Marketing e GDPR: le attività a rischio sanzione

19 aprile 2023Ultimo aggiornamento 17 giugno 2024
Tempo di lettura stimato: 5'
Quando parlo di privacy e GDPR al dipartimento marketing di un’azienda, negli occhi delle persone leggo sempre la stessa espressione di terrore. 

Le persone sono terrorizzate che il consulente privacy o il DPO possano minare il loro ruolo e in qualche modo limitarlo. Eppure, come spesso viene ricordato in PrivacyLab, chi si occupa di privacy non è il nemico di chi fa marketing

Il punto, infatti, è conoscere il quadro normativo in cui ci muoviamo e agire conformemente. 

In questo articolo delineiamo i principali provvedimenti che toccano il marketing, le attività più vulnerabili e che espongono le aziende al rischio di ricevere una sanzione, infine, citiamo alcuni delle multe più salate comminate in Italia dal Garante per la protezione dei dati. 

Norme e provvedimenti che toccano le attività di marketing

Rispetto alla privacy, esistono delle regole ben precise anche per il marketing. Alcune sono definite dal Garante privacy, altre dalle opinioni dell'EDPB, a cui si aggiungono le linee guida. Infatti, il nostro pilastro centrale in questo contesto è ancora rappresentato dalle “Linee guida in materia di attività promozionale e di contrasto allo spam”. 

In generale, però, è bene ricordare che vanno sempre rispettate anche alcune regole di base: 
  • le aziende che effettuano attività di marketing possono raccogliere i dati direttamente o indirettamente
  • se li raccolgono direttamente, per il principio della trasparenza, devono sempre fornire un'informativa ai sensi dell'articolo 13 del GDPR; 
  • se invece i dati sono raccolti da un soggetto terzo, il consenso degli interessati dovrà essere acquisito con un'informativa ai sensi dell'articolo 14 del Regolamento europeo per la protezione dei dati.

Le attività più vulnerabilità (e quindi più facilmente soggette a sanzione…) nelle attività di marketing

Delineato l’insieme di regole da seguire, prima di vedere le sanzioni più elevate comminate dal Garante privacy, chiariamo quali sono le maggiori vulnerabilità che i consulenti devono affrontare – e anche le aziende e le agenzie, in quanto titolari e/o responsabili del trattamento - quando si parla di marketing: 
  • Newsletter e acquisizione di banche dati
Quando si parla di newsletter, è indispensabile fare molta attenzione alla gestione delle banche dati. In un articolo pubblicato su questo blog - Marketing, GDPR e sanzioni del Garante: il caso delle scatole cinesi - abbiamo citato il caso delle aziende sanzionate dal Garante italiano per aver commissionato una campagna promozionale che utilizzava il modello delle “scatole cinesi”: un'azienda si era affidata a una seconda società, che a sua volta si era rivolta a ulteriori società per l'invio di newsletter con lo scopo di promuovere un prodotto.

Ma questo non è l’unico aspetto delicato su cui soffermarsi, perché il Garante italiano si è pronunciato anche a proposito della gestione dei consensi per finalità di marketing, che è sempre motivo di riflessione, dal momento che le aziende tendono a chiedere un unico consenso per tutte le finalità di marketing, newsletter promozionali comprese. Per approfondire anche questo aspetto, consigliamo la lettura dell’articolo su gestione del consenso e marketing diretto: due provvedimenti del Garante.
  • Tracciamento online e quindi cookie 
Questi vengono usati soprattutto per fare attività di retargeting e rientrano di conseguenza nell’ambito del marketing. In materia, la nostra e altre autorità europee per la protezione dei dati si sono già espresse. Ne abbiamo parlato nel nostro approfondimento su cookie, Google Analytics e GDPR: provvedimenti del Garante.
  • Progetti speciali e privacy by design
  • Intelligenza Artificiale 
  • Geolocalizzazione 
  • Telemarketing e call center
  • Social media e utilizzo dei dati da parte dei fornitori del servizio
Tutto il mondo social costituisce un’importante vulnerabilità e il Garante è sempre più attento all’uso che si fa di questi strumenti, come puoi approfondire leggendo l’articolo su Social Network, GDPR e sanzioni del Garante: il caso dell’uso non conforme di LinkedIn.

È anche grazie ai provvedimenti adottati in questi anni – negli articoli che abbiamo richiamato, riportiamo alcuni fra i più recenti e significativi nell’ambito del marketing – che è possibile comprendere come agire conformemente.

Concludiamo questa panoramica con alcune delle sanzioni più severe comminate dall’autorità italiana negli anni. 

Le sanzioni più salate comminate dal Garante per la protezione dei dati

Le sanzioni più pesanti comminate dal Garante italiano rispetto al tema marketing e GDPR hanno riguardato le aziende del settore Telco, cioè delle telecomunicazioni. 
  • Il gruppo TIM ha ricevuto una sanzione di 27,8 milioni di euro
  • WindTre ha ricevuto una sanzione di 16,7 milioni di euro
  • Vodafone Italia ha ricevuto una sanzione di 12,25 milioni di euro
E rispetto agli altri Paesi europei?
Secondo alcune stime, l'Italia è seconda solo alla Spagna per numero di multe legate alla mancata compliance sulla privacy, mentre per valore delle sanzioni, siamo superati solo dal Lussemburgo, che ha inferto un'unica multa da 746 milioni ad Amazon. La seconda sanzione più pesante legata al GDPR l'ha subita a Google, che è stata multata per 50 milioni di euro dal Garante privacy francese (Cnil).

