
Privacy e liste email: 8 domande all’Avvocato Maglio
Se ti sei perso il nostro webinar in compagnia dell’Avvocato Marco Maglio, riscopri qui tutte le domande e risposte: imparerai come costruire liste di email nel rispetto delle leggi e in un’ottica 2.0. Di seguito il video dell’intervento e le risposte ad alcune delle domande raccolte.
Gli indirizzi email pubblicati sugli albi professionali (avvocati, dottori, ecc) hanno bisogno di autorizzazione per essere utilizzati?
Gli indirizzi che provengono da albi professionali sono soggetti ad una regolamentazione molto specifica. E’ importante tenere presente un principio: i dati sono pubblici per una finalità che è normalmente individuata da una legge o un regolamento nel quale viene specificato che i dati siano conoscibili da chiunque. Quindi l’utilizzabilità dei dati pubblici va vista non in relazione al mero elemento di fatto che li caratterizza (cioè il fatto che siano pubblici e, quindi, consultabili da ognuno di noi), ma in relazione al fine per il quale noi li vogliamo utilizzare. Questo deve essere coerente con il motivo previsto dalla legge per il quale quei dati sono stati resi pubblici. Applicando questo principio al tema specifico degli albi professionali (fonte importante e ambita, perché la lista è sempre aggiornata e i dati sono consolidati e certi) l’uso di questi elenchi è possibile se c’è una forte affinità tra il messaggio che noi mandiamo e la categoria professionale cui ci rivolgiamo. Traducendo: è possibile inviare a una lista di avvocati (ad esempio) una proposta che faccia riferimento all’invito a un convegno che riguarda materie attinenti alla loro professione – o l’abbonamento ad una rivista o l’acquisto di un libro che riguarda temi che hanno a che fare con la professione forense. Non si potrà invece fornire a una determinata categoria professionale un prodotto che viene proposto ad una categoria indistinta di utenti: in questo caso l’azienda commette un’attività non lecita perché non legata all’attività professionale delle persone. Ascolta la risposta integrale
È sufficiente inserire il link di disiscrizione alle proprie email per ovviare a un database non del tutto consensato?
No, non è sufficiente in quanto la normativa non si basa su un criterio di buona fede, di precauzione o di attenuazione della lesività del comportamento per giustificare l’uso dei dati personali: la legge chiede che chi vuole mandare dei messaggi a contenuto promozionale faccia un’attività preparatoria accurata ed eviti di contattare le persone che, presumibilmente, non desiderano ricevere quei messaggi. Non basta quindi creare le condizioni per facilitare la disiscrizione, anche se è un elemento necessario per gestire in maniera efficiente ed efficace la propria lista in quanto permette di eliminare coloro che vivono l’invio del messaggio come un fastidio. La legge è chiara: non è possibile rendere legittimo l’utilizzo di una lista semplicemente permettendo la disiscrizione in un secondo momento. Il Garante, con le linee guida del mese di luglio 2013, ha sancito che non è possibile inviare dei messaggi preparatori per informare che le persone potranno disiscriversi in futuro: il primo contatto non è possibile se, a monte, non c’è un criterio di legittimità nell’utilizzo del singolo indirizzo. Ascolta la risposta integrale
Se sono già in possesso di email presenti nel mio gestionale, posso utilizzarle o ne devo richiedere l’autorizzazione ai destinatari?
Dobbiamo essere in grado di conoscere l’origine dei dati e approfondire se l’accettazione del loro utilizzo è documentabile o meno. Abbiamo insomma l’onere della prova: se non fossimo in grado di dimostrare la provenienza di un dato e il suo utilizzo dovesse generare una contestazione, nel caso in cui la contestazione si rilevi fondata non avremo argomenti difensivi validi e subiremo una sanzione. È onere di chi utilizza i dati controllarne la legittimità, sempre, sia quando i dati sono contenuti nei propri database per “tradizione” perché stratificati nei gestionali (come nella domanda) ma soprattutto quando sono frutto di una acquisizione generata da terzi e le liste vengono noleggiate o acquistate. Non è più sufficiente ricevere da parte del fornitore una manleva con la quale si conferma di garantire che la lista è utilizzabile. Questo meccanismo è sconsigliabile dal punto di vista legale perché fornitore e utilizzatore della lista sono corresponsabili e vengono sanzionati entrambi con multe e sanzioni economiche – e non solo. Ascolta la risposta integrale
Le regolamentazioni descritte valgono anche per clienti o prospect incontrati ad esempio in fiera?
