L’utilizzo degli strumenti di messaggistica per attività di comunicazione può essere un grande vantaggio per le organizzazioni che vogliono posizionare i propri prodotti o servizi, oppure gestire adeguatamente le comunicazioni con la propria clientela o utenza.
In questo articolo sono state predisposte alcune FAQ di estrema sintesi per poter guidare chi ha intenzione di utilizzare questa utile modalità di comunicazione e contatto e vuole farlo nel rispetto normativo.
Si precisa che si tratta di faq che richiamano alcuni dei temi riferibili a queste attività.
Chi è il titolare del trattamento legato agli invii delle comunicazioni?
Per ogni trattamento è importante determinare il concreto atteggiarsi dei ruoli e, di conseguenza, il grado di responsabilità in ambito inoltro sms. Nel caso specifico è necessario prendere in considerazione:
- le definizioni di titolare e responsabile di cui all’art. 4 del Regolamento, dove è “titolare” la persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento, mentre è “responsabile del trattamento” il soggetto che tratta dati personali per conto del titolare;
- Come richiamato anche dalle Linee guida 7/2020 dell’EDPB, indipendentemente dalla qualificazione contrattuale dei ruoli, è titolare il soggetto che determina le finalità (why) e i mezzi, cioè le modalità (how), del trattamento; è invece da considerarsi responsabile il soggetto che opera per conto del titolare, eseguendone le istruzioni anche con un certo grado di autonomia senza tuttavia poter esercitare alcuna facoltà in ordine alla scelta delle finalità del trattamento.
Ne consegue, che l’organizzazione che determina la finalità dell’azione di comunicazione, decide i mezzi (scegli l’invio di sms) individua i fornitori che la supporteranno è titolare del trattamento dati e deve essere in grado di dimostrare di avere applicato in modo formale e sostanziale gli obblighi previsti dal GDPR.
In relazione alle campagne marketing è bene ricordare che l’Autorità Garante ha più volte ribadito che chi commissiona le campagne è sempre titolare del trattamento connesso all’invio di comunicazioni inerenti i propri prodotti o servizi.
Tale considerazione è valida anche nei casi in cui le liste utilizzate siano fornite e/o utilizzate da terzi.
Su tale punto vedasi anche precedenti pronunce del Garante (provvedimento del 26 ottobre 2017 doc. web n. 7320903), in cui si ribadisce che il committente di una campagna promozionale, indipendentemente dalla materiale apprensione dei dati, deve ritenersi titolare del trattamento avendo in concreto determinato le decisioni in ordine alle finalità e modalità del trattamento stesso.
Quali finalità possono essere perseguite?
Le finalità che possono essere perseguite tramite l’invio di messaggi sono molteplici. Nell’elenco riportato ne ricordiamo alcune tra le più diffuse e inseriamo anche una considerazione sintetica sul fondamento giuridico del trattamento.
Alcune Finalità |
Riflessioni sul fondamento giuridico del trattamento |
Inoltro sms o mailing advertising per marketing Es. la TROMBADORE INTERNATIONA PANINI SPA intende pubblicizzare una promozione per una data ricorrenza e decide di effettuare una campagna sms
|
Di regola il fondamento giuridico è il consenso espresso dell’interessato alla ricezione di tali comunicazioni. In relazione alle mail, potrebbe essere anche l’art.130 comma 4 del codice privacy. Attenzione all’acquisizione di liste da parte di terzi (cfr. Faq specifica) |
Inoltro sms o mailing di servizio legati ad ottemperare ad un contratto con l’interessato. Es. La TROMBADORE INTERNATIONAL TELEFONIA SPA ha la necessità di comunicare la temporanea interruzione di un servizio contrattualizzato con l’interessato per la necessità di interventi tecnici, oppure per gestire la strong authentication tramite l’invio di codice otp |
Il fondamento può essere la base contrattuale, ove tale trattamento sia realmente legato ad ottemperare allo stesso. Non è adeguato sfruttare finalità contrattuali introducendo anche comunicazioni marketing considerando che si è in presenza di finalità differenti che si fondano su presupposto giuridico diverso. |
Che ruolo hanno i fornitori o le terze parti coinvolte nei processi?
