Marketing di prossimità o di contatto. Come operare in conformità alla GDPR

18/09/2017
di roberto

I servizi basati sulla localizzazione e il marketing di prossimità (Beacon e iBeacon, Bluetooth o wifi proximity marketing, NFC,) stanno crescendo in popolarità. Lo scopo è quello di utilizzare dati di posizione per migliorare l’esperienza degli utenti e le vendite, rientrando a pieno titolo in quel filone di cui si sente sempre più spesso parlare, quello dello IoT, cioè l’Internet of Things. Esempi di contesti tipici in cui un’applicazione di proximity marketing può essere sfruttata, possono essere: i musei, i ristoranti, fiere, Centri Commerciali, Aeroporti, etc.

Tuttavia, l’utilizzo dei dati di posizione per finalità di marketing e di profilazione non è senza limiti, soprattutto dal punto di vista privacy, in quanto è doveroso tenere in considerazione l’applicazione del D.lgs. 196 del 2003 e s.m.i., appunto il Codice privacy, e dei provvedimenti dell’Autorità garante per la protezione dei dati personali, nonché del nuovo Regolamento (UE) 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il sistema di marketing di prossimità è una soluzione che potrebbe essere usata per esempio dalle catene di centri commerciali per impiegare i device mobili degli utenti come strumenti di contatto con la clientela di riferimento, per pianificare azioni di marketing efficaci. Il sistema in tali casi, a titolo esemplificativo, è in grado di rilevare alcune specifiche informazioni:

  • start e stop Time;
  • Location ID;
  • indirizzo IP;
  • Client MAC Address, etc;
  • informazioni anagrafiche degli utenti (nome, cognome, data di nascita, etc.) a seguito di specifica registrazione.

E’ evidente come le informazioni anagrafiche degli utenti (nome, cognome, data di nascita, etc.) sono considerabili “dati personali” ai sensi dell’art. 4 del Codice privacy in quanto informazioni relative “a persona fisica identificata”. Tuttavia, anche le altre informazioni, ovvero i log di sessione (Start/Stop Time; Location ID; indirizzo IP; Client MAC Address), sono da sole “dati personali”. Il MAC Address (Media Access Control Address), in particolare, è considerato un “dato personale” ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati e lo ricorda anche il Garante per la Protezione dei dati personali nelle sue pronunce come p.e. il provvedimento n. 303 del 13 luglio 2016 del Garante per la protezione dei dati personali.

Detto ciò, quali sono allora le incombenze da affrontare per tutelarsi dalle sanzioni del Garante per la protezione dei dati personali in caso di uso di un sistema di marketing di prossimità e/o marketing di contatto?

Di seguito si indicano alcune delle specifiche incombenze da affrontare naturalmente prima di impostare un sistema di rilevamento della posizione geografica dei dispositivi mobili dei clienti p.e. nei centri commerciali per l’uso per finalità di marketing e profilazione:

Adottare specifiche misure e accorgimenti a tutela dei diritti degli interessati

Ai sensi degli artt. 31 e ss. del Codice privacy, in merito alle misure di sicurezza del sistema occorrerebbe applicare oltre alle misure minime, anche ulteriori specifiche come quelle utili a proteggere il trattamento dei dati di geolocalizzazione, per il data breach, etc.

Impostare idonei termini di conservazione dei dati

In merito alla conservazione dei dati trattati, prendendo in considerazione i principi basilari indicati dal Codice privacy, i tempi di conservazione delle diverse tipologie di dati personali trattati nel marketing di prossimità e/o di contatto dovrebbero essere individuati tenendo conto di ciascuna delle singole finalità in concreto perseguite (N.B.: il termine di conservazione dei dati personali per la finalità di marketing è di 24 mesi, mentre per la profilazione è di 12 mesi).

Redigere e rilasciare un’idonea informativa ed acquisire appositi consensi

Naturalmente ai sensi dell’art. 13 andrebbero rilasciate agli interessati una serie di informazioni specifiche e ai sensi degli artt. 23 e 24 del Codice privacy andranno acquisiti gli specifici consensi per la finalità di marketing e di profilazione, nonché di geolocalizzazione.

Nominare i responsabili e gli incaricati

Il titolare del trattamento dovrebbe individuare correttamente i soggetti (interni e/o esterni alla azienda) che accedono ai dati e nominarli quali incaricati del trattamento o responsabili, ai sensi degli artt. 29 e 30 del Codice privacy.

Effettuare la verifica preliminare

Ad oggi il Garante per la protezione dei dati personali non si è ancora espresso con un provvedimento ad hoc sull’uso dei dati geografici associati alla finalità di marketing e di profilazione (c.d. marketing di contatto e/o marketing di prossimità), si evidenzia come tale trattamento presenta rischi specifici per la libertà, i diritti e la dignità dell’interessato ai sensi dell’articolo 17 del Codice privacy e pertanto occorrerebbe procedere nel richiedere la verifica preliminare.

Effettuare la notificazione al Garante per la protezione dei dati personali

Si anticipa che, preventivamente all’adozione del sistema, il centro commerciale sarà obbligato a effettuare la notificazione al Garante per la protezione dei dati personali ai sensi dell’articolo 37 del Codice privacy per il GPS e per a profilazione.

Effettuare un Privacy Impact Assessment (PIA)

Si anticipa che, ai sensi del nuovo Reg. UE n. 2016/679 che entrerà a pieno titolo il 25 maggio del prossimo anno, occorrerebbe predisporre una idonea valutazione dei benefici e rischi connessi all’uso del sistema, che tenga conto in particolare di eventuali ulteriori funzionalità aggiunte ai dispositivi mobili, nonché degli impatti sulla sicurezza dell’infrastruttura IT e del rispetto dei principi generali imposti dalla normativa vigente.

Considerando le variabili in gioco e l’importanza di non compromettere gli investimenti, in fase progettuale può essere d’aiuto procedere con adeguato assessment per valutare la natura e la criticità degli aspetti procedurali e normativi.

Riproduzione riservata ©

ALTRE NEWS

Cyber risk is a people risk: a cosa serve la cultura sulla sicurezza informatica?

La security per un’azienda è molto più di un problema tecnico. Un approccio basato esclusivamente su potenti software difensivi rischia di essere un investimento cospicuo… Leggi Tutto

Blockchain, Servizi e Privacy: quali implicazioni?

In un mondo che cavalca il progresso tecnologico quasi alla velocità della luce, rendendo oggi obsoleto quello che ieri era ai più ancora sconosciuto, può… Leggi Tutto

Sistema informatico e i limiti di accesso: senza non c’è tutela penale

La sentenza sull’accesso abusivo ai sistemi informatici Con la sentenza 32666 del 24.07.2015 la 5° Sezione della Corte di Cassazione, torna nuovamente a delineare il… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form