Email marketing e privacy #3: le svolte nel consenso e nella profilazione

18 Febbraio 2016

Il nostro viaggio alla scoperta del nuovo Regolamento generale sulla protezione dei dati personali continua con un focus su due pilastri dell’email marketing: il consenso e la profilazione.

Dopo una panoramica sulla riforma e le sue prime cinque sostanziali novità, ti spieghiamo come cambia l’approccio a queste due fondamentali attività per chi gestisce dati a fini della comunicazione commerciale: grazie al nuovo regolamento la raccolta del consenso e la profilazione aprono spazi inediti per chi voglia sperimentare e cogliere interessanti opportunità.

Questo e molto altro abbiamo affrontato nel nostro webinar: rivedilo ora, oppure scarica la presentazione.

Il consenso diventa desumibile

Da sempre chi fa email marketing è abituato a considerare valido il consenso dei destinatari solo se formulato con una dichiarazione espressa, comprovato tramite il sistema di opt-in, adottato dall’Italia fin dal 1997.

Il nuovo regolamento europeo cambia l’approccio, e si fa meno formalista e più sostanziale, di chiaro sapore anglosassone. Ma lasciamo la parola al testo della riforma europea. Così recita il Considerando 25 del testo approvato:

Il consenso dovrebbe essere espresso mediante un’azione positiva inequivocabile con la quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare che i dati personali che lo riguardano siano oggetto di trattamento, ad esempio mediante  dichiarazione scritta, anche elettronica, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in questo contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il consenso tacito o passivo o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere dato per l’insieme delle finalità del trattamento. Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta deve essere chiara, concisa e non disturbare inutilmente il servizio per il quale il consenso è espresso.

Di fatto, entro certi limiti, si fanno spazio forme di consenso desunto da comportamenti concludenti, espressi mediante azioni positive da parte dell’interessato. Un esempio classico è rappresentato dall’uso dei cookies: una volta visualizzato in homepage il banner con l’informativa, continuando a navigare si acconsente al loro utilizzo. Ma facciamo un esempio applicato all’email marketing: se in occasione di una fiera un visitatore lascia il suo biglietto da visita e viene espressamente informato che i suoi dati saranno impiegati per inviargli comunicazioni commerciali, l’azione è da considerare positiva ai fini del consenso. Una svolta che determina nuovi spazi rispetto ai rigidi steccati dell’opt-in, che pure restano formalmente in piedi.

Se riconsideriamo la definizione di consenso dell’interessato – “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” –, ci accorgiamo di come sia sparito il riferimento al carattere esplicito del consenso che, a certe condizioni, si può desumere in base al comportamento attivo dell’interessato.

Un nuovo criterio per la profilazione

Quanto alla profilazione, che per molti consiste nella semplice analisi e segmentazione del database, il regolamento dà risposte molto precise: la riforma chiarisce che l’attività di profilazione consiste nell’analisi di dati cui fa seguito un’azione automatica che non richiede l’intervento dell’uomo.

Dunque, il regolamento sancisce che non rientrano nella definizione di profilazione quei casi in cui i dati presenti nel proprio database vengono analizzati con strumenti informatici e la loro elaborazione viene sottoposta alla valutazione preventiva di una persona, con l’obiettivo di adattare e verificare i dati prima del loro utilizzo. In questi casi, di conseguenza, non occorre un consenso specifico per svolgere l’attività.

Scopri le ultime cinque novità della riforma nel post Email marketing e privacy #4: dal Data Privacy Officer alle nuove sanzioni.

Questo articolo è stato scritto da

Avv. Marco Maglio

Avv. Marco Maglio

Avvocato e Presidente dell'Osservatorio Europeo sulla Data Protection

Avvocato, fondatore di Lucerna Iuris, Network Giuridico Internazionale formato da studi legali specializzati in diritto del marketing e della comunicazione. Presiedo il Giurì per l'Autodisciplina del direct marketing e del commercio elettronico e l’Osservatorio Italiano Privacy. Partecipo alle attività dei principali Gruppi di lavoro formati da Esperti Internazionali in materia di Data Protection e Marketing Law e sono Componente del Legal Affairs & Ethics Committee di FEDMA (Federazione Europea del Direct Marketing) in rappresentanza dell'Italia. Sono Membro dell'International Privacy Professionals Association e sono Senior Certified Privacy Auditor.

Articoli correlati