Partiamo da un fatto: saranno 5 anni o poco più che ho iniziato a dire di non usare il termine gestione del consenso. Mi fa venire l’orticaria. Quindi in questo articolo non approfondirò il consenso di per sé, ma i concetti legati alle basi giuridiche, nell’ambito delle finalità, che non è solo “Guardo il consenso e sono a posto”: se pensi solo a quello, non sei a posto. Rischi la multa. Chiaro? Bene.
Perché da quando il GDPR è diventato direttamente applicabile, sono passati più di 6 anni. E da allora - purtroppo o per fortuna - sia noi consulenti che le aziende, siamo stati tutti concentrati sul parlare di basi giuridiche, utilizzando il machete. L’importante era riuscire ad avere un impianto GDPR coerente, consapevole e che potesse stare in piedi.
Allora andava bene. Oggi no.
Dopo 6 anni, abbiamo la possibilità di lavorare un po' più di fino.
Quindi, prima cosa: uno dei punti fermi e fondamentali nella gestione operativa della privacy è smetterla di parlare di gestione del consenso e di finalità per uso di marketing. Basta. Stop. Niet!
Basta usare “consenso per finalità di marketing” senza specificare quali attività fai
Non vorrei più veder scritto nelle informative cose come: "Per la finalità di marketing, ti chiedo il permesso di...". Basta! Ormai da svariati anni le Autorità Garanti - italiana ed europee - hanno cominciato a dire: “Occhio a usare finalità di marketing in senso esteso, perché, all'interno delle finalità di marketing, ci sono così tanti comportamenti che non possono essere racchiusi in un'unica forma semantica.”
Questo ormai è acclarato. Nel momento in cui inserisco la finalità di marketing in un'informativa, anche se chiedo il consenso, molto probabilmente sono sanzionabile. E sono sanzionabile non perché non ho chiesto il consenso, ma perché sto facendo un trattamento che è troppo largo e non ho specificato in maniera coerente e corretta cosa è previsto esattamente. Newsletter, telemarketing, SMS e quant’altro sono attività molto diverse fra loro e non si può più usare la scusa semantica delle "finalità di marketing" per indicarle. Questa è la prima cosa, poi bisogna capire quale base giuridica utilizzare. L'identificazione puntuale di come tratto i dati e cosa faccio con quei dati determina una finalità puntuale ed è solo su quella che io devo verificare la mia base giuridica.
La base giuridica segue la finalità
Aborro il termine “gestione del consenso”, perché il consenso è solo una delle basi giuridiche a disposizione. Ce ne sono tante e per capire quale usare, devo per forza partire dalla finalità per cui faccio il trattamento e chiedermi perché lo sto facendo. Solo dopo vado a vedere quale base giuridica posso utilizzare.
Proviamo a capirci meglio: io firmo un contratto con un provider di telefonia, la Telecomunica Superfast Communication (nome di fantasia). Nel contratto, inserisco la mia mail e il mio numero di cellulare e poi scarico l’app per interagire con la Telecomunica Superfast. Sul contratto c’è anche scritto: ci dai il consenso per finalità di marketing? Mettiamo che io clicchi sul sì: "acconsento".
Perfetto.
Benissimo.
Ma il fatto che io abbia messo un unico check sulla finalità di marketing e Telecomunica Superfast si permetta di chiamarmi al cellulare giorno e notte, mandarmi mail come se non ci fosse un domani, mandarmi 75 notifiche push sulla app - e se sono per strada, succede pure che mi identifichino e mi dicano "Salve Chiozzi. Perché non ha fatto il nuovo contratto?" - è un problema. Mi possono girare gli zebedei se la Telecomunica Superfast sbomballa l’equilibrio psico sociale usando le informazioni e i dati personali che le ho dato - e che erano finalizzati alla chiusura del contratto – per un semplice check su "acconsento alle finalità di marketing".
Giusto? Bene, perché questa cosa non è più consentita.
Non lo è più! Non si può fare. Punto.
Non è più consentito chiedere il consenso generico per finalità di marketing
Quindi, attenzione, se 5 anni fa tutti i santi ci aiutavano e potevamo essere generici nel descrivere la finalità del trattamento, oggi questo non è più possibile. Oggi il Garante ti dice: “Carissima Telecomunica Superfast, hai recuperato una serie di dati per una finalità - che magari è quella contrattuale - adesso voglio che mi specifichi quali dati e quali informazioni hai raccolto, come li usi e perché li usi.”
Cosa, come, perché.
È il trittico: la Santa Trinità sulle finalità.
Se non cominciamo a ragionare sul trittico, nella descrizione delle finalità, siamo mancanti.
Ovvero il trattamento che stiamo facendo potrebbe essere non consentito, in quanto le finalità non sono state descritte in maniera adeguata. A prescindere dalla base giuridica - consenso, legittimo interesse, obbligo contrattuale e quant’altro - siamo mancanti nella descrizione delle finalità. E per essere definite in maniera corretta, le finalità devono rispondere a queste 3 domande:
- Quali informazioni usi?
- Come le usi/con che cosa le usi?
- Perché le stai usando?
Esempio: raccolgo il tuo indirizzo e il tuo numero di cellulare per contattarti telefonicamente e proporti dei nuovi servizi e dei nuovi prodotti. Questa è una finalità espressa correttamente. Tutte le finalità devono avere questo trittico. Quindi capisci bene che non esiste la finalità di marketing.
