L’uso delle liste contatti per il marketing presenta importanti implicazioni legate alla privacy, a cui viene dato maggior peso con il GDPR rispetto alla precedente normativa nazionale. Le liste contatti, che includono dati personali come nome, cognome, e recapiti (email, telefono, indirizzo), sono strumenti fondamentali per attività promozionali ed i cui dati possono essere raccolti da un’azienda o acquistati da terzi.
Quando si acquistano liste contatti da fornitori esterni, l’azienda deve verificare che i dati siano stati raccolti in modo conforme alle normative europee, evitando così l’uso di informazioni ottenute illegalmente.
Tuttavia, per garantire la conformità con la normativa sulla protezione dei dati personali, il soggetto che vuole utilizzare tali liste deve tenere presente una serie di elementi imprescindibili e che devono essere valutati in maniera idonea per effettuare le attività di contatto.
Visto che a breve sarà possibile aderire al Codice di Condotta per le attività di telemarketing, le aziende si stanno già organizzando in merito, e molto spesso viene posta attenzione su diversi elementi, come ad esempio i seguenti PUNTI CHIAVE:
1️⃣ Trasparenza : ai sensi dell’art. 5 GDPR, le modalità con cui sono stati raccolti i dati personali degli interessati, e con cui è stato raccolto il consenso alla cessione a terzi, devono essere “lecite, corrette e trasparenti”; questo vuol dire che devono essere ben delineate e di facile comprensione, in modo che chiunque, immedesimandosi nella persona che rilascia i propri dati, possano capire come verranno trattati.
2️⃣ Consenso esplicito: Ogni persona inclusa in una lista contatti deve aver fornito un consenso chiaro e specifico all’utilizzo dei propri dati per la cessione a terzi del dato. Tale consenso deve essere documentato e facilmente revocabile in qualsiasi momento
3️⃣ L’onere della prova :Il GDPR attribuisce al Titolare del trattamento, ovvero sia al venditore che all’acquirente, la responsabilità di dimostrare il consenso. Sebbene il consenso possa essere acquisito anche oralmente, è cruciale conservare una prova documentale che ne attesti la validità. Esempi di prove valide includono:
– Flag su un modulo di raccolta del consenso;
– Indirizzo IP associato alla raccolta del consenso;
– Data e ora della scelta esplicita.
Non è sufficiente che il venditore dichiari di aver raccolto il consenso regolarmente; l’acquirente deve ricevere evidenza documentata per ciascun contatto presente nella lista contatti. Questo è essenziale in caso di reclami, verifiche ispettive o contestazioni da parte dell’Autorità Garante o degli interessati.
4️⃣ Tempo di conservazione di tali dati: È essenziale informare gli utenti su come i loro dati saranno trattati, per quali finalità e per quanto tempo (cd “tempo di conservazione dei dati personali”). Ciò deve essere chiaramente indicato nell’informativa sulla privacy.
5️⃣ Categoria merceologica: al fine della cessione dei dati a terzi, il titolare che raccoglie i dati personali deve indicare all’interessato le categorie merceologiche all’interno delle quali operano le società a cui vengono ceduti tali dati. Ad esempio se sono un’azienda energetica devo verificare che nell’informativa privacy rilasciata sia presente il settore energetico.
6️⃣ Messaggio di notifica della registrazione (solo per il settore del telemarketing/teleselling): l’interessato che ha rilasciato i propri dati potrebbe ricevere dal titolare del trattamento che li ha raccolti un messaggio di notifica della registrazione ai sensi dell’art. 6 del nuovo Codice di Condotta per le attività di telemarkerting. Tale messaggio può arrivare attraverso varie modalità, come ad esempio via mail o sms. Non è un obbligo previsto dalle normative in merito, ma è presente come sopra indicato nel Codice di Condotta: è un elemento rafforzativo della trasparenza adottata dal titolare del trattamento.
7️⃣ Luogo di raccolta dei dati: è necessario che i dati vengano raccolti all’interno dell’UE, o che se il soggetto che li utilizza o raccoglie proviene da un Paese non appartenente all’UE vi siano adeguate garanzie su come vengono utilizzati tali dati oltre che adeguate misure di sicurezza.
Seguire queste regole “base” (oltre ad altre) garantisce che l’uso delle liste contatti sia legale e rispettoso dei diritti degli utenti.
Siamo il partner giusto per te
Liste contatti: cosa dice il GDPR?
Il GDPR regola in maniera precisa l’uso delle liste contatti per finalità di cessione a terzi, ponendo l’accento sull’utente. Le comunicazioni da parte di terze aziende, infatti, sono considerate lecite solo quando si è acquisito un consenso valido.
Praticamente nell’informa dev’essere presente “A chi vengono ceduti questi dati o la categoria merceologica?” e i riferimenti con la possibilità di revocare il consenso o modificare i dati.
Come trattare le liste contatti in modo conforme al GDPR?
- Liste contatti interne: Il titolare del trattamento deve assicurarsi di avere procedure chiare per la raccolta, gestione e revoca del consenso. Questo implica la possibilità per l’utente di negare o ritirare il consenso in qualsiasi momento, con l’obbligo di mantenere una blacklist per evitare futuri contatti indesiderati.
- Liste contatti da terzi: L’acquisto di liste contatti o di database da fornitori esterni richiede un’attenzione particolare. In questi casi, il titolare deve verificare che i dati siano stati raccolti in conformità con il GDPR e che il consenso per l’uso a fini di cessione di terzi sia valido e dimostrabile.
La conformità al GDPR impone quindi un controllo rigoroso sia sui dati interni che su quelli acquistati, per evitare sanzioni e garantire la protezione dei diritti degli interessati.
