In questo periodo difficile ci troviamo a navigare sempre più spesso tra siti web e applicazioni: per lo studio, per lavoro oppure, più semplicemente, per comprare un regalo da spedire ai parenti lontani.
Ed è in questi contesti che nasce la necessità di trattare con cautela i dati personali di utenti e clienti, ovvero di tutte quelle persone i cui dati personali sono trattati da un titolare del trattamento o da un responsabile del trattamento.
I dati personali nel contesto del GDPR sono informazioni relative a una persona vivente identificata o identificabile. In altre parole, sono dati che, se raccolti insieme, possono portare alla sua identificazione.
Alcuni esempi includono:
- dati identificativi – nomi, dati genetici, biometrici o inerenti la salute;
- dati web – indirizzi IP, indirizzi email personali, opinioni politiche e orientamento sessuale.
Esempi di dati non personali sono, invece, i numeri di registrazione della società, indirizzi di posta elettronica generici come info@azienda.com e dati anonimi.
Vediamo perciò come andrebbero protetti questi dati a partire dalla normativa GDPR e il loro rapporto con il Remarketing (o Retargeting) ovvero quella forma di pubblicità online indirizzata agli utenti in base alle loro precedenti azioni su Internet, come l’accesso a un sito, la visita di un prodotto e tanto altro.
Tra i tanti esempi possibili sono presenti l’email marketing, l’SMS marketing e la Display advertising, mezzi sempre più usati per coltivare le relazioni online con il proprio (o possibile) pubblico di riferimento.
GDPR: cos’è e a cosa serve
Il GDPR, Regolamento Generale sulla Protezione dei Dati, è il Regolamento Europeo 2016/679 che chiarisce come i dati personali degli utenti debbano essere trattati incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Oltre a prevedere sanzioni fino 20 milioni di euro in caso di violazione dei dati personali, ha introdotto la figura del Data Protection Officer (DPO).
Il DPO è un professionista il cui compito è quello di assicurare che il trattamento dei dati personali da parte delle aziende pubbliche e private avvenga nel rispetto della normativa.
Il suo obiettivo è dunque quello di rafforzare la protezione dei dati, tutelando il diritto delle persone ad avere il controllo totale delle informazioni che le riguardano, e si applica quando:
- la base operativa dell’organizzazione si trova nell’Unione Europea;
- l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
- l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone all’interno del territorio UE e che vi risiedono.
Pertanto non si potrà applicare per i dati aziendali, come il nome e l’indirizzo della società, tuttavia è applicabile per le persone fisiche che lavorano nell’azienda;
Ora che abbiamo fatto una distinzione tra i vari contesti in cui è applicabile il Regolamento, vediamo i requisiti chiave del GDPR e come bisognerebbe adeguarsi.
GDPR: trattamento corretto dei dati
Basi giuridiche del trattamento
Ai sensi del Regolamento, i dati possono essere trattati solo se esiste almeno una base giuridica del trattamento.
Per esempio, esiste quando il trattamento è necessario per:
- l’esecuzione di un contratto al quale l’utente ha aderito;
- l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
- l’esecuzione di un’attività di interesse pubblico.
Oppure, più semplicemente, una base giuridica del trattamento esiste quando l’utente ha prestato il proprio consenso per una o più specifiche finalità.
Consenso
Al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti, che avranno il diritto di ritirare il proprio consenso in qualsiasi momento e con semplici passaggi.
Se il trattamento sarà basato sul consenso, il titolare del trattamento dovrà essere in grado di dimostrare che l’interessato ha dato il proprio consenso al trattamento dei propri dati personali.
Infatti, per ottenere il consenso al trattamento dei dati, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili.
Per queste ragioni, le privacy policy devono essere scritte in maniera leggibile, in modo che gli utenti siano pienamente consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso, che deve essere esplicito e libero.
Letteralmente politica sulla riservatezza, è un’informativa che illustra all’utente la modalità di gestione e trattamento dei suoi dati personali da parte di un’azienda.
Al giorno d’oggi, qualsiasi sito web ha il dovere di mettere la politica sulla privacy.
Una volta presa visione di questa informativa, l’utente sarà poi libero di accettare o rifiutare. In merito, il regolamento vieta espressamente il ricorso a checkbox preselezionate.
Inoltre, tutte le organizzazioni devono essere trasparenti in merito alle finalità della raccolta dei dati.
Registro dei consensi
Affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso è obbligatorio registrare i consensi ottenuti.
Il registro dovrebbe includere:
- chi ha fornito il consenso;
- quando e come è stato acquisito il consenso dell’utente;
- il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
- un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.