Il Garante è molto attento alle attività di marketing

Ciò che emerge dai dati appena riportati non è solo l'entità della sanzione, ma anche il fatto che il Garante della privacy è sempre più attento alle attività di marketing. Infatti, le sanzioni comminate alle Telco riguardano il settore del marketing.

Quando stila la sua indagine ispettiva semestrale, l’autorità parla sempre di telemarketing, di marketing e profilazione, marketing su larga scala… ed è chiaro che le realtà più complesse e più organizzate sono sicuramente sotto la lente del Garante con maggiore frequenza. 

Quali attività hanno motivato sanzioni così pensanti?
Tra i motivi che hanno portato l’autorità a comminare multe così salate alle Telco, ricordiamo:
  • Errata gestione e mancato aggiornamento della black list, che è un aspetto interessante anche per le organizzazioni che non rientrano nel settore delle telecomunicazioni, ma operano attraverso il telemarketing o comunque attraverso banche dati.
  • Acquisizione obbligata del consenso a fini promozionali nelle applicazioni. Rispetto a questo punto, è interessante notare un fatto: spesso le aziende hanno un sito web, viene fatto un adeguamento normativo e poi, dopo un certo tempo, ci si accorge che c’è anche un’applicazione, una App. Ricordiamo quindi che è importante che anche le applicazioni siano conformi, ci sia una gestione adeguata e che non sia previsto il consenso unico per il marketing, quando le finalità devono essere predisposte in modo granulare. 
  • Applicazioni mobile che costringono l’utente ad accettare il marketing diretto e il tracciamento della posizione. Tendenzialmente le aziende soffrono molto a chiedere i vari consensi specifici e quindi, spesso, trovano delle strategie per non dover costruire la propria piattaforma su vari livelli di consenso. Da consulenti, invece, è sempre molto importante formare le aziende e soprattutto i team marketing su questo aspetto,: sul fatto che se dobbiamo costruire un unico consenso – per esempio, per marketing, profilazione, comunicazione a terzi, geolocalizzazione -, lo possiamo fare solo se abbiamo approfondito i provvedimenti del Garante. Quindi, quando il Garante privacy ci consente di agire in tal senso, possiamo farlo, altrimenti per ogni finalità ci vogliono dei consensi separati. E allo stesso tempo non è mai possibile obbligare l'utente a rilasciare un consenso per attività di marketing, finalizzate a vendergli delle promozioni o a offrirgli degli sconti. Non può essere giustificato neanche sotto la base giuridica del contratto. 
Questo è solo un assaggio!

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione. 

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

PARTNER BD LEGAL - STUDIO LEGALE

Studi:
Laurea in Legge presso l’Università Bocconi, Business Law specializzazione in diritto internet, Milano. Tesi: “La tutela della privacy e tecniche di pubblicità online”.
Master Universitario di II livello in “Sicurezza delle informazioni e Informazione strategica” (SIIS) presso l’Università La Sapienza (dipartimento di ingegneria informatica) conseguito con borsa di studio della Presidenza del Consiglio. Tesi: “Il funzionamento e la privacy nei CERTs italiani ed esteri”.
Master Federprivacy in “Privacy Officer e Consulente della privacy”, Roma.
Lawful Interception Academy presso la Scuola di Polizia Tributaria, Roma.

Attività Professionale:
Francesca è Avvocato e Partner dello Studio bd LEGAL di Milano, esperienza ultra decennale in diritto delle tecnologie, in particolar modo per quanto riguarda la compliance della protezione dei dati personali, opera in questo settore fin dal conseguimento della laurea.
Si occupa di assistenza stragiudiziale. Ha iniziato il suo percorso professionale lavorando prima in Telecom Italia a Roma, presso il dipartimento Antitrust e poi nel team legale di Google a Milano, dove si è occupata prevalentemente di diritto all’oblio e di rimozioni online. Durante gli anni a Roma, ha collaborato con il Ministero dello Sviluppo Economico nell’ambito della cybersecurity (presso l’ISCOM – CERT nazionale) e su progetti di educazione digitale. A Milano ha lavorato presso una prestigiosa società di consulenza legale.

Assiste primarie società italiane di stampo internazionale su tutto il territorio nazionale, coordinando progetti di compliance GDPR e di adeguamento normativo, offrendo assistenza anche come DPO esterno.

È membro della Comunità SIIS dell’ Università La Sapienza. È Delegato dell’Associazione di Federprivacy e membro del network “Idraulici della Privacy”. È Privacy Officer e Consulente della Privacy certificato TUV Italia con licenza cdp_240 dal 2015. Ha vissuto e studiato in Canada.

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy