Marketing e privacy: come acquisire e gestire banche dati clienti in modo conforme al GDPR

Le imprese, per promuovere i loro prodotti e servizi, sviluppano campagne di marketing che prevedono, tra l’altro, anche l’acquisto e l’utilizzo di banche dati contenenti informazioni personali dei “prospects”, coloro che “in prospettiva” potrebbero diventare clienti. Ecco un vademecum per eseguire gli specifici trattamenti in modo conforme ai principi di protezione dei dati personali. Per promuovere i loro prodotti e servizi, le imprese fanno spesso ricorso a campagne di marketing finalizzate a conquistare l’interesse e la fiducia dei consumatori, i quali vengono sistematicamente segmentati in leads e prospects. I primi sono persone che hanno manifestato un certo livello di interesse per il prodotto o il servizio offerto, ma non hanno fornito elementi utili a determinare se possano trarre vantaggio da quanto viene loro offerto. I secondi, invece, sono contatti qualificati che, avendo manifestato un concreto ed effettivo interesse per il prodotto/servizio promosso, rappresentano potenziali clienti dell’impresa. Talvolta, il prospect manifesta il suo effettivo interesse dando il proprio consenso a ricevere offerte promozionali, tramite i suoi punti di contatto.

Come predisporre correttamente una banca dati di “prospects”

Come chiarito dal Garante, le imprese che, come titolari del trattamento, intendono raccogliere i dati personali dei cc.dd. prospects, anche per venderli ad altre imprese, per le finalità promozionali di queste ultime, devono:

1. previamente rilasciare ai medesimi un´idonea informativa, ai sensi dell´art. 13 GDPR, che individui, oltre agli altri elementi indicati nella norma, anche ciascuna delle imprese che acquisteranno la Banca Dati o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza delle stesse (ad esempio: “finanza”, editoria”, “abbigliamento”);
2. acquisire, poi, un consenso specifico per la vendita (comunicazione/cessione) dei dati personali ad imprese “terze” per fini di marketing.

Regime di semplificazione per le imprese che acquistano banche dati

Qualora il prospect rilasci il suddetto consenso per la comunicazione (vendita) ad imprese “terze” acquirenti, queste ultime, per proporgli i loro prodotti o servizi, non dovranno acquisire da lui un nuovo consenso, se la proposta commerciale viene presentata con le modalità automatizzate e per le finalità indicate nell’art. 130, comma 1 e 2 del codice privacy, i.e. mediante posta elettronica, SMS o mediante l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore, al fine di inviare materiale pubblicitario o realizzare vendite dirette o ancora, per eseguire ricerche di mercato o fornire comunicazioni commerciali. Attenzione: le imprese che acquistano il database non possono avvalersi del citato regime di semplificazione, per le attività promozionali da loro effettuate mediante contatti con operatore umano. Nel corso di tali contatti promozionali devono fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali acquisiti (in modo tale che ciascun interessato/prospect possa rivolgersi anche all’impresa che li ha raccolti e venduti/comunicati/ceduti/ per opporsi al trattamento) e solo dopo aver acquisito lo specifico consenso potrà procedere ad effettuare la proposta promozionale. Ciò, peraltro, è quanto si ricava dal combinato disposto degli artt. 6, 7 e 14, par. 3, lett. b), del GDPR.

