Operazioni “Porta un amico” e GDPR. Sono ancora ammesse?
Il Regolamento UE n. 679 del 2016 sul trattamento dei dati personali prevede regole particolarmente ferree per il settore marketing, in particolare se le operazioni di marketing vengono svolte a seguito di decisioni prese sulle persone attraverso sistemi completamente automatizzati.
Una delle regole fondamentali prevista dal GDPR è quella che prevede la necessità di chiedere il consenso al trattamento dei dati personali, consenso che non può essere presunto da altre azioni dell’interessato come può essere la compilazione di un form online o l’acquisto di un prodotto, ma deve essere espresso attraverso un’azione specifica, inequivocabile e tracciabile con cui il soggetto interessato esprima la volontà di ricevere comunicazioni promozionali e/o di essere sottoposto a profilazione, consenso che può essere ritirano in qualsiasi momento e per qualsiasi motivo dall’interessato stesso. Tutto questo significa che il titolare del trattamento che intenda inviare comunicazioni pubblicitarie dovrà impostare, in particolare se opera online, degli strumenti semplici e immediati che consentano all’interessato di individuare facilmente la specifica richiesta di consenso e di esprimere la sua volontà, manifestando il suo benestare o ritirando quello già espresso.
Pertanto, se ad esempio un cliente compila un form online per ricevere la versione prova di un prodotto o servizio, non significa che abbia manifestato anche un consenso implicito all’invio della newsletter o di altre offerte via email o via telefono, quindi se in tal caso gli inviamo la newsletter o comunicazioni pubblicitarie circa i nostri servizi/prodotti stiamo violando il GDPR; per inviare invece nel modo corretto la newsletter o altre comunicazioni di natura promozionale, è necessario che il form con cui chiediamo all’utente di compilare dei campi per ottenere una versione prova, contenga anche la possibilità di spuntare una specifica casella (quindi non una casella preselezionata, ma una libera scelta mediante un’azione propria di opt-in) corredata dalla richiesta di manifestazione dell’eventuale consenso specificamente domandato per l’invio di tali comunicazioni e solo se l’utente spunta anche questa casella, siamo abilitati a fornirgli pubblicità e lo ribadiamo SOLO SE L’UTENTE SPUNTA QUESTA ULTERIORE CASELLA POSSIAMO INVIARE LA PUBBLICITA’.
Il primo invio e tutti quelli successivi devono poi contenere sempre l’agevole possibilità di ritirare questo consenso. In tal caso, avendo traccia del diniego manifestato, la comunicazione dovrà necessariamente bloccarsi all’ultima in cui l’utente ha espresso il suo rifiuto.
Ma una questione resta aperta: come gestire le operazioni “Porta un amico” e simili?
In tali circostanze, infatti, è il nostro cliente che fornisce l’indirizzo email, il numero di telefono o altre informazioni che ci consentiranno di contattare il suo amico che il più delle volte è ignaro di tale cessione dell’informazione di contatto e siccome invece il GDPR impone di chiedere il consenso all’invio di materiale pubblicitario, contestualmente alla raccolta del dato, sembrerebbe che tali operazioni non siano conformi al GDPR.
Quindi? Non potranno essere più svolte operazioni di marketing simili?
In realtà sì, sebbene ci siano degli accorgimenti da tenere presenti. Innanzitutto, occorrerà domandare solo il contatto e non altri dati personali, nemmeno il nominativo in realtà è proprio strettamente necessario per la prima comunicazione, in quanto questo primo invio non dovrà avere le caratteristiche di un avviso pubblicitario, bensì una mera notifica.
In che senso? Nel senso che in questo primo avviso, dovremo presentarci – va anche bene la maniera accattivante, se vogliamo ottenere il consenso - informare l’amico che un nostro cliente ci ha fornito il suo indirizzo email, il suo numero o altro contatto, spiegare perché lo stiamo contattando, presentargli l’informativa con tutto il contenuto previsto dal GDPR in questi casi (cioè nel caso in cui terzi ci abbiano comunicato i dati) e chiedere a questo punto il consenso all’invio delle nostre comunicazioni promozionali. Solo dopo aver informato correttamente sul trattamento e ricevuto il consenso, potremo iniziare ad inviare le nostre pubblicità in maniera conforme alla norma.
Naturalmente, se il soggetto in questione non risponde e non manifesta il suo consenso, i suoi dati dovranno essere cancellati dai nostri database (anzi non dovrebbero essere proprio memorizzati o processati), a meno che non abbiamo già un sistema automatizzato che li cancelli per noi.
Se diversamente conserviamo questi dati, li memorizziamo e inviamo a tali indirizzi o numeri, offerte commerciali, senza che il destinatario abbia espresso il suo consenso verificabile e tracciabile, stiamo violando il GDPR.
In definitiva: le operazioni di marketing denominate “Porta un amico” sono ancora valide, ma con opportuna attenzione, tenendo presente che nessuna email, nessun SMS, nessuna chiamata a carattere pubblicitario devono essere effettuati senza aver ottenuto il consenso specifico, espresso, tracciabile e inequivocabile dell’interessato.