Meno vincoli al marketing diretto
Con il Regolamento UE 679 sulla protezione dei dati personali cambiano le regole per l’acquisizione e il trattamento delle informazioni dei clienti: si punta a una autodeterminazione del titolare ma con pene molto severe
08/11/2017
I trattamenti di dati personali per finalità di direct marketing sono ora sottoposti a una serie di limitazioni e condizioni previste dal Codice della privacy. È necessario, da parte dell’interessato, un consenso distinto e autonomo rispetto a consensi eventualmente prestati per altre finalità. Senza, è possibile inviare solo alla propria clientela e solo via e-mail o posta tradizionale promozioni di prodotti o servizi analoghi a quelli già acquistati. I tempi di conservazione dei dati di acquisto per finalità di direct marketing sono limitati a due anni, dopodiché i dati devono essere cancellati, perlomeno dal database che ne permette questo tipo di uso. Se il direct marketing si basa sulla profilazione dei clienti, vale a dire su analisi del comportamento e delle scelte di consumo (per esempio attraverso lo storico delle carte fedeltà o strumenti di monitoraggio on line), i tempi di conservazione scendono a un anno e il titolare deve eseguire una notifica preventiva al Garante della privacy. Non è esclusa la possibilità di conservare i dati per tempi più lunghi ma, chi ritenesse di averne diritto in base alle dinamiche del proprio settore, deve presentare al Garante della privacy una richiesta di autorizzazione preventiva. Infine, il trattamento di dati sensibili (relativi per esempio a stato di salute, orientamento sessuale, origine razziale, orientamento politico, filosofico o sindacale) per finalità di direct marketing è tendenzialmente non autorizzato.
Niente più autorizzazioni e consenso
Questo quadro è destinato a cambiare con l’applicazione, a partire dal 25 maggio 2018, del Regolamento (UE) 2016/679 relativo alla protezione dei dati personali. In generale il regolamento elimina la necessità di notificazioni e autorizzazioni preventive a favore di un più forte principio di autovalutazione, del quale, però, si può poi essere chiamati a rispondere sotto il peso di sanzioni maggiori: fino a 20 milioni di euro o, se superiore, al 4% del fatturato totale mondiale annuo, oltre al blocco del trattamento illecito. L’uscita di scena delle autorizzazioni preventive comporta la possibilità di valutare da sé il tempo di conservazione dei dati, che può quindi anche superare i due anni, purché un termine sia fissato e sia proporzionato alle effettive dinamiche del settore di riferimento. Sparisce di norma la necessità di un consenso specifico per il trattamento dei dati a fini di direct marketing, che viene considerato un “interesse legittimo” del titolare (resta però necessario che i dati siano acquisiti a monte in maniera lecita, seppure per una finalità diversa). Il consenso specifico è ancora in generale necessario per la profilazione. Infine, cade anche la preclusione di fatto all’uso dei dati sensibili per finalità di profilazione e direct marketing: con il consenso dell’interessato e adeguate misure di sicurezza questi trattamenti diventano possibili, salvi i casi espressamente vietati dalla legge nazionale.
Dubbi sui dati delle black box
Resta infine ancora dubbia l’utilizzabilità a fini di direct marketing e profilazione dei dati provenienti dalle scatole nere, che la legge 4 agosto 2017, n. 124, seppure con una formulazione non chiarissima, sembra autorizzare solo per la gestione di servizi contrattuali. L’evoluzione del diritto europeo in corso suggerisce comunque che i dati personali possano costituire un mezzo di pagamento equivalente al denaro: in questi casi i limiti di legge all’uso dei dati potrebbero non applicarsi o applicarsi, a seconda dei casi, solo in parte.
Niente più autorizzazioni e consenso
Questo quadro è destinato a cambiare con l’applicazione, a partire dal 25 maggio 2018, del Regolamento (UE) 2016/679 relativo alla protezione dei dati personali. In generale il regolamento elimina la necessità di notificazioni e autorizzazioni preventive a favore di un più forte principio di autovalutazione, del quale, però, si può poi essere chiamati a rispondere sotto il peso di sanzioni maggiori: fino a 20 milioni di euro o, se superiore, al 4% del fatturato totale mondiale annuo, oltre al blocco del trattamento illecito. L’uscita di scena delle autorizzazioni preventive comporta la possibilità di valutare da sé il tempo di conservazione dei dati, che può quindi anche superare i due anni, purché un termine sia fissato e sia proporzionato alle effettive dinamiche del settore di riferimento. Sparisce di norma la necessità di un consenso specifico per il trattamento dei dati a fini di direct marketing, che viene considerato un “interesse legittimo” del titolare (resta però necessario che i dati siano acquisiti a monte in maniera lecita, seppure per una finalità diversa). Il consenso specifico è ancora in generale necessario per la profilazione. Infine, cade anche la preclusione di fatto all’uso dei dati sensibili per finalità di profilazione e direct marketing: con il consenso dell’interessato e adeguate misure di sicurezza questi trattamenti diventano possibili, salvi i casi espressamente vietati dalla legge nazionale.
Dubbi sui dati delle black box
Resta infine ancora dubbia l’utilizzabilità a fini di direct marketing e profilazione dei dati provenienti dalle scatole nere, che la legge 4 agosto 2017, n. 124, seppure con una formulazione non chiarissima, sembra autorizzare solo per la gestione di servizi contrattuali. L’evoluzione del diritto europeo in corso suggerisce comunque che i dati personali possano costituire un mezzo di pagamento equivalente al denaro: in questi casi i limiti di legge all’uso dei dati potrebbero non applicarsi o applicarsi, a seconda dei casi, solo in parte.
© RIPRODUZIONE RISERVATA
