La corretta acquisizione e gestione del consenso ai fini privacy come presupposto essenziale per un’efficacie attivit...
Con il provvedimento emesso lo scorso 9 luglio, che ha visto Wind sanzionata per quasi 17 ml di euro, il Garante Privacy ha confermato l’importanza di strutturare l’attività di marketing nel rispetto del GDPR.
La corretta base giuridica per il marketing:
Il trattamento di dati personali a fini di marketing deve rappresentare una delle aree di maggior interesse per i titolari del trattamento che intendano veicolare comunicazioni promozionali riguardanti i propri prodotti e/o la propria attività attraverso vari canali online e offline.
Presupposto indefettibile per l’invio di tale tipologia di comunicazioni è il consenso dell’interessato, manifestato e raccolto conformemente alla normativa vigente in materia di dati personali e, in particolare, ai requisiti imposti dall’art. 4 par. 11 del GDPR, secondo cui il consenso per considerarsi lecito deve essere: libero, specifico, informato e inequivocabile.
Tale tematica è regolarmente oggetto di provvedimenti, anche sanzionatori, del Garante Privacy il quale è costante nel ribadire una serie di principi a cui devono attenersi i titolari del trattamento nella raccolta e nella gestione del consenso prestato dagli interessati per l’invio di comunicazioni a carattere commerciale.
Come raccogliere adeguatamente il consenso degli interessati?
A titolo esemplificativo, il Garante Privacy, nel provvedimento n. 143 del 9 luglio 2020 adottato nei confronti di Wind Tre S.p.A., con cui ha inflitto a tale società una sanzione di circa 17 milioni di euro, ha ribadito che, affinché i consensi prestati dagli interessati al titolare possano ritenersi raccolti in modo lecito e, conseguentemente, tale soggetto svolga la propria attività di marketing nel rispetto della normativa vigente in materia di privacy, è necessario:
- aggiornare costantemente il proprio database dei consensi, provvedendo ad una nuova raccolta nel caso in cui, a fronte di aggiornamenti normativi, emerga la non conformità delle modalità di raccolta del consenso utilizzate in precedenza dal titolare del trattamento;
- prevedere che il consenso per l’attività di marketing sia distinto e separato dal consenso prestato dall’interessato per poter accedere al servizio offerto dal titolare;
- richiedere distinti consensi per:
- il marketing tradizionale;
- il marketing profilato;
- la comunicazione dei dati a terzi per lo svolgimento di attività di marketing da parte di tali soggetti;
- quando l’attività di marketing sia svolta per conto del titolare da un responsabile del trattamento è fondamentale:
- assicurarsi che il responsabile raccolga i consensi in modo lecito secondo i principi sopraesposti.
Tale pronuncia si aggiunge ad altre sanzioni inflitte recentemente dal Garante Privacy a fronte di violazioni dei principi sulla corretta raccolta e gestione dei consensi degli interessati per finalità di marketing, quali le sanzioni inflitte rispettivamente ad Eni Gas Luce S.p.A., nel dicembre 2019, pari ad euro 8,5 milioni e a Tim S.p.A., nel gennaio 2020, pari ad euro 27 milioni.