Il contratto di acquisto delle liste contatti e la conformità al GDPR
Un passaggio cruciale per garantire la liceità del trattamento dei dati personali tramite liste contatti acquistate da terzi è rappresentato dall’analisi accurata del contratto di acquisto. Generalmente, le liste vengono cedute per un periodo di tempo limitato, e il fornitore deve garantire che i dati inclusi siano stati raccolti previo consenso esplicito per finalità di marketing di terze parti. Inoltre, il fornitore deve essere in grado di dimostrare tale consenso. Questo processo di verifica è fondamentale per rispettare il principio di accountability previsto dal GDPR.
Valutazione del fornitore e responsabilità
Prima di procedere all’acquisto di una lista contatti, il titolare del trattamento deve effettuare una valutazione del fornitore per verificarne la conformità alle regole di protezione dei dati. È consigliabile documentare tali valutazioni, incluse le analisi dei rischi, prima della firma del contratto. Questo garantisce una maggiore trasparenza e tutela in caso di future contestazioni legate al trattamento illecito dei dati.
Il contratto deve anche chiarire il ruolo delle parti coinvolte nel trattamento dei dati. Infatti, esiste ancora una certa confusione tra i fornitori su come inquadrare le responsabilità del cliente che acquista le liste contatti. Alcuni fornitori lo qualificano come Responsabile del trattamento, altri come Titolare autonomo, mentre altri ancora lo considerano Contitolare.
La definizione del Titolare del trattamento
Secondo l’art. 4 del GDPR, il Titolare del trattamento è colui che determina le finalità e i mezzi del trattamento dei dati personali. In caso di acquisto di liste contatti, l’acquirente assume il ruolo di Titolare del trattamento, poiché è lui a decidere come utilizzare i dati. Il fornitore, invece, si limita a fornire i dati e non esercita alcun controllo sul loro utilizzo.
Il Provvedimento n. 136 del 2012 del Garante per la Protezione dei Dati Personali ha chiarito che il venditore di liste contatti è da considerarsi Titolare autonomo del trattamento, mentre l’acquirente, che determina le finalità del trattamento, diventa anch’esso Titolare autonomo.
Garanzie contrattuali
Per tutelare l’acquirente, è prassi includere clausole contrattuali che prevedano l’obbligo del fornitore di manlevare l’acquirente da eventuali conseguenze legali (civili, penali o amministrative) derivanti dall’uso delle liste contatti. Tuttavia, queste clausole non sollevano l’acquirente dalla responsabilità di verificare la legittimità del trattamento dei dati.
In sintesi, il contratto di acquisto delle liste contatti deve essere strutturato con attenzione, specificando chiaramente i ruoli delle parti e garantendo che i dati siano trattati in conformità con il GDPR.
Prova del consenso e responsabilità del titolare del trattamento
Una volta stabilito che l’acquirente di liste contatti è da considerarsi Titolare del trattamento, è fondamentale affrontare l’onere di dimostrare la corretta raccolta del consenso da parte dell’interessato, come richiesto dall’art. 13 del GDPR. Questo consenso deve essere non solo ottenuto regolarmente, ma anche attuale al momento del contatto con l’interessato.
Verifica dell’aggiornamento dei dati
Oltre a garantire che il consenso sia stato raccolto correttamente, il Titolare del trattamento deve assicurarsi che i dati siano esatti e aggiornati. Anche se il consenso è documentato, è necessario verificare che esso sia ancora valido al momento del contatto, e che non vi siano stati cambiamenti che possano influenzare la sua validità. Per esempio, l’interessato potrebbe aver revocato il consenso o modificato le proprie preferenze.
Per garantire la corretta gestione di queste dinamiche, è auspicabile una collaborazione continua tra venditore e acquirente. Entrambe le parti devono comunicare eventuali modifiche riguardanti i contatti presenti nella lista, così da mantenere i dati sempre aggiornati e conformi alle normative vigenti.
In conclusione, il Titolare del trattamento deve adottare tutte le misure necessarie per dimostrare non solo la corretta raccolta del consenso, ma anche la sua persistenza nel tempo, assicurando così la piena conformità alle disposizioni del GDPR.
Vi sono oltretutto alcune categorie di soggetti che possono bypassare il controllo al Registro, come ad esempio la aziende no profit, o nel caso in cui vi sia la lesione di un diritto soggettivo (ad esempio se ho contratto un debito nei confronti di una società mi possono chiamare per richiedere il dovuto)
Le liste di contatti acquistate da un soggetto debbono essere conservate seguendo le proprie impostazioni o comunque secondo le indicazioni fornite dal titolare.
Conclusioni
Il suggerimento per le aziende è di programmare le campagne di telemarketing o di teleselling adottando misure più sicure e rispettose della privacy, tali misure, riducono il rischio di sanzioni e promuovono una gestione più responsabile e conforme dei dati personali.
Adeguarsi alle normative permette non solo di rispettare le disposizioni, ma anche di costruire un rapporto più trasparente e corretto con i consumatori, migliorando la fiducia e la reputazione dell’azienda nel lungo periodo.
In questo contesto, Adsalsa si impegna a promuovere le sue campagne nel pieno rispetto delle normative GDPR. La nostra azienda garantisce un’attività regolamentata e monitorata in ogni sua fase, assicurando che ogni campagna rispetti rigorosamente le indicazioni normative e protegga efficacemente la privacy degli utenti.
Per ulteriori informazioni su come garantire la conformità alle normative GDPR e ottimizzare le tue campagne di marketing, contattaci. Il nostro team di esperti è pronto ad aiutarti a gestire le liste contatti in modo sicuro e rispettoso della privacy, assicurando soluzioni che proteggano i dati dei tuoi utenti e migliorino la tua strategia di marketing.