Principi applicabili al trattamento dei dati
Una volta ottenuti, i dati dovranno essere:
- trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
- raccolti per finalità determinate, esplicite e legittime;
- adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità;
- esatti e, se necessario, aggiornati;
- conservati sino al conseguimento delle finalità;
- trattati in maniera da garantire un’adeguata sicurezza e protezione dei dati personali.
Ora che conosciamo le caratteristiche principali del regolamento non ci resta che analizzare come le aziende dovrebbero adeguare email e SMS a questo Regolamento.
GDPR: Newsletter e form di iscrizione
L’invio di email o newsletter è uno strumento di marketing conveniente, ma potrebbe costare caro nel caso non venissero osservati gli obblighi di legge.
Poiché i moduli di iscrizione alla newsletter sono strumenti di raccolta dei dati, ai sensi della normativa europea è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio.
L’acquisizione del consenso può configurarsi come un processo in due fasi che comprende informare l’utente e ottenere il consenso esplicito e verificabile attraverso un’azione positiva.
Per informare l’utente delle attività di trattamento effettuate è obbligatorio dotarsi di una privacy policy completa che dovrà essere chiaramente visibile e accessibile per tutto il sito web o app.
Come abbiamo già accennato, oltre a essere espliciti e chiari bisognerà informare l’utente in merito a:
- dati trattati e modalità del trattamento;
- finalità del trattamento;
- servizi di terze parte che vengono utilizzati;
- diritti degli utenti in relazione ai loro dati;
- come vengono gestite le richieste degli utenti in merito all’esercizio dei loro diritti;
- strumenti di comunicazione utilizzati (email ecc.);
- quali misure di sicurezza vengono adottate.
Il consenso, che spesso avviene tramite un form di iscrizione, deve essere prestato liberamente specificando che la registrazione è facoltativa: non è possibile costringere gli utenti a iscriversi alla propria mailing list oppure far sembrare che l’iscrizione sia obbligatoria.
Nei casi in cui si desideri inviare diversi tipi di email ai propri utenti è necessario ottenere un consenso aggiuntivo, specifico per ogni finalità di trattamento.
Ciò è particolarmente importante per il Direct Email Marketing, ovvero per l’invio di email che hanno lo scopo di pubblicizzare direttamente prodotti o servizi.
In un contesto di trasparenza efficace è consigliabile rendere la privacy policy contestualmente disponibile inserendo un link sia al form di iscrizione che nella newsletter stessa.
GDPR: SMS marketing
L’SMS marketing è un’altra delle strategie di pubblicità preferita dalle aziende, grazie anche alla sua semplicità di gestione. Tuttavia, con l’entrata in vigore del GDPR, viene richiesta molta attenzione per il corretto trattamento dati dei clienti.
Di seguito, alcuni consigli da seguire per essere in regola utilizzando anche questa strategia:
- rendi chiara e visibile l’opportunità di scegliere se essere contattati via SMS, email o posta. Anche in questo caso è obbligatorio informare l’utente e ottenere il consenso esplicito;
- semplifica il ritiro dei dettagli personali.
- gestisci i dati personali in modo professionale.
GDPR: Display Advertising
La Display advertising utilizza spazi a pagamento all’interno di un contenuto di interesse dell’utente (come Google oppure Facebook) in cui è possibile promuovere un prodotto o servizio. Attraverso il Remarketing permette di raggiungere gli utenti che hanno già visitato un sito web o utilizzato un’app.
Tuttavia anche l’utilizzo di questa funzione comporta degli obblighi in materia di privacy.
Per rispettare i termini della normativa, infatti, è necessario:
- creare una privacy policy conforme ai requisiti richiesti dal GDPR;
- assicurarsi che l’informativa sulla privacy includa clausole specifiche per le attività di trattamento gestite tramite remarketing (per esempio, con Google Ads);
- nel caso di Google Ads, includere una cookie policy in aggiunta alla presenza di una privacy policy per dare informazioni sull’uso dei cookie;
- gestire i cookie e il loro consenso in conformità alla legge.
Secondo il GDPR l’utilizzo dei cookie può essere considerato un controllo del comportamento, anche quando si tratta di cookie statistici anonimi. Pertanto gestirli significa informare gli utenti sul loro utilizzo, ottenere il consenso esplicito e conservarne la prova. Si raccomanda quindi di bloccare i cookie prima di ottenere il consenso dell’utente.
Infine, ricorda sempre che:
la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale.
Avv. Ignazio Ballai