Inbound marketing: occorre fare la notifica per la profilazione?

05/04/2016
di Leonardo

Con l’avvento della nuova tecnica di vendita on line ovvero dell’Inbound marketing occorre soffermarsi sulla modalità di acquisizione e di trattamento dei dati da parte dei fornitori e, quindi, su come considerare tale trattamento se rientrante o meno nella definizione di profilazione.

In generale, l’Inbound marketing indica la strategia di marketing centrata sull’essere trovati da potenziali clienti in contrasto alla modalità tradizionale. In concreto le aziende, mediante apposito form, invitano l’utente che naviga sui propri siti a scaricare un determinato documento in Pdf e/o iscriversi alla newsletter.  Per effettuare il download o l’iscrizione, l’utente deve rilasciare alcuni dati classificabili molto spesso come informazioni personali (nome, cognome, indirizzo email, professione, età, indirizzo fisico, etc.) ed informazioni societarie (sito web, nome dell’azienda, numero di dipendenti, etc.).

comun_8924916_xxlAcquisite le suddette informazioni, rilasciate spontaneamente dall’utente che ha solo chiesto di scaricare il documento e/o di iscriversi alla newsletter, le singole società sono in grado di classificare, mediante appunto le informazioni acquisite, i visitatori e segmentarli in gruppi. Tale suddivisione è utile al Marketing in primo luogo per capire meglio gli utenti che navigano il sito web analizzato, e, di conseguenza, per monitorare l’andamento della campagna pubblicitaria effettuata online. Chiaramente la targettizzazione effettuata consente di realizzare campagne e-mail marketing mirate in base alla specificità della propria audience.

La domanda da porsi è: il trattamento effettuato nell’Inbound marketing può rientrare nella definizione di profilazione?

Come noto la definizione di profilazione non è ben delineata. Il D.lgs. 196 del 2003 e simili ne parla solo nell’articolo 37, co. 1, lett d), relativo alla notificazione, precisando che il Titolare deve notificare il trattamento dei dati trattati con l’ausilio di strumenti elettronici volti alternativamente a:

  • definire il profilo oppure la personalità dell’interessato;
  • oppure ad analizzare abitudini o scelte di consumo;
  • oppure a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti.

Dalla quanto sopra indicato non si evincono, effettivamente, i limiti di informazioni trattabili concretamente, ovvero quali dati possono essere acquisiti attraverso un form per non ricadere nella profilazione.

L’anno scorso, con  le “Linee guida in materia di trattamento di dati personali per profilazione on line” emanate dal Garante il 19 marzo 2015 il medesimo ha precisato che per finalità di profilazione si intende «l’analisi e l’elaborazione di informazioni relative a utenti o clienti, al fine di suddividere gli interessati in “profili”, ovvero in gruppi omogenei per comportamenti o caratteristiche sempre più specifici, con l’obiettivo di pervenire all’identificazione inequivoca del singolo utente (cd. single out) ovvero del terminale e, per il suo tramite, anche del profilo, appunto, di uno o più utilizzatori di quel dispositivo.»

Lo stesso provvedimento poi precisa che la categorizzazione può essere strumentale alternativamente:

  • alla messa a disposizione di servizi sempre più mirati e conformati sulle specifiche esigenze dell’utente;
  • alla fornitura di pubblicità personalizzata, che pertanto abbia un grado di probabilità di successo (ma, al tempo stesso, anche un livello di pervasività) molto più elevati rispetto a messaggi promozionali generici;
  • all’analisi e monitoraggio dei comportamenti dei visitatori dei siti web;
  • allo sfruttamento commerciale dei profili ottenuti, i quali possono avere un significativo valore di mercato in ragione della loro capacità di fornire indicazioni sulle propensioni al consumo di beni e servizi.

comun_11615082_xxlTale provvedimento, seppur applicabile solo ai fornitori di servizi della società dell’informazione, è utile perché propone una definizione di profilazione.

L’iter del Garante nel tempo

In precedenza il Garante non si è molto esposto su tale punto:

  • Un provvedimento adottato il 24 febbraio 2005 sulla fidelizzazione attribuiva l’obbligo della notificazione, e della richiesta del consenso, per la finalità di profilazione effettuata sui dati della clientela da parte dei supermercati. In particolare, il provvedimento prescriveva i due suddetti obblighi ai Titolari che acquisiscono (all’atto della registrazione o in seguito) informazioni «che permettono di individuare gli interessati e/o indicazioni analitiche relative alla loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo)
  • Un ulteriore provvedimento adottato nel 2008 dal Garante nei confronti di una multinazionale farmaceutica, affermava che la mera raccolta di informazioni attinenti al numero degli assistiti/pazienti, nonché alle attitudini prescrittive del medico si configura quale attività di profilazione (attività B2B).
  • Un successivo provvedimento del Garante dell’8 aprile 2010 sulla profilazione è stato quello emanato nei confronti di una società che organizza viaggi low-cost online creando profili dei clienti in base ai gusti e alle abitudini; utilizzava quindi i dati personali di questi ultimi a fini di pubblicità. Da qui l’obbligo a chiedere un consenso specifico e distinto sia per la finalità di profilazione sia per la finalità di marketing e naturalmente a fare la notificazione.

Di recente, invece, il Garante ha sanzionato con il provvedimento del 18 novembre 2015 una società che vende biglietti online perché effettuava attività di profilazione senza consenso dell’utente e senza notificazione. In particolare la società usava un software finalizzato all’invio di newsletter personalizzate, utilizzando i dati “relativi agli ordini effettuati dai clienti” ed “i dati di navigazione degli stessi sul sito“, nonché una piattaforma destinata all’invio di e-mail agli utenti “sulla base dei prodotti inseriti nel proprio carrello e il cui ordine non è stato finalizzato”.

Pertanto, partendo da quanto sopra, prima di avviare una attività di Inbound marketing occorre analizzare, concretamente, se i dati trattati dalla società possano o meno ricadere nell’attività di profilazione, al fine di evitare sanzioni molto pesanti derivanti da violazioni come il trattamento illecito di dati personali, l’incompleta informativa, l’inosservanza di provvedimenti del Garante e l’omessa notificazione al Garante di cui agli artt. 161, 163, 167, 170 del Codice Privacy con applicazioni di sanzioni penali (reclusione fino a 18 mesi per illecito trattamento dei dati) e sanzioni amministrative (fino a 120.000,00 euro per la sola mancata notificazione).

Riproduzione riservata ©

ALTRE NEWS

GDPR: best practices, raccomandazioni e aspetti da considerare

Si è svolto a Roma Cybersecurity Summit 2018, l’evento organizzato da TIG con l’obiettivo di fare il punto sulle principali tematiche di cyber security tenendo… Leggi Tutto

PA, nuvole sulla sicurezza dei dati?

Continuità operativa e disaster recovery per le PA: la scadenza del 25 aprile non sembra essere stata rispettata. Quali le soluzioni per tutelare dati e… Leggi Tutto

Radicale esclusione del trattamento dei dati delle persone giuridiche dall’ambito di applicazione del Codice privacy?

Il Garante per la protezione dei dati personali, con il Provvedimento generale n.262/2012, pubblicato sulla Gazzetta Ufficiale n. 268 del 16 novembre 2012, è intervenuto… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.