Marketing senza rispetto del GDPR porta solo sanzioni e non vantaggi

Marketing e ancora martketing…… ma le aziende sono proprio certe che le loro attività e strategie di marketing siano lecite ed efficaci? Avere un vero e proprio database attivo e aggiornato al quale poter attingere correttamente per l’invio di newsletter e promozioni è assolutamente fondamentale e richiede attenzione nella scelta della modalità, della richiesta consensi e della data retention.

Anche la creazione di campagne di riaquisizione consensi richiede conoscenza giuridica che deve andare di pari passo con le strategie di vendita e analisi di mercato.

Dopo 12 mesi di inattività dell’utente rispetto alle campagne marketing aziendali, prima di cancellarlo dalla lista, si può prevedere di chiedere al contatto/utente inattivo in database se è ancora interessato a ricevere contenuti informativi. E’ uno degli step essenziali per l’attività di email marketing all’interno di una strategia di inbound marketing.

Le permission pass campaign servono ad ottenere un consenso conforme al nuovo Regolamento GDPR per tutti quei contatti che sono in una situazione di inattività protratta nel tempo.  L’obiettivo di questa attività è quello di stabilire quali dei contatti presenti nel database dell’azienda sono effettivamente interessati a ricevere informazioni dalla stessa. A questo punto, si potrà iniziare ad identificare i contatti “dormienti” creando una smart list di contatti che non hanno interagito con le email aziendali più recenti.

Altra estrema attenzione va posta per quanto riguarda la comunicazione dei dati a terzi che è possibile solo a seguito di acquisizione di apposito specifico ed espresso consenso. In particolare, occorre raccogliere un consenso specifico per la comunicazione a terzi dei dati personali per fini promozionali, distinto da quello richiesto dal medesimo Titolare per svolgere esso stesso attività promozionale.

L’acquisizione consensi tramite social è veicolata invece tramite la creazione di post in cui si pubblicizza la presenza di una newsletter. Nel post si potrà inserire un link che rimanda al modulo di iscrizione del sito e all’espressione dei consensi.  Un’altra opzione è quella di inserire una CTA (Call to Action) ovvero un pulsante che rimandi ad una pagina d’iscrizione alla newsletter aziendale.

Le soluzioni sono molteplici, ma come studio legale e DPO consigliamo SEMPRE, qualora vi rivolgiate ad una agenzia di marketing di richiedere anche un parere legale sulla corretta effettuazione delle campagne pubblicitarie per il vostro brand.

Portare avanti l’attività di marketing ad occhi chiusi al solo fine di acquisire un numero levato di contatti (spesso anche rabbiosi) infatti è molto semplice, ma può portare anche a conseguenze disastrose per le aziende non solo in ordine a salate sanzioni, ma addirittura diventare letali per la brand reputation.

PENSATE al caso recentissimo di gennaio/febbraio 2020. Il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing.

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. Fra le prescrizioni, il Garante ha ingiunto a Tim di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list. Tim dovrà inoltre rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. La Società dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Sommariamente le misure correttive indicate dal Garante forniscono importantissime indicazioni applicabili a tutte le aziende:

– La totale inutilizzabilità dei dati acquisiti senza consenso, con consenso negato, con consenso non espresso liberamente, a seguito di informative non corrette, precise e chiare.

-La verifica documentabile, ad intervalli regolari, dell’effettiva e tempestiva modifica della valorizzazione del consenso per attività di marketing e dell’effettivo inserimento in black list, relativamente alle numerazioni raggiunte da contatti commerciali con esito “diniego” che appartengano a clienti attivi presenti nel CRM della Società o a soggetti non clienti;

– l’implementazione di misure tecniche ed organizzative riguardo alla gestione delle istanze di esercizio dei diritti degli interessati – e in particolare il diritto di opposizione alle finalità promozionali – che consentano di dar riscontro agli interessati, nonché individuare e recepire correttamente la loro effettiva volontà, senza ingiustificato ritardo, e comunque, al più tardi, entro 30 giorni dal ricevimento della richiesta, fatti salvi motivi legittimi prevalenti e fatta salva la necessità, tempestivamente comunicata agli interessati, di un’eventuale proroga per il riscontro;

-l’implementazione di una procedura tecnica ed organizzativa, nel sistema di campaign management, che consenta alla Società di conoscere e governare correttamente, nonché di documentare adeguatamente, il fenomeno delle chiamate rivolte ad utenze c.d. ““fuori lista””, nonché di garantire che tali utenze vengano contattate per fini promozionali solo qualora si disponga di un idoneo consenso o sulla base di altra circostanziata e documentabile base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

-l’adozione di misure organizzative e tecniche atte a documentare e rispettare i dinieghi dei soggetti “fuori lista”, nonché a far circolare tali dinieghi anche presso i propri partner, affinché questi non procedano a contattare le utenze interessate;

-l’implementazione di una procedura organizzativa, regolarmente verificata e documentata, finalizzata ad una più efficiente gestione delle eventuali future violazioni di dati personali,

-la cancellazione dei dati dei clienti OLO, qualora siano decorsi i termini espressamente previsti dall’ordinamento (inclusi i provvedimenti di AGCOM e di questa Autorità) e/o siano state esaurite le legittime finalità di trattamento, purché non sia ravvisabile alcun motivo legittimo prevalente per procedere con la conservazione;

– il rafforzamento delle misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della Società;

-la revisione della procedura relativa a tutte le App che, eventualmente, presentino lacune analoghe a quelle sopra rilevate, in modo tale che risultino compiutamente descritti – con linguaggio chiaro ed agevolmente comprensibile e, se del caso, anche mediante mezzi grafici – quali trattamenti sono effettivamente svolti dalla Società con indicazione specifica delle finalità perseguite e delle modalità di trattamento concretamente utilizzate; venga acquisito un libero e specifico consenso – distinto dall’accettazione dei “termini di servizio” – per ciascuna delle finalità diverse dall’erogazione del servizio, nonché dalle finalità amministrative e contabili;

-la modifica della procedura di adesione del programma “TIM Party”, integrando l’informativa resa al riguardo, con l’indicazione delle modalità di trattamento a fini promozionali  e rendendo libera l’acquisizione del consenso per tali finalità.

Dunque marketing si, ma legale.

 

Per quanto riguarda il provvedimento contro Tim, fonte citata: GARANTE DELLA PRIVACY – Roma, 1 febbraio 2020