Le terze parti possono svolgere compiti molto diversi e, di conseguenza, anche in ambito data protection è necessario effettuare le opportune distinzioni ed analisi.
E’ importante ricordare che ogni processo di trattamento deve essere preventivamente valutato nella sua concreta attuazione. Questa analisi che confluisce nel registro dei trattamenti ex art.30 Gdpr prende in considerazione anche il rapporto con i terzi ed i trattamenti che vengono loro affidati, oltre che le misure di sicurezza che devono essere adottate.
Le casistiche pratiche possono essere davvero diversificate, vediamo alcuni esempi:
Esempio |
Spunti di riflessione |
L’organizzazione gestisce autonomamente tutte le fasi dell’invio tramite propri strumenti. Si rivolge esclusivamente ad un operatore di comunicazione telefonica o telematica per attivare un servizio telefonico o telematico (es. SIM, attivazione messaggistica con Alias, servizio mail) |
L’organizzazione è titolare dei trattamenti di comunicazione realizzati.
Il soggetto che eroga servizi Telco è titolare dei trattamenti contrattuali (attivazione del servizio telefonico o telematico) e delle normative che impongono specifici obblighi su tale ambito, ad esempio, per le verifiche ed identificazione preventive all’attivazione di un servizio di comunicazione elettronica o per gli obblighi in tema di conservazione dati di traffico telematico e telefonico.
|
L’organizzazione gestisce autonomamente tutte le fasi di invio, ma utilizza strumenti messi a sua disposizione da un fornitore di servizi, ad esempio, una piattaforma dedicata.
|
L’organizzazione è titolare dei trattamenti di comunicazione realizzati.
Il soggetto che fornisce la piattaforma offre un servizio strumentale al titolare direttamente connesso a permettere il perseguimento delle finalità stabilite. Ne consegue che in tale caso il fornitore qualora tratti dati per conto del titolare è a tutti gli effetti Responsabile del trattamento ai sensi dell’art.28 Gdpr. Il rapporto tra le parti dovrà essere ben chiaro sia sotto il punto di vista civilistico che data protection, il contratto di servizio dovrà avere un oggetto ben chiaro e dovranno essere definiti anche tutti gli elementi previsti dall’art.28, eventualmente utilizzando anche le Clausole contrattuali standard promosse dalla Commissione UE. NB. si ricorda che per trattamento si intendono plurime azioni sui dati, anche la merca conservazione senza accedervi, oppure il back-up.[1] |
L’organizzazione affida ad uno o più soggetti terzi la completa gestione delle proprie azioni di comunicazione |
L’organizzazione è titolare dei trattamenti di comunicazione realizzati.
I soggetti che forniscono servizi strumentali al titolare operano per permettere il perseguimento delle finalità stabilite. Ne consegue che in tale caso i fornitori sono a tutti gli effetti Responsabile del trattamento ai sensi dell’art.28 Gdpr.
Il rapporto tra le parti dovrà essere ben chiaro sia sotto il punto di vista civilistico sia data protection. Il contratto di servizio dovrà avere un oggetto ben chiaro e dovranno essere definiti anche tutti gli elementi previsti dall’art.28, eventualmente utilizzando anche le Clausole contrattuali standard promosse dalla Commissione UE. Nel caso di diversi soggetti terzi è fondamentale che siano diversificate puntualmente le operazioni di trattamento che sono affidate a ciascuno degli stessi.
|
[1] Art. 4 punto 2 Gdpr «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
In caso di comunicazioni con finalità marketing, quali sono alcuni temi particolarmente delicati che devono essere ponderati con particolare attenzione?
Liste generate dall’organizzazione. |
È fondamentale che i soggetti interessati abbiano fornito consenso specifico, espresso, comprovabile associato ad un’informativa ai sensi dell’art.13. Si ricorda che il consenso deve essere facilmente revocabile. Qualora il presupposto giuridico non sia il consenso è comunque necessario che gli interessati abbiano ricevuto informativa preventiva (es. art.130 comma 4 in relazione alle mail) |
Liste acquisite direttamente da terzi list provider. |
I list provider sono soggetti che in prima battuta perseguono una finalità propria: la creazione di banche dati utilizzabili da terzi per azioni di marketing. Tali banche dati sono lecite solo se in presenza dei consensi degli interessati per la specifica finalità.
