Marketing e applicativi: valutazione privacy dei fornitori

05/07/2023
di Giulia Rizza

Marketing e applicativi: le scelte strategiche

L’adozione di efficaci strategie di marketing è uno dei principali strumenti di sviluppo aziendale: far conoscere adeguatamente i propri prodotti e servizi al consumatore è l’obiettivo di ogni impresa.

Oggi, le nuove tecnologie consentono di realizzare imponenti campagne pubblicitarie, a livello globale e sempre più indirizzate a specifiche categorie di consumatori e/o mercati, basandosi sull’analisi di ingenti quantità di dati personali, elaborati da processi sempre più automatizzati.

Vuoi approfondire gli aspetti legali del Marketing online?

Ti aspettiamo al prossimo Colin Focus Day il 12 luglio alle 11.00

Marketing e (trattamento legittimo di) dati personali sono un binomio inscindibile

Il GDPR, oltre ad aver comportato la necessità di rielaborare strategie di comunicazione e marketing nel rispetto di norme comunitarie più restrittive, ha anche elevato la consapevolezza degli interessati, che oggi pongono sempre più maggiore attenzione alla gestione dei propri dati. A prescindere dai noti rischi sanzionatori (il GDPR ha infatti previsto multe che possono arrivare al 4% del fatturato globale di gruppo), i trattamenti illegittimi di dati personali potrebbero avere ripercussioni gravi e difficilmente quantificabili: basti pensare ai danni reputazionali e di immagine nei confronti di una platea sempre più consapevole.

Tra i vari obblighi che il legislatore ha imposto, vi è anche la preventiva valutazione di adeguatezza dei mezzi utilizzati per il trattamento e dei soggetti a cui sono affidate tutte o determinate attività di trattamento.

Lo studio di efficaci piani di marketing non può quindi prescindere dall’adeguata valutazione, anche sotto il profilo della compliance normativa e non soltanto tecnico/economica, degli strumenti che si intende a tal fine utilizzare e dei potenziali stakeholders e partners.

Le verifiche privacy sui fornitori

Limitarsi ad affidarsi ai grandi big player del mercato, che offrono strumenti ampiamente utilizzati a livello globale, non esime dagli obblighi normativamente imposti ed anche il Garante privacy europeo ha da tempo espresso una chiara opinione sul punto: l’accettazione di termini predisposti e, spesso, imposti dal fornitore, non esclude la diretta responsabilità del titolare che, anche in caso di oggettiva impossibilità di negoziazione, avrebbe potuto non accettare tali condizioni ed individuare diverse soluzioni tali da consentire il rispetto della normativa. Senza dimenticarsi del provvedimento del Garante italiano dello scorso anno che, a seguito nel 2020 della sentenza “Schrems II” che ha invalidato la decisione di adeguatezza che legittimava i trasferimenti verso gli U.S.A. ed imposto nuove condizioni per valutare l’adeguatezza degli strumenti di garanzia adottati, ha stabilito come il sito web che utilizza il servizio Google Analytics violi la normativa privacy, in quanto il servizio di Google comporta trasferimento di dati personali verso gli U.S.A. in assenza delle garanzie previste dal GDPR. La circostanza che l’utilizzatore non avesse voce in capitolo nella definizione delle modalità di trattamento di dati di Google non ne ha escluso la responsabilità: avrebbe dovuto verificare preliminarmente l’adeguatezza dello strumento e, riscontrata l’illegittimità, individuare altri strumenti, presenti sul mercato, idonei a consentire il rispetto del GDPR.

In ottica di accountability, l’invito è di adottare adeguate misure organizzative che disciplinino tali opportune verifiche preliminari, tuttavia non sempre risulta di pronta soluzione l’individuazione di tutti gli elementi utili a svolgere dette valutazioni.

In primo luogo, vi sono aspetti “percettivi”: quantomeno per l’utilizzatore che non abbia una formazione giuridica anche di base, sottoscrivere di proprio pugno un contratto potrebbe avere un diverso impatto rispetto al mettere una spunta quando si crea un account online. Tuttavia, con quella spunta si dà atto di aver letto e compreso i termini di utilizzo che includono anche i termini di trattamento di dati personali, e di accettarli.

Premessa la regola di buon senso, per cui sarebbe sempre opportuno analizzare adeguatamente qualsivoglia impegno contrattuale prima della sua accettazione, a volte l’individuazione dell’intero pacchetto documentale può dimostrarsi un’impresa. Spesso, l’adozione di una struttura contrattuale “a scatole cinesi”, per cui aspetti della disciplina del rapporto anche in ragione delle specificità dell’argomento trattato (si pensi ad esempio agli aspetti di sicurezza), sono rimessi ad allegati incorporati mediante link (ed i documenti linkati a loro volta ne contengono altri, e così via), crea di fatto un sistema di rinvii che può rendere perigliosa l’individuazione dell’intero impianto documentale.

Definita la documentazione disciplinante il rapporto, è quindi opportuno entrare nel merito degli aspetti contenutistici, tenuto conto sia degli obblighi normativi previsti che delle proprie esigenze di business, nonché, considerato altresì che spesso è prevista la possibilità per il fornitore di modifiche unilaterali delle condizioni, monitorare nel corso dei rapporti le condizioni applicabili alla luce anche delle evoluzioni normative e giurisprudenziali in materia, soprattutto laddove si tratti di rapporti di media/lunga durata.

Le opportune valutazioni preliminari, oltre a tutti gli ulteriori aspetti applicabili (ad es. consensi, data retention etc.) consentono di poter legittimamente utilizzare una risorsa fondamentale quale i dati personali, per delineare e implementare efficaci strategie di marketing nel rispetto della normativa privacy, riducendo quindi l’eventualità non soltanto di incorrere nei noti rischi sanzionatori, ma anche (e non di rado, soprattutto) in danni di immagine difficilmente quantificabili e potenzialmente di impatto economico maggiore.  Si ricorda, inoltre, che in ottica di compliance GDPR, è altresì opportuno essere in grado di dimostrare le valutazioni svolte.

Laddove, come sempre più spesso accade, vengano utilizzati strumenti e/o servizi di terzi nell’ambito del proprio piano di marketing, per poter indirizzare strategie efficaci è quindi necessario verificare con la dovuta attenzione anche i termini applicabili in ambito privacy. Limitarsi a subire quanto imposto dai “big player” non giustifica l’eventuale illegittimità del trattamento, né riduce le relative responsabilità.

Riproduzione riservata ©

ALTRE NEWS

Data Protection Officer: obbligo di comunicazione dei dati di contatto

Obbligo di comunicazione del nominativo del Responsabile per la Protezione dei dati (Data Protection Officer) entro il 25 maggio 2018. A disciplinare tale adempimento è… Leggi Tutto

Le tecnologie informatiche e telematiche in Italia

L’Unione internazionale delle telecomunicazioni (Itu) studia le prospettive di sviluppo dell’ “ubiquitous computing” nel nostro Paese. L’Italia è posizionata in modo ottimale per beneficiare della… Leggi Tutto

Telecamere nascoste a tutela del patrimonio aziendale: legittime le riprese

Le immagini registrate dalle telecamere poste dal datore di lavoro in modo da riprendere le casse all’insaputa del personale sono considerate dalla Cassazione prove legittimamente acquisibili… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form