L’obiettivo di ogni strategia di marketing è quello di individuare i bisogni di clienti attuali e potenziali, definendo azioni opportune per generare soddisfazione con reciproco vantaggio.
Si può distinguere in marketing diretto e indiretto. Il primo tipo riguarda le azioni che sono messe in atto direttamente dall’azienda interessata per vendere il prodotto o il servizio. Il secondo tipo invece si ha quando intervengono degli intermediari tra venditore e consumatore.
In entrambi i casi, si ricorre a strumenti ed azioni volte a raggiungere il proprio target attraverso la gestione dei feedback e la misurazione dei risultati di campagna.
Per le aziende, è ovviamente la prima tipologia quella che genera il maggiore impatto sulla protezione dei dati. Le attività di gestione e trattamento dei dati personali, infatti, per il marketing sono ritenute critiche e hanno imposto particolare attenzione dal parte del Garante Privacy alla luce del GDPR 679/2016.
Consenso
l trattamento dei dati deve fondarsi su una delle basi giuridiche previste dall’art. 6 del GDPR. Tra esse rientrano, ad esempio, il consenso, il legittimo interesse, gli obblighi di legge e gli obblighi derivanti dal rapporto contrattuale con l’interessato.
Negli art. 13 e 14 del Regolamento è specificato che occorre fornire le informazioni con termini semplici e chiari e in modo che l’informativa sia concisa, trasparente, facilmente accessibile e comprensibile.
Il consenso al trattamento dei dati deve essere libero, specifico, informato, e manifestato con una dichiarazione o azione positiva inequivocabile.
Inoltre, per le finalità di marketing è obbligatorio dare la possibilità di revocare il consenso in qualsiasi momento.
Nel caso di servizi online per il consenso rilasciato dai minori occorre verificare, oltre che l’età dell’interessato, anche la nazionalità in quanto il D.Lgs. 101/2018 fissa a 14 anni l’età minima per poter prestare validamente consenso ai servizi della società dell’informazione in Italia, in Germania ed in altri stati membri della UE il limite è rimasto a 16 anni, in altri paesi come Spagna ed Inghilterra hanno abbassato tale limite ai 13 anni. In ogni caso, sotto al limite stabilito dalla legge si deve richiedere l’autorizzazione dei genitori.
Formazione interna
Le aziende devono predisporre apposite autorizzazioni ed adeguata formazione a tutto il personale che accede ai dati trattati nello svolgimento dell’attività di marketing. Qualora il trattamento sia delegato a soggetti terzi il titolare ed il responsabile del trattamento devono sottoscrivere un accordo sul trattamento dei dati, il cui contenuto è definito nell’art. 28 del GDPR.
I dati non possono essere trasferiti all’estero senza prima valutare la sussistenza di idonee garanzie artt. da 44 a 50 del GDPR. Per trasferimento si intende anche l’avvalersi, per tutte le attività anche marketing e comunicazione, di servizi che comportano un trasferimento di dati all’estero. In tal caso occorre verificare se nei paesi in cui sono trasferiti i dati sussistono le garanzie previste dalla normativa UE.
Il trattamento di dati per attività di marketing deve essere tenuto scritto attraverso il registro del trattamento, di cui all’art. 30 del GDPR. L’obbligo di tenuta del registro è in capo al titolare ed al responsabile del trattamento. Se l’attività di marketing è svolta da terzi, questi andranno indicati ne registro.
I dati devono essere protetti con adeguate misure di sicurezza, la cui adeguatezza deve essere proporzionale al rischio relativo al trattamento di cui all’art. 32 del GDPR.
Eventuali violazioni che, a meno che non sia improbabile che possano generare rischi, vanno segnalate entro 72 ore al Garante Privacy e, in alcuni casi, agli stessi interessati.
DPIA
Prima di iniziare un percorso di adeguamento al GDPR 679/2016 è bene effettuare una valutazione di impatto sulla protezione dei dati (DPIA) prevista dall’art. 35 del GDPR: occorre verificare sempre le reali modalità di trattamento prima di escludere che lo stesso non presenti rischi elevati, in presenza dei quali sarebbe invece necessaria.
Oltre ai dati “standard” trattati mediante consenso da parte degli interessati c’è poi la questione legata ai dati pubblici. Per gestirli c’è comunque bisogno del consenso, che deve essere preventivo, libero, specifico, informato ed inequivocabile, da parte dell’interessato.
Il Garante, nel fornire le proprie motivazioni, si basa su due principi: quello di liceità, correttezza e trasparenza e quello di finalità. Sulla base di questi, i dati “sono trattati in modo lecito corretto trasparente nei confronti dell’interessato“, e sono “raccolti per finalità determinate, esplicite legittime, e successivamente trattati in modo che non sia incompatibile con tale finalità”.
Fonte: PMI
L’area GDPRConforma è a tua completa disposizione per poter attivare servizio GDPR NO STRESS con le sue varie opzioni :
- Implementazione
- Formazione
- Verifica
- Mantenimento
Controlla ed eleva la tua azienda salvaguardandoti da sanzioni.
Per maggiori informazioni scrivi a supporto@bwbconforma.it e richiedi informazione sulla GDPR no- Stress o visita il nostro sito.