L’organizzazione che acquisisce le liste per le proprie azioni di marketing non è esente da responsabilità e deve attuare diversi presidi di verifica preventiva della liceità dei consensi acquisiti al fine di evitare l’inoltro di comunicazioni indesiderate. Inoltre, deve garantire la trasparenza nei confronti dell’interessato e la possibilità di esercitare i propri diritti, indicare l’origine dei dati solo per citare alcuni elementi importanti.
|
Liste acquisite da list provider da parte di agenzie a cui l’organizzazione si rivolge. |
I list provider sono soggetti che in prima battuta perseguono una finalità propria: la creazione di banche dati utilizzabili da terzi per azioni di marketing. Tali banche dati sono lecite solo se in presenza dei consensi degli interessati per la specifica finalità.
Le agenzie NON sono titolari delle banche dati utilizzate per l’invio di comunicazioni, operano in qualità di responsabili del trattamento per conto del committente acquisendo le liste per la specifica campagna e NON posso utilizzare i dati personali per altre finalità o per campagne di altri committenti. Sono state molteplici le situazioni in cui l’autorità è intervenuta sanzionando la filiera lunga delle cessioni di dati. A tal proposito si ricorda che il consenso acquisito dai list provider giustifica esclusivamente la comunicazione e l’uso dei dati esclusivamente in relazione alla campagna di uno specifico committente. Azioni come la rivendita a più soggetti della medesima lista, acquisita per una specifica campagna, da parte di agenzie configura un trattamento illecito.[2]
L’organizzazione che acquisisce le liste per le proprie azioni di marketing non è esente da responsabilità e deve attuare diversi presidi di verifica preventiva della liceità dei consensi acquisiti al fine di evitare l’inoltro di comunicazioni indesiderate. Inoltre, deve garantire la trasparenza nei confronti dell’interessato e la possibilità di esercitare i propri diritti, indicare l’origine dei dati solo per citare alcuni elementi importanti. |
[2] Questa posizione è stata ribadita più volte dal GPDP ad esempio: Ordinanza ingiunzione nei confronti di Fastweb S.p.A. – 25 marzo 2021 [9570997], i provvedimenti n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365 e n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681), tale modalità di comunicazione dei dati è inidonea a consentire all’interessato di esercitare il pieno controllo sugli stessi.
Il modello di business che prevede l’acquisizione di banche dati per poi ricederle a terzi in assenza di ulteriore specifico consenso risulta violare le disposizioni del Regolamento in molte previsioni normative, tra cui in materia di accountability e consenso (art. 5, parr. 1 e 2, art. 6, par. 1 e art. 7).
Il consenso quando è adeguato? A cosa prestare attenzione?
Il consenso viene ritenuto valido se:
- adeguatamente informato ai sensi degli artt. 12, 13 e 14
- libero
- specifico per ogni finalità di trattamento (es NO consenso unico per tutte le tipologie di marketing e per la profilazione)
- inequivocabile
- documentabile mediante elementi precisi e circostanziati
- revocabile in modo agevole
L’adozione di corrette modalità di acquisizione del consenso attraverso l’esame delle informative rilasciate al momento della raccolta dei dati e della user experience, volta a verificare la presentazione di richieste di conferimento del consenso chiare e comprensibili, non vincolate e facilmente revocabili è assolutamente essenziale.
E’ considerato correttamente acquisito un consenso che risulti adeguatamente documentato, tenendo traccia, con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine, come, ad esempio, la conservazione sia della coppia IPtimestamp del soggetto che ha fornito il consenso on line selezionando le apposite caselle, sia dell’invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS o mail a seconda della tipologia di comunicazione marketing che si intende porre in essere
La documentazione del consenso tramite l’indicazione del solo indirizzo IP è una modalità che il Garante ha già ritenuto insufficiente a documentare la volontà inequivocabile degli interessati (cfr. ad esempio provvedimento del 26 ottobre 2017).