Non esiste più!
Non puoi più scriverla.
Perché, se non metti la finalità corretta, l'informativa potrebbe essere mancante.
E l'informativa mancante è un'informativa sanzionabile, perché mancano informazioni.
Stessa finalità, interessato diverso, base giuridica diversa
Abbiamo visto come deve essere scritta la finalità. A questo punto diventa fondamentale, per quella finalità, definire qual è la base giuridica coerente e corretta.
Le basi giuridiche sono molte, ma la base giuridica primaria - l'asso pigliatutto - è il consenso. Perché asso pigliatutto? Perché, se mi hai dato il consenso, finché non me lo ritiri, posso continuare a fare quel trattamento, con le informazioni che ti ho detto di aver raccolto, nel modo che ti ho detto, per il motivo che ti ho detto.
Fantastico. Adesso però c’è una variabile in più che entra nel sistema: la variabile interessato. Perché, per la stessa finalità, posso avere basi giuridiche differenti, a fronte di interessati diversi.
Prendiamo due interessati classici nella comunicazione commerciale:
- l’interessato “cliente” (Peppino che ha comprato qualcosa da noi)
- l’interessato “potenziale cliente” (cioè quello che chiamano lead e che se siamo bravi, forse, comprerà qualcosa)
Quindi abbiamo 2 interessati. Di questi 2 interessati, attraverso il nostro sito internet, abbiamo recuperato le stesse informazioni: indirizzo mail, nome, cognome e numero di cellulare. Abbiamo questi dati sia per il cliente che per il lead.
Ogni interessato avrà la sua informativa: il lead avrà un’informativa e il cliente un’altra informativa. E la finalità? Sarà la stessa: mandare comunicazioni via SMS per spiegare i nuovi prodotti e i nuovi servizi. Questa è una finalità corretta. Bene. Ma per la stessa finalità, cambia la base giuridica:
- per il cliente potremmo avere la base dell'obbligo contrattuale (customer care)
- per il potenziale cliente, avremo per questa stessa finalità, la base giuridica del consenso
Bada bene: consenso, non legittimo interesse!
Perché no? Perché il Garante italiano ha chiarito sempre più spesso che tu puoi contattare i tuoi clienti per proporre novità commerciali, anche senza il consenso, basta che le informazioni che stai inviando ricadano nel concetto del miglioramento del prodotto o servizio che ha acquistato. Occhio a questa cosa: i Garanti europei negli ultimi anni stanno massacrando chi usa il legittimo interesse per attività commerciali, perché non si può usare…
Serve un buttafuori, come in discoteca
Adesso caliamoci nella realtà pratica delle aziende. Prendiamo la Telecomunica Superfast srl, che vende ruote da camion e software privacy, e che ha una newsletter in cui parla dei suoi nuovi prodotti (le ruote da camion). Nella newsletter ha gli indirizzi mail degli interessati, che sono di 2 tipi:
- clienti che hanno acquistato
- lead: potenziali clienti che si sono iscritti alla newsletter attraverso il form del sito web e con un form cartaceo compilato in fiera, leggendo l'informativa e dando il consenso
La gestione di una base dati strutturata, dove ci sono interessati diversi, che hanno dato consensi diversi per la stessa finalità, richiede la presenza di un controllore. Un buttafuori. Un sistema in grado di dire, prima che gli interessati arrivino a popolare la newsletter, se possono o non possono entrare, e che funziona più o meno così:
Buttafuori: Tu chi sei?
Interessato 1: Sono un lead, ho compilato il form via web e ho dato il consenso per ricevere informazioni.
Buttafuori: Ok passa, vai nella lista per la newsletter. E tu invece chi sei?
Interessato 2: Io sono un cliente.
Buttafuori: Cosa hai acquistato?
Interessato 2: Software per la privacy.
Buttafuori: Guarda che questa newsletter non parla di software privacy, ma parla di ruote da camion. Quindi tu in questo gruppo non ci puoi entrare. Avanti il prossimo! Chi sei?
Interessato 3: Sono un cliente.
Buttafuori: Cosa hai acquistato?
Interessato 3: Ruote da camion invernali.
Buttafuori: Questa newsletter parla di ruote da camion. Perfetto, tu puoi passare, anche se non mi hai mai dato il consenso per questa finalità, cioè l'invio commerciale di informazioni tramite mail. Puoi passare perché, a fronte di una base giuridica, che è quella del customer care, posso, per legge, informarti sui nuovi prodotti e servizi inerenti a quello che hai acquistato.
Il buttafuori è fondamentale per riuscire a dare evidenza al Garante di aver fatto tutto il possibile per evitare trattamenti non consentiti. È un sistema che gestisce le finalità e che, per ogni informazione (nome, cognome, mail, telefono) mette un chip/una marcatura e dice: questa informazione può essere usata per fare queste cose, in questo modo e per questo. Il trittico della finalità. Ma di sistemi così evoluti nel mondo ce ne sono pochi: 2 o 3 forse. Uno di questi è di PrivacyLab. Si chiama a.KONSENTO ed è il primo sistema sul mercato in grado di risolvere i problemi complessi legati alla gestione delle basi giuridiche relative ai trattamenti effettuati nelle aziende, con un focus specifico sui trattamenti legati al marketing.
Questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
