L’impatto del GDPR nel marketing

Da quando è divenuto applicabile il Regolamento generale sulla protezione dei dati, si è alzata anche l’attenzione sul marketing e molti, per sfuggire alle strette maglie del regolamento, finiscono col prefigurarsi vari escamotage che, il più delle volte, non solo sono del tutto inefficaci, ma sono pericolosi e possono indurre in gravi errori, che espongono a severe sanzioni.

In estrema sintesi è bene sapere che il marketing non è regolato solo dal GDPR ma anche da altre norme, come ad esempio la direttiva e-privacy (che ha trovato attuazione nell’articolo 130 del Codice della privacy, ad oggi perfettamente vigente) o la normativa speciale che disciplina il registro delle opposizioni in tema di marketing telefonico (si veda la recente modifica operata con LEGGE 11 gennaio 2018, n. 5 -”Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato” -GU Serie Generale n.28 del 03-02-2018- in vigore dal  04/02/2018).

Sarebbe possibile, ad esempio, sottrarsi agli obblighi relativi al marketing telefonico semplicemente componendo numeri telefonici casuali o raccogliendo numerazioni prive di nome e cognome?

Ovvio che no.

Le numerazioni telefoniche, come gli indirizzi email, infatti, sono di per sé dati personali e ciò sia in vigenza del Codice della privacy che sotto il Regolamento generale sulla protezione dei dati (peraltro gli obblighi relativi alla consultazione del registro delle opposizioni riguardano la numerazione di per sé: gli operatori sono obbligati a fornire la lista dei numeri che intendono contattare, non la lista dei nominativi).

Richiedi una consulenza per adeguare la tua attività al gdpr

Come la numerazione telefonica anche l’indirizzo email è “dato personale”: si definisce dato personale ai sensi dell’articolo 4 del GDPR, infatti, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Non è necessario che tutte le informazioni siano in possesso del titolare, è sufficiente che la persona fisica possa essere identificata anche indirettamente: non si considerano dati personali i soli dati anonimi, dati cioè, che è impossibile riassociare all’interessato. Eliminare il riferimento a nome e cognome da una numerazione di telefono, non rende il dato anonimo, poiché  è comunque sempre astrattamente possibile (ad esempio, anche in fase di indagini)  riassociare il nominativo alla persona che è titolare dell’utenza.

Inoltre si tenga presente che il Garante ha stigmatizzato la generazione di numeri casuali già dalla vigenza della legge 675/1996, si tratta pertanto di un’idea datata, e già da tempo nota e censurata, a cui può guardare con interesse solo chi non conosce affatto la normativa (Ecco ad esempio)

Chi vuole fare marketing, pertanto, non solo deve avere una buona familiarità con  gli istituti di base, mutuati dal GDPR, ma deve anche applicare la normativa dettata  per lo specifico settore (ovvero alle modalità concretamente utilizzate: email, sms, mms, chiamate con o senza operatore) che in genere ha una portata più ampia del GDPR, in quanto tutela anche le persone giuridiche, non solo le persone fisiche.

Cristina Vicarelli