Marketing alla luce del GDPR: quando posso inviare pubblicità?

14/1/19

Marketing alla luce del GDPR: quando posso inviare pubblicità?

Da un punto di vista legale, viviamo in tempi di grande incertezza, in cui importanti cambiamenti normativi e dispersioni caratterizzano molti settori, senza che si faccia il punto. Pertanto, uno dei temi più importanti che stanno subendo una vera rivoluzione, anche mal di testa, è la protezione dei dati e, poiché è anche trasversale a tutti gli ambiti, nessuno può rimanere indifferente. Sappiamo già che dal 25 maggio il famoso Regolamento generale sulla protezione dei dati (RGPD) è diventato applicabile con tutto ciò che significava e con l'ignoranza - anche di chi cerca di dedicarsi, con maggiore o minore fortuna, a questo - delle sue grandi ripercussioni. Sei mesi dopo, sembra che finalmente la nuova legge — Progetto di legge organica sulla protezione dei dati personali e sulla garanzia dei diritti digitali- sta per uscire, poiché è stato approvato all'unanimità dal Congresso il 18 ottobre, in attesa dell'approvazione del Senato; e, da parte sua, l'Agenzia Spagnola per la Protezione dei Dati (AEPD), ha pubblicato il Rapporto sulle politiche sulla privacy e su Internet (Rapporto) in base al suo adattamento al GDPR. È pubblicato allo scopo di formulare raccomandazioni dopo aver condotto un'indagine su diversi settori del suo ambiente online, come il settore assicurativo, l'ospitalità, i trasporti e l'e-commerce. Inoltre, chiarisce o, se del caso, delinea le raccomandazioni che sono già state indicate nelle guide o nei rapporti precedenti. La verità è che sarebbe stato apprezzato se queste linee guida ci fossero state fornite (non 6 mesi fa, ma anche prima), in modo che i consulenti a cui stiamo lavorando per aiutare i nostri clienti ad adattarsi al GDPR, potessero farlo con un criterio più filtrato in conformità con il nostro caro AEPD. Ma, in ogni caso, è apprezzato avere questo tipo di rapporto. Uno dei punti che vorrei sottolineare è lo studio condotto dall'AEPD sulla legittimità del marketing diretto, più o meno, quando la pubblicità viene effettuata direttamente con i clienti per aumentare le vendite, derivato dall'articolo 6.1.f in relazione al considerando 47 del RGPD che afferma che l'interesse legittimo di un titolare del trattamento «potrebbe verificarsi, ad esempio, quando esiste una relazione pertinente e appropriata tra l'interessato e il responsabile del trattamento, come nelle situazioni in cui l'interessato è un cliente o è al servizio del responsabile del trattamento» e che «il trattamento dei dati personali per finalità di marketing diretto può essere considerato effettuato per legittimo interesse». In altre parole, queste disposizioni aprono la possibilità per un'azienda di inviare pubblicità ai propri clienti senza la necessità di chiedere il consenso. A tal proposito, va ricordato che tra i mezzi con cui un'azienda può rivolgersi ai propri clienti vi sono la posta ordinaria, il telefono, gli sms e la posta elettronica. Per quest'ultimo caso, la posta elettronica, dobbiamo ricordare che non solo dobbiamo tenere conto dell'applicazione della protezione dei dati, ma - tra le altre - delle normative relative al commercio elettronico, rappresentate in Spagna da Legge 34/2002, dell'11 luglio, sui servizi della società dell'informazione e sul commercio elettronico (il noto LSSI). Ebbene, l'AEPD, come ne abbiamo anche indicato molti, collega questo regime del RGPD all'articolo 21 del LSSI, «che richiede che tali comunicazioni siano state richieste o espressamente autorizzate dai destinatari delle stesse, o che 'esiste un precedente rapporto contrattuale, a condizione che il fornitore abbia ottenuto legalmente i dati di contatto del destinatario e li utilizzi per inviare comunicazioni commerciali relative a prodotti o servizi della propria azienda simili a quelli inizialmente contrattati con il cliente«In altre parole, quando un cliente cessa di esserlo, possiamo inviarti pubblicità di ogni tipo via e-mail solo se in precedenza ci hai dato il tuo consenso (e legittimeremo il trattamento con il tuo consenso dell'interessato), oppure inviarti pubblicità solo di «prodotti o servizi della tua azienda simili a quelli inizialmente oggetto del contratto» (basando la legittimità, in questo caso, sull'interesse legittimo). Tuttavia, ricorda che in qualsiasi comunicazione elettronica che effettuiamo a questo proposito, dobbiamo sempre dare al destinatario la possibilità di opporsi alla ricezione. Ma come ho detto prima, la pubblicità diretta non viene effettuata solo via e-mail, ma anche con altri mezzi, come la posta o il telefono. In questi casi, l'LSSI non si applica, quindi dobbiamo rispettare le disposizioni del RGPD e le sue normative applicabili. In questi casi, quindi, come ricordato dall'AEPD del suo Rapporto 0195/2017, le comunicazioni commerciali possono essere inviate a coloro che sono clienti attuali del responsabile in base al legittimo interesse, senza la necessità del loro consenso, a condizione che si riferiscano a prodotti o servizi simili a quelli inizialmente contrattati. Ma per inviare loro pubblicità per altri prodotti e servizi, anche se sono clienti, avremo bisogno del tuo consenso inequivocabile. Inutile dire che, per inviare pubblicità tramite questi mezzi non elettronici, a coloro che non sono clienti, possiamo farlo solo dopo aver ottenuto il loro consenso. E come sempre, in ogni caso, fornire la possibilità di opporsi. Ribadisco questa idea, perché il Rapporto chiarisce che il settore alberghiero è un settore in cui «poche aziende analizzate segnalano il diritto dell'interessato di revocare il proprio consenso al trattamento dei propri dati personali in qualsiasi momento». Infine, per quanto riguarda i tempi per ottenere tali consensi, tenendo conto che nel settore del turismo i dati possono provenire dalla stessa parte interessata - nel qual caso, non vi è alcuna difficoltà a richiederli al momento della raccolta dei dati; oppure, tramite terze parti (diversi fornitori, OTA, bed bank, ecc.), nel qual caso è necessario essere informati non oltre un mese dopo l'ottenimento dei dati personali, o prima o alla prima comunicazione con l'interessato, o prima che i dati (se presenti) siano stati comunicati ad altri destinatari. Ad esempio, nel caso di un hotel, poiché indipendentemente dalla provenienza dei dati dell'ospite, l'ospite deve fare Arrivo, al momento della raccolta dei dati e della firma del contratto di hosting, all'interessato possono essere fornite informazioni sulla protezione dei dati e anche richiedere, se del caso, il consenso all'invio di pubblicità per prodotti o servizi diversi dall'alloggio stesso. Conformemente a quanto indicato, è molto importante che in qualsiasi audit che le aziende stanno effettuando per conformarsi al GDPR, tengano conto di questi aspetti al fine, come consigliamo ai nostri clienti, di poter «pulire» i loro database e di poter determinare se i dati sono stati ottenuti legalmente, nonché se quelli ottenuti si basano sul consenso, che questo è stato raccolto in conformità con il RGPD, poiché è stato un grave peccato richiederlo acconsento nuovamente senza rima né motivo, che oltre ad annoiare il destinatario, ha prodotto un sforzi eccessivi in molte aziende che non erano necessari.

Georgina García-Más (Avvocato T&l)

Articolo pubblicato nel Edizione di novembre Dal quotidiano mensile CEHAT