Consenso Marketing Gdpr per il corretto trattamento dei dati
La chiave per l’accesso ai dati e per il loro utilizzo è il consenso. L’autorizzazione a trattare informazioni che rientrano nella privacy, in modo tale che non vi sia una violazione, è rimessa alla volontà strettamente personale, che ognuno di noi ha, di aprire la porta e consentire a terzi di accedere a dati anche molto personali. Il tema è chiaramente centrale quando si parla di e-commerce, marketing e social. E il Gdpr ne chiarisce ogni aspetto.
Per questa ragione, se un’azienda, che opera nell’e-commerce, decide di fare profilazione nelle sue attività di marketing, deve anzitutto dirlo nell’informativa sul trattamento dei dati personali (privacy policy), che deve essere rilasciata prima di raccogliere quelle informazioni, spiegandone logica, finalità e conseguenze. L’informativa è obbligatoria e la sua assenza o scarsa trasparenza può determinare sanzioni anche rilevanti.
Il consenso è il presupposto per la raccolta di quelle informazioni al punto che non basta il consenso per il marketing, serve anche quello per poter fare profilazione. Ma se il consenso è la base di partenza, non è il solo limite che la legge impone al trattamento di quei dati. E non è nemmeno il solo metodo di approvazione al loro utilizzo.
Il consenso e i dati personali resi pubblici nei social
Il Gdpr definisce con precisione il concetto di consenso. L’articolo 4, al comma 11, spiega che è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato”, con la quale lo stesso “manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
L’analisi dei principi contenuti in questa definizione acquista particolare rilievo in tema di pubblicazioni sui social network, ovvero sulle piattaforme telematiche nelle quali il dato non circola, ma può essere estratto, diffuso, raffrontato per un altro trattamento con finalità diverse ed ulteriori, come il marketing.
Infatti, i dati personali possono essere resi pubblici dall’interessato e tale circostanza ne autorizza di per sé il trattamento (pur sempre nei limiti che ora spiegheremo), anche in caso di dati personali particolari (ovvero quelli che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale): il Gdpr lo spiega chiaramente al comma 2, lettera e), dell’articolo 9, che parla di trattamento relativo a “dati personali resi manifestamente pubblici dall'interessato”.
Il dato personale si considera reso pubblico quando conoscibile da chiunque perché contenuto in registri, elenchi, atti o documenti pubblici o perché viene reso noto direttamente dall’interessato (anche attraverso comportamento in pubblico). Nell’ultima ipotesi, è proprio l’interessato che, attraverso una sua azione, decide di condividere l’informazione che lo riguarda, per esempio attraverso un post che carica sul proprio profilo Facebook.
Ma il trattamento dei dati personali resi manifestamente pubblici dall’interessato non sfugge al principio di liceità dell’utilizzo, in relazione all’articolo 6 del Gdpr, che lo giustifica a certe condizioni, ovvero quando il trattamento è necessario:
- per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- all’inizio, per l’esecuzione di un contratto di cui l’interessato è parte (per esempio quando ci si iscrive ad un social network) e, successivamente, per consenso espresso o comportamento dell’interessato (contenuti, foto o post inseriti nel social) rispetto alla finalità.
Da quanto si è detto, consegue che richiedere di condividere dati su un social network costituisce indubbiamente consenso a rendere pubblicamente accessibili quelle informazioni, ma sempre nei limiti delle finalità a cui il successivo trattamento è rivolto, che devono essere specificate.
Quindi, l’informativa che il titolare del trattamento deve fornire non è solo un diritto astratto dell’interessato, ma è uno strumento essenziale per la formazione di un consenso al loro utilizzo.
Il consenso e la finalità come limite al trattamento
Il trattamento dei dati personali resi manifestamente pubblici è strettamente collegato al principio di limitazione delle finalità del loro trattamento. Lo dice a chiare lettere l’articolo 5, primo comma, lettera b), del Gdpr, secondo cui i dati personali devono essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”.
Restando dunque sul piano dei social, il consenso (dichiarato o attuato) al trattamento del dato personale accessibile può riferirsi solo agli scopi determinati, espliciti, legittimi e compatibili con la sua pubblicizzazione, per esempio la finalità di interazione e contatto fra utenti di social network.
In sostanza, il consenso al trattamento di propri dati personali, attraverso inserimento o interazione su piattaforme telematiche di contatto, deve intendersi come inerente alle funzioni tipiche del social network e non anche a finalità ulteriori, come il marketing e, in generale, tutti gli strumenti che possono servire all’e-commerce per attività promozionali.
Lo stesso Garante per la protezione dei dati personali, in tema di e-mail, aveva dichiarato illecito il trattamento di dati personali, come gli indirizzi di posta elettronica acquisiti tramite LinkedIn o Facebook e, in assenza di specifico consenso, utilizzati per l’invio di comunicazioni promozionali. L’Autorità ha ribadito, infatti, che la disponibilità online dei dati non legittima il trattamento per qualunque finalità ulteriori a quelle relative alla loro pubblicazione.
In sostanza, il trattamento di dati accessibili per finalità di promozione commerciale deve presupporre il consenso specifico dell’interessato. L’articolo 129 del Codice della privacy impone, infatti, che i dati personali, presenti in elenchi cartacei o elettronici a disposizione del pubblico, devono essere oggetto di consenso specifico, espresso secondo idonee modalità individuate dal Garante, per poter essere utilizzati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di comunicazioni commerciali. Come accade nell’e-commerce.
A sua volta, l’articolo 130 dello stesso Codice indica la regola generale, secondo cui l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata, senza l’intervento di un operatore, per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di una comunicazione commerciale, è consentito solo con il consenso del contraente o utente. Ed estende questa condizione di liceità alle comunicazioni elettroniche, attraverso posta elettronica, sms o di altro tipo.
Dunque l’accessibilità al dato è solo una sua caratteristica, mai il presupposto giuridico che ne autorizzi qualunque trattamento. Anzi, come detto, il suo utilizzo deve avvenire solo per finalità determinate, esplicite e legittime del trattamento individuate dal titolare dello stesso ed oggetto dell’informativa di cui parla l’articolo 13 del Gdpr.
Da qui, l’illiceità dei trattamenti di dati pubblici volti a finalità diverse ed ulteriori rispetto a quelle tipiche del trattamento originario. Per poter superare questi limiti, c’è solo un modo: il consenso dell’interessato, baluardo a tutela dei suoi diritti, ma anche unico strumento per poter accedere alla sua privacy.
Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:
- Come usare i social media per vendere con il tuo e-commerce
- Profilazione utente nelle attività di marketing per e-commerce
- Gdpr compliance marketing nell'e-commerce
- E-commerce e social media marketing privacy
Inizia con il piede giusto e scopri le best practice per la privacy e la sicurezza delle informazioni da adottare, attraverso il consenso, nelle tue strategie di marketing ed e-commerce.