Gestione del consenso e marketing diretto: due provvedimenti del Garante

12 aprile 2023Ultimo aggiornamento 11 novembre 2024
Tempo di lettura stimato: 4'
Come fare marketing diretto a norma? Come inviare newsletter promozionali in regola? Approfondiamo in questo articolo le regole a cui ogni azienda dovrebbe attenersi. Per farlo, guardiamo a due provvedimenti del Garante per la protezione dei dati che risalgono al 2019 - il caso Pampers (provvedimento n. 130/2019) e il caso Mediaworld (provvedimento n. 133/2019) – e che sono il punto di riferimento per capire come fare marketing, nel rispetto della normativa in materia di protezione dei dati personali.

In particolare, i due casi risultano interessanti rispetto alla gestione del consenso per finalità di marketing. Infatti, molto spesso, i titolari del trattamento, proprio perché non vogliono presentare ai loro clienti o sui loro siti, tre o quattro check-box, decidono di raccogliere un consenso unico. È giusto? È sbagliato? 

Ne parliamo in questo articolo, ma prima partiamo da una premessa: non tratteremo la profilazione e i processi decisionali automatizzati. Ci limiteremo a parlare solo di attività di marketing e del consenso legato a queste attività, per esempio, l’invio di una newsletter.  

La gestione del consenso per le attività di marketing: due casi esaminati dal Garante 

Nel caso Pampers, l’autorità è intervenuta perché la società aveva inviato newsletter promozionali a circa un milione di indirizzi e-mail, raccolti e utilizzati senza un valido consenso, promuovendo una raccolta punti. Per poter partecipare alla raccolta, infatti, i clienti non avevano la possibilità – come richiesto dalla normativa, - di esprimere un consenso libero e specifico per le singole finalità di trattamento. Erano invece obbligati a rilasciare due consensi generici: uno per la società e uno per i marchi collegati.

Il Garante, in questo caso ha ricordato che l'utente deve essere posto nelle condizioni di conoscere quel consenso e sapere esattamente perché lo sta rilasciando. Non ci deve essere confusione. 

Nel caso Mediaworld, l’autorità è intervenuta su segnalazione di una cliente che si lamentava di ricevere comunicazioni pubblicitarie via e-mail, nonostante non le fosse stato chiesto il consenso e che si fosse opposta diverse volte. In nuce, senza entrare nel merito di tutti i dettagli del caso, anche nei confronti di questa società, il Garante ha chiarito che sussiste l’obbligo in capo al titolare di acquisire il consenso libero, specifico e inequivocabile dell’interessato in relazione a una o più specifiche finalità.

Attività di marketing: come acquisire il consenso in regola col GDPR

I provvedimenti del Garante chiariscono che il consenso deve essere trasparente e, in particolare, nella gestione del consenso per finalità di marketing, l’autorità richiama le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, ancora vigenti (per quanto compatibili con il GDPR e il rinnovato D.lgs. 196/2003).

Nelle linee guida si puntualizza che: “Va tuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale […]
Al riguardo, il Garante le suddette attività sono funzionali, nella maggior parte dei casi, a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare – sempre di norma – l’acquisizione di un unico consenso”.

Quindi, è richiamato il concetto del cosiddetto consenso unico plurifunzionale, che comprende diverse finalità di marketing: invio di materiale pubblicitario, vendita diretta, di ricerche di mercato. Nel caso Pampers, l’azienda aveva adottato queste linee guida: il primo consenso era richiesto per finalità promozionali, dove, per finalità promozionale e di marketing, erano stati inseriti l'invio di newsletter, l'analisi statistica, i sondaggi di opinione. Quindi la società aveva accomunato indistintamente diverse finalità. Tuttavia, il Garante, nella sua pronuncia, ha chiarito che è sempre preferibile la regola della granularità dei consensi

Il consenso, dunque, deve essere sia trasparente che granulare

Gestione dei consensi: consigli del consulente

È chiaro che, per chi si occupa di marketing, inserire tutti i consensi è più complesso, perché chiaramente questo stimola meno l'utente a rilasciare il consenso. Mentre, prevedendo un consenso unico, è molto più probabile che l'utente acconsenta. 

Però è molto importante rispettare la granularità del consenso, anche nel marketing. Quindi, se si riesce a specificare bene qual è il trattamento e a fare in modo che l'interessato abbia trasparenza su quel trattamento, l’azienda si sta mettendo nelle condizioni di non dover poi subire un provvedimento per un'eventuale istanza presentata da un utente. 

Tuttavia, spesso, i reparti marketing cercano di trovare il modo per ottenere un consenso unico plurifunzionale, accorciando questa procedura di raccolta. Come consulenti, quando siamo chiamati a sorvegliare una campagna di marketing diretto, dobbiamo anche capire, per esempio, se le newsletter riguardano più marchi, se le indagini di mercato riguardano solo un marchio o tutti i marchi della società e se, ad esempio, è necessario creare dei consensi che siano granulari.

L’ultimo assaggio? Nel prossimo articolo!

Quali sono state le sanzioni per attività di marketing più pesanti comminate in Italia?
Puoi aspettare il prossimo articolo o non aspettare affatto e iscriverti ora a Raise Academy per accedere alla formazione completa e aggiornata su GDPR, privacy e cybersecurity. 

Raise Academy è l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy