Di questi tempi, gli errori in ambito marketing possono costare caro, ad esempio quando parliamo di granularità dei consensi marketing. Il Garante pare infatti – si vedano le milionarie sanzioni ad es. a Tim e Wind tra gli altri – ricalibrare al rialzo, in virtù del GDPR, l’ammontare delle sanzioni pecuniarie, a incentivo di un ripensamento aziendale circa l’attenzione da porre a questo ambito.
Nella realtà quotidiana – pur a fronte della consapevolezza di pratiche non del tutto conformi – può capitare di percepire un atteggiamento di “leggerezza” sul tema, forti anche del fatto che al più il titolare avrebbe rischiato una sanzione esigua se confrontata al previsto ritorno commerciale derivante dalla campagna promozionale.
Proprio ciò che il legislatore comunitario ha voluto evitare, varando un apparato sanzionatorio indefinito ma chiarissimo nei suoi massimi, davvero elevati (basti parlare di 2% o 4% di fatturato globale per guadagnare attenzione), a testimoniare il cambio di filosofia.
Non basta però “mettersi in riga”: rispetto al passato serve un’attenzione minuziosa – pensiamo soprattutto in capo ai DPO aziendali – ai tanti anfratti che la compliance privacy oggi può nascondere.
Un aggiornamento delle novità sanzionatorie è fondamentale, richiedendo spesso uno studio approfondito di provvedimenti articolati come quelli emanati dal nostro Garante, il quale, più che suggerimenti, fornisce delle preziose direttive di ripensamento di consolidati indirizzi aziendali.
Indice degli argomenti
Il provvedimento sanzionatorio contro le raccolte punti “predatorie”
Non si esagera se prendiamo come riferimento un provvedimento del Garante dell’anno passato, cioè l’ordinanza ingiunzione a carico di Pampers del 12 giugno 2019. La pronuncia è stata richiamata dal Garante nella sua newsletter e in vari articoli di stampa dichiarando “No alla raccolta punti acchiappa consensi”, stigmatizzando il titolare Pampers che tramite il proprio sito web obbligava chi volesse aderire a un programma di fidelizzazione con raccolta punti a rendere un consenso generico per fini di marketing.
Pare essere passata in sordina, invece, quella che pare una strada innovativa del Garante nello stesso provvedimento. Difatti, il suddetto provvedimento, se letto nella sua interezza, va oltre quanto annunciato nel comunicato stampa.
Il “sorpasso” delle Linee guida marketing del 2013: un consenso per tre finalità
Partiamo da una premessa, ovvero le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, tuttora vigenti (per quanto compatibili con il GDPR e il rinnovato D.lgs. 196/2003) e ultimo provvedimento generale di questo tipo – alla data odierna – rilasciato dal Garante. Un contributo che è tuttora una bussola per gli operatori.
In tale documento leggiamo quanto segue: “Va tuttavia chiarito un aspetto peculiare della finalità promozionale. Infatti, il Codice prevede, ai citati artt. 7, comma 4, lett. b), 130, comma 1 e 140, più possibili finalità di marketing ossia quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale […] Al riguardo, l’Autorità ritiene che le suddette attività sono funzionali, nella maggior parte dei casi, a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare – sempre di norma – l’acquisizione di un unico consenso”.
Il concetto era ben esplicitato dal Garante: un consenso unico plurifunzionale, agglutinato nello scopo generale di marketing. E così tantissimi titolari hanno ragionato e ragionano tuttora, nella convinzione della sua attualità.
L’ordinanza del Garante del 2019: tre consensi per una finalità?
Con la citata ordinanza del 2019 il Garante pare invece contraddire o, per meglio dire, mutare il proprio indirizzo, argomentando che “il primo consenso richiesto per finalità promozionali, di invio di newsletter, analisi statistiche, sondaggi d’opinione, […] è risultato accomunare indistintamente più diverse finalità, impedendo all’interessato di poter distinguere fra di esse e di fornire il proprio consenso libero e selettivo […] Deve pertanto ritenersi che, alla luce degli elementi in atti, il trattamento dei dati riferiti agli utenti, raccolti con le siffatte modalità, sia avvenuto in modo illecito […] la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento […]”.
Alla luce di quanto affermato, pare di intendere che la società sanzionata avrebbe dovuto suddividere tale consenso in tre, per le rispettive finalità promozionali: i) di invio di newsletter, ii) di analisi statistica, iii) di sondaggio d’opinione.
