da parte degli interessati e che necessariamente imporrà a breve un definitivo parere da parte del garante.
Prima di tutto è bene ricordare alcuni importanti fattori:
- che i dati da salvaguardare sono quelli relativi alle Persone Fisiche e non quelli delle Persone Giuridiche
- che il Regolamento è comunque applicabile solo alle organizzazioni e non ai privati (ad esempio un privato cittadino che invii tramite email o SMS gli auguri di Natale ad una lista di conoscenti, non è soggetto al regolamento)
- che non è necessario alcun tipo di consenso del destinatario (aziendale o persona fisica) se si devono inviare materiale non di marketing, (contratti, fatture, documenti vari)
- che comunque quando si intende creare una campagna di mailing, è bene analizzare se tale campagna possa rientrare nell’alveo del “legittimo interesse” dell’organizzazione (anche se si tratta di situazioni molto particolari) sin modo tale da esentare la stessa dal richiedere un consenso esplicito ai vari destinatari.
Per quanto riguarda il punto 1 vi è un acceso dibattito che riguarda il fatto che quando l’indirizzo email non sia strettamente di tipo aziendale (es Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ), ma coinvolga un indirizzo, comunque aziendale, che però contenga uno specifico riferimento ad una persona fisica (es. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ) o addirittura sia un indirizzo generico (es. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.), se siamo in presenza o meno di una situazione che faccia scattare l’applicazione del GDPR.
L’interpretazione che viene espressa in molti paesi europei, dove vige il GDPR, è che qualunque indirizzo usato per scopi aziendali sia esente dalla necessità di essere sottoposto alla gestione del trattamento dei dati come richiesto dal regolamento, in quanto si tratta di una gestione B2B.
Rimane comunque il fatto che sia necessario valutare quanto il GDPR si integri con la direttiva n. 2002/58/CE che disciplina specificamente il trattamento dei dati personali nel settore delle comunicazioni elettroniche.
Si tenga anche presente che in ogni caso dovrebbe essere applicato il principio di minimizzazione che impone di raccogliere quei dati, di ciascun destinatario interessato, che sono espressamente utili alla comunicazione via email o via SMS, (quindi nome, cognome, ruolo, email aziendale o numero telefonico per SMS).
Se però comunque si vuole stare dalla parte della ragione oltre ogni dubbio, conviene nelle campagne di mail marketing, escludere tutti gli indirizzi email non strettamente aziendali a meno che non vi sia stato espresso consenso dell’interessato.
Per quanto riguarda invece l’invio di newsletter o materiale pubblicitario a persone fisiche (es clienti retail) le casistiche potrebbero essere diverse e quindi diversi i comportamenti da tenere. Vediamo le principali:
- Il consenso esplicito non è necessario per il mailing a clienti già acquisiti se tale materiale riguarda prodotti o servizi simili a quelli che sono già stati forniti al cliente (soft spam) Ad esempio possono essere inviate a clienti acquisiti, proposte di nuove offerte su prodotti oppure servizi più recenti o innovativi rispetto a quelli già acquistati. È necessario ovviamente verificare che il destinatario non abbia espresso la volontà di cancellarsi dalla mailing list. Se questo non si è verificato allora il consenso è considerato concesso implicitamente. Qualora invece la natura dei contenuti di una email sia sostanzialmente differente, allora una nuova manifestazione di consenso si rende necessaria.
- Analogamente, se il trattamento di web mailing si basa sul consenso espresso ai sensi del codice 196/03, tale consenso si ritiene valido se è stato dato in modo conforme alle condizioni del presente regolamento: non è quindi necessario chiederne il rinnovo.
- Se invece il materiale pubblicitario è rivolto a contatti che non sono clienti già acquisiti tale consenso può pervenire soltanto su iniziativa del destinatario, ad esempio attraverso un form sulla pagina web dell’organizzazione che effettua l’invio delle email.
- Se un elenco di riferimenti è stato acquisito da terze parti, è necessario assicurarsi che tutti gli interessati inclusi in tale elenco abbiano acconsentito alle operazioni di mailing che li coinvolgono. Ricordiamo che in caso di violazioni (data breaches) è l’organizzazione la prima responsabile nei confronti della Autorità di controllo e non chi le ha fornito gli indirizzi da utilizzare In qualsiasi caso è auspicabile che sia a livello di informativa generale sulla Privacy che all’interno di ogni singola email sia riportata sempre l’origine degli indirizzi email o dei numeri per SMS utilizzati come destinatari del mailing.
Infine nel caso un interessato, destinatario delle email o degli SMS, intendesse esercitare il diritto alla cancellazione completa dei propri riferimenti dagli elenchi in possesso dell’organizzazione, questa richiesta potrebbe creare problemi all’organizzazione stessa in quanto non avrebbe più traccia del desiderio del destinatario di non ricevere più informazioni e messaggi creando di fatto la possibilità che tale rifermento sia inserito involontariamente in un nuovo elenco.
E’ quindi bene che tale possibilità sia segnalata dall’organizzazione sia all’interno della informativa generale sul proprio sito web, sia nella risposta che viene trasmessa allo specifico interessato che ha richiesto la cancellazione dei propri Dati Personali.