La cessione di dati a terzi per finalità di direct marketing

All’interno di un’economia data driven come la nostra, l’attività di direct marketing, che si sostanzia nell’invio di materiale pubblicitario, comunicazioni commerciali o di vendita diretta e nel compimento di ricerche di mercato, ha assunto un’importanza strategica di carattere essenziale per le aziende.

Tale attività, ove effettuata in assenza dei presupposti giuridici previsti dalla legge, viene normalmente indicata come spam. Una delle ragioni principali di tale pratica, che spesso dà luogo a fenomeni invasivi della sfera privata di una persona, è rappresentata dalla previa e indiscriminata condivisione di dati personali tra i soggetti economici protagonisti del mercato.

I paragrafi che seguono offrono una guida sui principali adempimenti da porre in essere, da un lato, per cedere dati personali a terzi affinché questi ultimi possano trattarli per loro autonome finalità promozionali; dall’altro – nella prospettiva inversa di chi riceve questo patrimonio dati – per poter correttamente avviare iniziative di direct marketing, una volta che i dati personali siano stati così acquisiti (cd. “lead acquisition”).

Le indicazioni del Garante della protezione dei dati personali (“Garante”) alla luce del vigente quadro normativo

I principali adempimenti relativi all’attività di cessione a terzi dei dati personali e di lead acquisition possono rinvenirsi nelle Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348] (di seguito, solo “Linee Guida”), le quali vanno interpretate alla luce del vigente quadro normativo oltreché dei più recenti provvedimenti emanati dal Garante, che ne hanno chiarito ancora la portata applicativa[1]. Si fa riferimento, in particolare, ai seguenti: Ordinanza ingiunzione nei confronti di Sky Italia S.r.l.; Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A.; infine, Ordinanza ingiunzione nei confronti di Enel Energia S.p.A..

Cessione di dati a terzi

Relativamente agli adempimenti privacy da attuare per cedere dati a terzi per loro autonome finalità di direct marketing[2], il Garante stabilisce che il cedente deve:

descrivere adeguatamente tale finalità di trattamento nella sua informativa privacy;
indicare al suo interno ciascuno dei terzi cessionari dei dati o, in alternativa, le categorie economiche o merceologiche di appartenenza degli stessi (ad esempio: “finanza”, “editoria”, “abbigliamento”);
acquisire un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali nonché distinto da quello richiesto dal medesimo cedente per svolgere esso stesso attività promozionale;
essere in grado di fornire evidenza dei consensi raccolti per la cessione dei dati[3].

In ordine al requisito 1, è bene evidenziare che il termine “terzi” viene inteso sia in senso lato sia con particolare riferimento alle ipotesi in cui il terzo cessionario appartenga allo stesso gruppo imprenditoriale di cui fa parte anche il cedente. Infatti, come più volte ribadito dal Garante[4], i soggetti appartenenti al medesimo gruppo societario devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti[5]. In questo senso, non sarebbe sufficiente indicare nell’informativa che tra le società cessionarie rientrano anche società appartenenti al medesimo gruppo imprenditoriale in cui rientra la società cedente, restando indispensabile che anche per tali soggetti vengano indicate la ragione sociale o, in alternativa, le categorie economiche o merceologiche di appartenenza[6].

Relativamente al requisito 3, è bene rammentare che, come da costante indicazione del Garante, il consenso inizialmente rilasciato da un interessato ad una entità anche per attività promozionali di terzi non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, sia da parte del cedente che da parte del terzo cessionario, in quanto tali cessioni non si fonderebbero su un consenso necessario, specifico ed informato dell’interessato[7].

Lead Acquisition

Al fine di analizzare gli adempimenti richiesti per le attività di lead acquisition, bisogna tenere presente che il punto di vista è ora complementare, in quanto occorre focalizzarsi sugli obblighi facenti capo all’entità cessionaria dei dati personali.

Obblighi informativi

Affinché l’attività di lead acquisition risulti lecita, gli interessati, previamente edotti dal cedente – ex art. 13 GDPR – circa la finalità di cessione di dati a terzi per loro autonome finalità di marketing, devono essere, altresì, informati dal cessionario in ordine ai successivi trattamenti che verranno svolti su detti dati. Infatti, i terzi potranno inviare agli interessati comunicazioni promozionali solo a fronte del rilascio di una propria informativa ex art. 14 GDPR, che contenga anche l’indicazione della fonte da cui i dati personali originano, al fine di permettere a ciascun interessato di rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento[8].

