Marketing di prossimità o di contatto. Come operare in conformità alla GDPR

I servizi basati sulla localizzazione e il marketing di prossimità (Beacon e iBeacon, Bluetooth o wifi proximity marketing, NFC,) stanno crescendo in popolarità. Lo scopo è quello di utilizzare dati di posizione per migliorare l’esperienza degli utenti e le vendite, rientrando a pieno titolo in quel filone di cui si sente sempre più spesso parlare, quello dello IoT, cioè l’Internet of Things. Esempi di contesti tipici in cui un’applicazione di proximity marketing può essere sfruttata, possono essere: i musei, i ristoranti, fiere, Centri Commerciali, Aeroporti, etc.

Tuttavia, l’utilizzo dei dati di posizione per finalità di marketing e di profilazione non è senza limiti, soprattutto dal punto di vista privacy, in quanto è doveroso tenere in considerazione l’applicazione del D.lgs. 196 del 2003 e s.m.i., appunto il Codice privacy, e dei provvedimenti dell’Autorità garante per la protezione dei dati personali, nonché del nuovo Regolamento (UE) 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il sistema di marketing di prossimità è una soluzione che potrebbe essere usata per esempio dalle catene di centri commerciali per impiegare i device mobili degli utenti come strumenti di contatto con la clientela di riferimento, per pianificare azioni di marketing efficaci. Il sistema in tali casi, a titolo esemplificativo, è in grado di rilevare alcune specifiche informazioni:

• start e stop Time;
• Location ID;
• indirizzo IP;
• Client MAC Address, etc;
• informazioni anagrafiche degli utenti (nome, cognome, data di nascita, etc.) a seguito di specifica registrazione.

E’ evidente come le informazioni anagrafiche degli utenti (nome, cognome, data di nascita, etc.) sono considerabili “dati personali” ai sensi dell’art. 4 del Codice privacy in quanto informazioni relative “a persona fisica identificata”. Tuttavia, anche le altre informazioni, ovvero i log di sessione (Start/Stop Time; Location ID; indirizzo IP; Client MAC Address), sono da sole “dati personali”. Il MAC Address (Media Access Control Address), in particolare, è considerato un “dato personale” ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati e lo ricorda anche il Garante per la Protezione dei dati personali nelle sue pronunce come p.e. il provvedimento n. 303 del 13 luglio 2016 del Garante per la protezione dei dati personali.

Detto ciò, quali sono allora le incombenze da affrontare per tutelarsi dalle sanzioni del Garante per la protezione dei dati personali in caso di uso di un sistema di marketing di prossimità e/o marketing di contatto?

Di seguito si indicano alcune delle specifiche incombenze da affrontare naturalmente prima di impostare un sistema di rilevamento della posizione geografica dei dispositivi mobili dei clienti p.e. nei centri commerciali per l’uso per finalità di marketing e profilazione:

Adottare specifiche misure e accorgimenti a tutela dei diritti degli interessati

Ai sensi degli artt. 31 e ss. del Codice privacy, in merito alle misure di sicurezza del sistema occorrerebbe applicare oltre alle misure minime, anche ulteriori specifiche come quelle utili a proteggere il trattamento dei dati di geolocalizzazione, per il data breach, etc.

Impostare idonei termini di conservazione dei dati

In merito alla conservazione dei dati trattati, prendendo in considerazione i principi basilari indicati dal Codice privacy, i tempi di conservazione delle diverse tipologie di dati personali trattati nel marketing di prossimità e/o di contatto dovrebbero essere individuati tenendo conto di ciascuna delle singole finalità in concreto perseguite (N.B.: il termine di conservazione dei dati personali per la finalità di marketing è di 24 mesi, mentre per la profilazione è di 12 mesi).

Redigere e rilasciare un’idonea informativa ed acquisire appositi consensi

Naturalmente ai sensi dell’art. 13 andrebbero rilasciate agli interessati una serie di informazioni specifiche e ai sensi degli artt. 23 e 24 del Codice privacy andranno acquisiti gli specifici consensi per la finalità di marketing e di profilazione, nonché di geolocalizzazione.

Nominare i responsabili e gli incaricati

Il titolare del trattamento dovrebbe individuare correttamente i soggetti (interni e/o esterni alla azienda) che accedono ai dati e nominarli quali incaricati del trattamento o responsabili, ai sensi degli artt. 29 e 30 del Codice privacy.

Effettuare la verifica preliminare

Ad oggi il Garante per la protezione dei dati personali non si è ancora espresso con un provvedimento ad hoc sull’uso dei dati geografici associati alla finalità di marketing e di profilazione (c.d. marketing di contatto e/o marketing di prossimità), si evidenzia come tale trattamento presenta rischi specifici per la libertà, i diritti e la dignità dell’interessato ai sensi dell’articolo 17 del Codice privacy e pertanto occorrerebbe procedere nel richiedere la verifica preliminare.

Effettuare la notificazione al Garante per la protezione dei dati personali

Si anticipa che, preventivamente all’adozione del sistema, il centro commerciale sarà obbligato a effettuare la notificazione al Garante per la protezione dei dati personali ai sensi dell’articolo 37 del Codice privacy per il GPS e per a profilazione.

Effettuare un Privacy Impact Assessment (PIA)

Si anticipa che, ai sensi del nuovo Reg. UE n. 2016/679 che entrerà a pieno titolo il 25 maggio del prossimo anno, occorrerebbe predisporre una idonea valutazione dei benefici e rischi connessi all’uso del sistema, che tenga conto in particolare di eventuali ulteriori funzionalità aggiunte ai dispositivi mobili, nonché degli impatti sulla sicurezza dell’infrastruttura IT e del rispetto dei principi generali imposti dalla normativa vigente.

Considerando le variabili in gioco e l’importanza di non compromettere gli investimenti, in fase progettuale può essere d’aiuto procedere con adeguato assessment per valutare la natura e la criticità degli aspetti procedurali e normativi.