I meccanismi cosiddetti double opt-in, dove il consenso acquisito on line viene successivamente confermato dall’interessato rispondendo ad un messaggio di conferma, possono essere prova indiscutibile del consenso fornito (nb. non è obbligatoria la procedura di doppio consenso);
Non è valido il consenso:
a) generico al trattamento dei dati;
b) unico per finalità contrattuali, o amministrative o contabili, e per trattamenti di marketing, di profilazione, o di comunicazione a terzi per finalità diverse da quelle contrattuali, o amministrative o contabili;
c) unico per trattamenti di marketing e di marketing su dati oggetto di profilazione;
d) unico per finalità di marketing proprio e di comunicazione a terzi per finalità promozionali;
e) preselezionato, sia vincolato sia deselezionabile, per qualsiasi genere di finalità sopra descritta;
f) non adeguatamente documentato o documentabile con certezza.
Nel caso di acquisizione di liste da terzi è evidente che, se il primo consenso acquisito dai list provider ha vizi di legittimità tutte le attività successive sono a loro volta illecite venendo a mancare il presupposto che legittima il trattamento sin dall’origine.
Quali sono i consigli per una corretta valutazione delle attività che voglio attuare e del rapporto con i responsabili?
- È fondamentale mappare correttamente ed in modo chiaro i processi di trattamento realizzati e che tali analisi siano aggiornate/rivalutate a scadenze periodiche e comunque ad ogni cambiamento significativo. In caso contrario non sarà possibile individuare in modo oggettivo e comprovabile in quali attività i fornitori responsabili sono effettivamente coinvolti, in che misura, per quali specifiche attività di trattamento e, più in generale, non saranno a disposizione informazioni essenziali per la corretta gestione del rapporto con i fornitori stessi;
- Effettuare una valutazione dei rischi in relazione alle attività di trattamento che sia oggettivamente orientata a valutare il rischio per gli interessati in tema di libertà, dignità, riservatezza, integrità, disponibilità dei dati, oltre che ad individuare puntualmente le misure di sicurezza adeguate al rischio in ottica di prevenzione e di riduzione degli impatti nel caso si verificasse qualche accadimento nefasto;
- Pianificare una valutazione preventiva concreta e comprovabile dei fornitori che ricoprono il ruolo di responsabili del trattamento in modo da avere la certezza che gli stessi forniscano adeguate garanzie per poter realizzare trattamenti conformi al Gdpr ed alle istruzioni del titolare;
- Definire in modo preciso i rapporti contrattuali in relazione ad aspetti civilistici, ma anche in relazione ai trattamenti affidati ed alle misure di sicurezza ed alle istruzioni documentate che il titolare del trattamento deve fornire al responsabile. Gli accordi contrattuali redatti ai sensi dell’art.28 GDPR devono avere un sufficiente livello di dettaglio per garantire il corretto affidamento, ma anche l’adozione puntuale e concreta delle misure di sicurezza concordare.
- Pianificare valutazioni in itinere dell’operato dei responsabili del trattamento. Queste valutazioni devono prevedere anche procedure di test delle misure di sicurezza concordate. Le misure devono essere testate anche prima di attuare un trattamento dati;
- Nel caso in cui si acquistino, o i fornitori di tecnologia propongano, software/applicativi utilizzati per attività che comportano trattamento di dati personali (CRM, software gestione dati sanitari, APP, strumenti per invio mail marketing, gestionali HR solo per citare alcuni casi concreti) richiedere preventivamente documentazione ed indicazioni comprovabili relative alle valutazioni effettuate in fase di ideazione progettazione e sviluppo degli strumenti, delle misure di sicurezza tecniche che sono state progettate in fase di design e che saranno di conseguenza adottabili in fase di default.
- in relazione all’uso di Alias, verificare puntualmente anche le regole definite dalla delibera AGCMO DELIBERA N. 12/23/CIR REGOLAMENTO SULL’UTILIZZO DEI CARATTERI ALFANUMERICI CHE IDENTIFICANO IL SOGGETTO MITTENTE NEI SERVIZI DI MESSAGGISTICA AZIENDALE (SMS ALIAS).
Corso
Formazione specialistica
data protection
Struttura normativa, sanzioni, concreta operatività e casi pratici
Vuoi saperne di più sui nostri corsi?