Base giuridica

Quanto al fondamento giuridico del trattamento successivo ad opera del cessionario, il Garante ha di recente avuto modo di chiarire quali siano, alla luce della normativa attualmente vigente, i limiti della semplificazione prevista dalle Linee Guida del 2013, ossia la possibilità per il cessionario di non richiedere a sua volta un ulteriore consenso per lo svolgimento delle iniziative di direct marketing. Relativamente a tale questione, è stato precisato che i cessionari potranno astenersi dal richiedere un nuovo consenso soltanto ove, nello svolgimento di campagne di direct marketing, intendano avvalersi di strumenti automatizzati (come ad es. e-mail, sms, mms). Il cessionario dovrà, quindi, a sua volta raccogliere un nuovo consenso per procedere all’invio di comunicazioni promozionali in tutti i casi in cui intenda utilizzare strumenti di contatto non automatizzati (es. telefono con operatore o posta cartacea)[9].

Accountability: necessità di verifiche ex post

In ottica di accountability, al fine di impedire che “la ‘filiera’ delle responsabilità nell’ambito del trattamento preveda indebiti ‘scaricabarile’ ” [10], il Garante ha sottolineato come sia necessario fornire evidenza di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sull’efficacia e adeguatezza delle misure adottate caso per caso – efficacia e adeguatezza che non possono essere testate e dimostrate se non attraverso strutturati e sistematici meccanismi di verifica.

Il cessionario è pertanto chiamato ad adottare misure di garanzia al fine di comprovare che i dati personali e i relativi consensi siano stati raccolti dal cedente nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, tra cui presidi che possano testimoniare e monitorare nel tempo la corretta gestione dei consensi[11]. Nello specifico, il cessionario deve verificare che gli interessati da contattare abbiano correttamente ottenuto l’informativa – nel rispetto delle modalità descritte sopra – e rilasciato un idoneo consenso alla ricezione di comunicazioni promozionali da parte di terzi e che non si siano registrati nel Registro Pubblico delle Opposizioni[12] né si siano opposti al trattamento in oggetto nei confronti del titolare stesso; tali verifiche devono realizzarsi mediante apposite procedure di filtraggio delle liste di contattabilità.

Da ultimo, è consigliabile che il cessionario richieda la condivisione dei consensi raccolti dal cedente, al fine di essere in grado di dimostrare la liceità dei trattamenti marketing sulla base dei dati (e relativi consensi) così ottenuti.

Conclusioni

Come si è avuto modo di vedere, gli interventi del Garante sopra richiamati permettono di ricostruire quale sia, alla luce della normativa attualmente vigente, il quadro dei principali adempimenti richiesti ai fini della cessione di dati personali a terzi a fini di direct marketing. Tra gli accorgimenti più significativi posti in evidenza dal Garante pare conclusivamente opportuno sottolineare i seguenti punti di attenzione:

le società cessionarie possono effettuare attività promozionali senza richiedere un nuovo consenso – oltre a quello previamente raccolto dal cedente per cessione a terzi per loro finalità di direct marketing – solo ove si avvalgano di strumenti automatizzati; dunque, per lo svolgimento di attività promozionali per il tramite di strumenti non automatizzati occorre ottenere un nuovo consenso da parte dell’interessato;
le società cedenti sono tenute ad assicurare maggiore trasparenza in ordine alle categorie economiche e merceologiche dei soggetti terzi cessionari dei dati, anche laddove si tratti di società appartenenti al medesimo gruppo imprenditoriale.

Register now for your free, tailored, daily legal newsfeed service.

La cessione di dati a terzi per finalità di direct marketing

Filed under

Topics

Laws

Popular articles from this firm

Nuovo obbligo di notifica e metodologia di Risk Assessment dell’ACN *

Guida di ICO (l’Autorità inglese Garante per la protezione dei dati personali) al Regolamento Generale sulla Protezione dei Dati *

The publication of images: a grey line between privacy and data protection *

The right of access under the GDPR: Practical considerations for Data Controllers *

L’intersezione tra il nuovo Digital Services Act e la Direttiva copyright n. 790/2019 nella responsabilità dell’hosting provider *

Related practical resources PRO

Related research hubs