Tre consensi, dunque, che il Garante afferma non “riassumibili” nel cappello comune del marketing.
Tale differenza si può forse spiegare con i riferimenti ad alcuni articoli del D.lgs. 196/2003, poi abrogati nel 2018, ma non pare sufficiente a giustificarla per nessuno dei riferimenti poi mutati con l’aggiornamento normativo. Né il testo del GDPR fornisce elementi che possono far sbilanciare la valutazione dei consensi nel senso inteso dal Garante.
Granularità dei consensi marketing: un marchio, un consenso?
Un altro aspetto da non sottovalutare emerge dalla seconda delle due criticità sollevate dal Garante: la mancata possibilità data all’interessato di poter prestare il consenso non solo in base alle diverse finalità promozionali ma altresì in relazione ai marchi oggetto della promozione.
Secondo il Garante, infatti, “anche il secondo consenso – ossia quello richiesto per le medesime finalità di cui al punto precedente, ma con riguardo ai diversi marchi “Lines”; “Linidor”; “Tampax”; “Ace” ed “Infasil” – è risultato affetto dal medesimo vizio del primo [ovvero l’accomunare distinte finalità]”.
Potrebbe trarsi una conclusione per la quale il titolare del trattamento – oltre a garantire all’interessato la possibilità di prestare un consenso informato, documentato, libero, specifico e chiaramente formulato con riferimento alle distinte finalità – debba altresì consentirgli di distinguere il consenso in base ai marchi che contrassegnano i prodotti o servizi oggetto di promozione.
A nostro avviso si tratta di un approccio che va inteso nel contesto: non andrebbe inteso come un’imposizione, sempre e comunque, di distinguere i consensi per ognuno degli eventuali marchi posseduti.
Bensì tale obbligo scatterebbe in un caso analogo a quello qui in parola, ove il Garante ha rilevato più siti web presenti per ogni marchio utilizzato, prodotti diversi per ogni marchio (si pensi nel caso concreto, ad es., ai pannolini Lines e al detergente Infasil), un consenso differenziato in primis dal titolare (un consenso specifico per il marchio Pampers, un diverso consenso unico per tutti gli altri).
Ciò perfezionerebbe la distinzione tra marchi come distinzione tra finalità. A supporto possiamo menzionare ad adiuvandum le citate Linee guida del Garante in materia di attività promozionale e contrasto allo spam del 2013, ove nel caso di follower di un profilo social web relativo a un determinato marchio l’autorità già ne riconosceva la specificità (al pari della distinzione tra “personaggio, prodotto o servizio”).
Queste considerazioni attendono comunque futuri provvedimenti che possano confermare e meglio chiarire l’approccio dell’autorità in merito.
Granularità dei consensi marketing: tre approcci per un dilemma
Preso atto di questa impostazione del Garante, l’operatore che tratta dati personali può trarne diverse conseguenze. Un primo approccio può essere quello di “minimizzare”, cioè di restringere quanto sopra all’ambito particolare della raccolta punti per la fidelizzazione, all’ambito commerciale di vendita diretta di prodotti come quello della Pampers e quant’altro.
Nulla però nel testo pare limitare le considerazioni del Garante in alcun senso, anzi, al contrario, lo stesso pare voler fare il punto su principi di applicazione generale.
Un diverso approccio può essere quello “attendista”, cioè pur a fronte di questa potenziale necessità di revisione dei consensi, si può considerare il provvedimento del Garante ristretto al caso di Pampers, in attesa di successive conferme o smentite – con altre ordinanze o rinnovate Linee guida – da parte del Garante.
Infine, il titolare potrebbe accogliere integralmente quanto sancito dal Garante e “rivoluzionare” il proprio parco consensi, prima unico e ora plurimo, dovendo ripensare sia a come gestire i pregressi consensi unificati (ad es. dividerli come se ne fosse stato rilasciato solo uno su tre?), sia a come richiederli nella nuova impostazione tripartita (si pensi all’impatto sui sistemi aziendali di CRM di una modifica potenzialmente massiva).
La strada preferibile e più rigorosa sarebbe quest’ultima, la realtà aziendale e il bilanciamento delle sue varie “anime” potrebbero indurre a rischiosi compromessi, vuoi per motivi economici, vuoi per l’impatto sul mercato.