La normativa non è totalmente orientata al consenso come presupposto per l’utilizzo dei contatti di posta elettronica. Il garante, parlando di queste situazioni, usa l’espressione “soft spam”. Il criterio è: se qualcuno mi da il suo indirizzo perché manifesta un interesse nei confronti di ciò che offro, e io ho avuto l’accortezza di informarlo che in futuro potrei continuare a tenerlo aggiornato su offerte su prodotti analoghi, io posso continuare ad usare quel dato anche senza un consenso espresso fin quando la persona mi chiederà di non essere più contattato. Viene introdotto, insomma, un meccanismo di opt-out: l’eccezione dell’opt-out riguarda le situazioni nelle quali qualcuno mi ha fornito dei dati e io ho avuto cura di informarlo che avrei continuato a tenerlo aggiornato su offerte relative a quei medesimi prodotti. Allo stesso modo se stabilisco un rapporto con un cliente e utilizzo un’informativa adeguata, acquisto un’importante opportunità di utilizzare quei dati nel pieno rispetto della normativa. Ascolta la risposta integrale
Qual è la normativa alla quale fare riferimento per il trattamento dei dati da linkare nelle proprie email o nei form di richiesta dati?
Il riferimento alla legge è il D.Lgs n. 196 del 30 giugno 2003. La cosa più semplice da fare è fare riferimento al sito nel quale è pubblicato il testo aggiornato del provvedimento, perché dal 2003 ad oggi sono stati pubblicati circa 30 interventi normativi che hanno modificato il testo di legge. Su www.garanteprivacy.it è custodito il testo ufficiale del Codice in materia dei dati personali nella versione aggiornata. Non è comunque obbligatorio inserire un link alla normativa, anche se per completezza e trasparenza è auspicabile. Ascolta la risposta integrale
E’ legale raccogliere liste di contatti telefonicamente? E quali sono le modalità migliori?
Dall’8 maggio 1997, data di entrata in vigore della vecchia legge n. 675 la prima cosiddetta “legge sulla privacy” , gestire la raccolta dei dati attraverso questo strumento è legittimo. L’informativa può essere resa oralmente ed il consenso espresso dall’interessato al telefono può essere annotato per iscritto dall’operatore che lo riceve. I criteri per rendere legittimo questo tipo di trattamento? Occorre organizzare bene la fase di raccolta: il processo deve essere sottoposto a una procedura/meccanismo definito, che tutti i soggetti devono rispettare. Gli operatori telefonici devono essere nominati in qualità di incaricati del trattamento dal soggetto per conto del quale lavorano e per questo occorrerà dare loro istruzioni precise, come ad esempio non annotare cose non corrispondenti al vero, non fare copia del database per fini personali o di terzi, ecc. inoltre occorre attivare dei meccanismi di controllo a campione. Questa necessità legale è bene che sia “vestita” con le tonalità calde del marketing e non sia un semplice meccanismo burocratico di controllo: va piuttosto prospettata come un servizio al cliente e un’attenzione verso la persona. Ascolta la risposta integrale
La cessione a terzi dei dati raccolti: qual è la formulazione giuridica che me lo permette?
La creatività nella formulazione dei testi dell’informativa e delle dichiarazioni di consenso è fondamentale: l’efficacia nella raccolta dei consensi e dei dati spesso dipende dal modo in cui le domande sono proposte e le modalità fanno la differenza. Non esiste quindi un unico modo per raccogliere consensi: ognuno deve trovare quello corrispondente al proprio stile e contesto. La legge comunque permette la cessione e per poterla realizzare occorre avere il consenso dell’interessato, consenso che deve essere specifico. Nell’informativa (nel testo fornito all’interessato prima che mi dia il consenso) devo precisare la finalità in modo esplicito e completo, oltre che separato: il consenso deve essere specifico e non “a pacchetto” (non vale chiedere l’approvazione a 10 finalità diverse perché sarebbe un consenso generico). Se non si vuole rivelare l’identità dei soggetti che utilizzeranno i dati, l’elenco aggiornato di questi dovrà essere sempre disponibile presso la sede del titolare o del responsabile. Ascolta la risposta integrale
All’interno dei form, il consenso deve essere di default sul no?
Come ha ribadito il Garante nelle sue Linee Guida sulla comuncazione commerciale e nel contrasto allo spam pubblicate a luglio 2013, i consensi prefleggati non sono validi. Non si può predefinire il consenso barrando preventivamente la casella corrispondente lasciando all’interessato solo la possibilità di modificare questa dichiarazione. Per esprimere un consenso valido non occorre arrivare all’opposto criterio per il quale si barra la casella no e la persona è obbligata a deselezionare la scelta. Dal punto di vista legale basta che le caselle non siano barrate. Ascolta la risposta integrale.