Esempi concreti ed ulteriori adempimenti

Potrebbe accadere che, al momento della raccolta dei dati, le imprese che acquisteranno la banca dati, siano state già individuate singolarmente e siano stati forniti al prospect anche gli altri elementi previsti all´art. 13 del GDPR relativi al trattamento che verrà da queste svolto. In questo caso, non sarà necessario che le imprese acquirenti rilascino, poi, ai prospects un´ulteriore informativa in quanto, come specificato all´art. 13, paragrafo 4 del GDPR non vanno fornite le informazioni, se e nella misura in cui l’interessato già ne abbia la disponibilità. Laddove, invece, la richiesta di consenso non sia accompagnata da un´informativa con tali requisiti, le imprese acquirenti, in applicazione dell’art. 14 del GDPR dovranno inviare ai medesimi prospects, le comunicazioni promozionali in questione solo dopo il rilascio di una propria informativa, che contenga anche l´origine dei dati personali a loro venduti (comunicati/ceduti), in modo tale che ciascun interessato/prospect possa eventualmente rivolgersi anche alle imprese che li hanno raccolti e venduti, al fine di opporsi al trattamento ai sensi dell´art. 21 del GDPR. In entrambi i casi, inoltre, le imprese acquirenti dovranno fornire al prospect un idoneo recapito – come prescritto dall’130, comma 5 del codice privacy – presso il quale poter esercitare utilmente i diritti privacy ai sensi degli artt. 15-22 del GDPR e dovranno assicurare al medesimo la possibilità di avvalersi, a tal fine, dello stesso canale comunicativo utilizzato per l´invio delle comunicazioni promozionali e comunque di uno strumento quanto più possibile agevole, rapido, economico ed efficace (vds. al riguardo OPINION WP90 del 27 febbraio 2004). Così, ad esempio, se le aziende acquirenti intendono inviare e-mail pubblicitarie, devono consentire agli interessati/prospects di potersi opporre al trattamento, inviando una e-mail a un indirizzo di posta indicato nell´informativa resa ed eventualmente riservato alla gestione delle problematiche sul trattamento dati sottoposte loro da utenti e clienti. Attenzione: come ha precisato il Garante, le suddette regole devono applicarsi anche quando le imprese che acquisiscono i dati personali dei prospects siano società controllate, controllanti, o comunque a vario titolo collegate con l’impresa che ha raccolto i dati personali degli stessi prospects.

Responsabilità “privacy” e adempimenti per la compliance al GDPR

Dopo aver acquistato la banca dati contenente le informazioni personali dei prospects, l’impresa acquirente deve gestire la “responsabilità generale” di qualsiasi trattamento successivo che intenda eseguire con dette informazioni personali. Utili e preziose indicazioni su come utilizzare correttamente la Banca Dati acquisita, possono essere “recuperate” da alcune Ordinanze-Ingiunzioni del Garante Privacy.

Verifica delle legittimità della comunicazione

Le imprese acquirenti stipulano, con le imprese cedenti, contratti in cui viene espressamente inserita una clausola con la quale le stesse garantiscono di aver effettuato gli adempimenti previsti dalla normativa, compresi quelli relativi al consenso, con possibilità di rivalsa, ove emergano violazioni, nei loro confronti da parte delle imprese acquirenti. Ma questo accorgimento non è sufficiente. Il Garante ha, ormai da lungo tempo, espressamente chiarito che l’acquirente di banche dati deve verificare che “ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario”. Un primo importante adempimento è, quindi, la verifica della legittimità della comunicazione dei dati personali dall’impresa che ha predisposto e venduto la banca dati e quella che l’ha acquistata. Ecco perché quest’ultima ha l’obbligo di verificare che i soggetti inseriti nella banca dati siano soggetti “consensati” e, cosa ancora più importante, che non siano persone che abbiano espresso una inequivoca volontà di opporsi a contatti promozionali relativi a prodotti e servizi dell’impresa acquirente (anche tramite il registro pubblico delle opposizioni). In pratica dovranno essere effettuati e analiticamente documentati controlli a campione sui consensi rilasciati dagli interessati/prospects.

Acquisizione dei consensi per i trattamenti successivi

Nel corso del contatto promozionale, l’impresa che ha acquistato la banca dati dovrà fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali inseriti nella stessa banca dati (in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento) e solo dopo aver acquisito lo specifico consenso potrà procedere ad effettuare la proposta promozionale. Nel corso di detti contatti telefonici, alcuni prospects rilasceranno il loro consenso ed altri potranno anche esprimere la loro opposizione al trattamento. In relazione a tale attività, è necessario documentare la procedura in base alla quale il call-center acquisisce e registra i consensi e le opposizioni espresse dagli interessati/prospects nel corso del contatto telefonico.

Accountability dell’impresa acquirente

Il Garante ha inoltre più volte chiarito che l’intero impianto del GDPR si sostiene sulla accountability del titolare del trattamento. Quindi, le società che acquistano la Banca Dati, in ragione della circostanza che i dati personali dei prospects che, avendo aderito alle offerte promozionali, sono diventati “clienti” e sono pertanto destinati a confluire nei database societari, dovrebbero adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto dei principi e delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del GDPR relative al consenso.   Fonte ufficiale: CyberSecurity360