Non parliamo di clienti finali come utenti o consumatori: parliamo di aziende. È conforme a GDPR fare e-mail marketing utilizzando i dati di contatto di società o, in generale, persone giuridiche? Si può usare l’email generica info@nomeazienda senza limitazioni? È lecito inviare un’e-mail commerciale al contatto fiera nome.cognome@azienda?
La privacy nel marketing BtoB e il GDPR
Il GDPR non regolamenta in modo specifico l’e-mail marketing: ma i principi base della normativa europea in tema di trattamento dei dati personali si applicano anche a questo genere di attività.
Siamo sicuri che ormai società e agenzie di comunicazione abbiano ben chiari gli elementi di correlazioni tra GDPR e attività di marketing. Ciò nonostante, stante la vastità dell’argomento alcuni dubbi possono ancora sorgere, ed ecco quindi l’opportunità di soffermarsi nuovamente su alcuni aspetti relativi al trattamento dei dati personali nell’ambito delle attività di potenziamento commerciale.
Collegato al tema privacy nel marketing è anche l’aspetto relativo all’acquisizione dei dati di contatto e alle attività di trattamento che possono essere svolte dalla società (o dall’agenzia di comunicazione di cui la società si avvale) con tali dati.
Del tema del trattamento dei dati personale nelle attività di marketing da parte delle agenzie di comunicazione, ne abbiamo già parlato: ma l’errore su cui spesso società e agenzia di comunicazione ancora incappano è legato al fatto di ritenere il dato di contatto del tipo “nome.cognome@azienda” e/o “info@azienda” come un dato non personale e pertanto liberamente utilizzabile per finalità di marketing diretto tramite e-mail in assenza dei requisiti di legittimità tipici della normativa privacy.
Il “dato personale” rilevante per la normativa privacy
Ci sono dei rischi ad usare e-mail del tipo “nome.cognome@azienda” e/o info@azienda liberamente?
La risposta è sì.
ESEMPIO: Poniamo che tu e la tua società (per interesse diretto della società stessa, o per conto di un tuo cliente nel caso tu sia un’agenzia di comunicazione) intendiate porre in essere un’attività di e-mail marketing nei confronti dei soggetti i cui dati di contatto sono presenti nel vostro database CRM. Il CRM è stato variamente popolato negli anni e ad oggi vi sono magari memorizzati dati di contatto sia di persone fisiche che di persone giuridiche (del tipo “nome.cognome@azienda” e/o “info@azienda”) anche molto risalenti nel tempo, di cui pertanto non sei più in grado di dimostrare l’acquisizione di un valido consenso al marketing.
Si tratta di un’attività rischiosa che espone l’azienda a sanzioni.
La definizione di dato personale oggetto di tutela da parte della normativa in materia di trattamento di dati personali è ricavabile dall’art. 4 del GDPR, nel quale si riscontra che il dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale “
Il dato personale non è il dato aziendale
In via generale, a seguito dell’introduzione del GDPR si potrebbe ritenere ormai consolidato il principio secondo cui, le informazioni e i dati relativi a persone giuridiche sono escluse dal perimetro dei soggetti cui è garantita tutela legislativa.
Si deve tuttavia rilevare come l’aspetto fondamentale al fine della qualificazione di un dato di contatto come dato personale, è l’identificabilità o meno di una persona fisica tramite il dato trattato.
Il dato personale dell’impresa individuale
Ebbene, nello svolgere attività di e-mail marketing verso i dati di contatto di una persona giuridica hai considerato che le informazioni relative alle imprese individuali possano costituire dati personali – e quindi essere tutelate a norma del GDPR e nel Codice della Privacy italiano – se consentono l’identificazione di una persona fisica?
Il dato personale del dipendente dell’azienda
Inoltre, rientrano nel perimetro dei dati di contatto oggetto di tutela tutti i dati relativi a persone fisiche quali ad esempio i dipendenti di un’azienda/organizzazione, come gli indirizzi e-mail aziendali del tipo “nome.cognome@azienda.it” o i numeri telefonici aziendali dei dipendenti.
Il problema: codice privacy e attività di marketing
In via generale la regola è questa: nelle attività di marketing come disciplinate dal Codice Privacy rientrano anche le persone giuridiche e quindi anche gli indirizzi e-mail cd. generici (del tipo “info@azienda”).
Infatti, il Codice Privacy italiano (d.lgs. 196/2003), e in particolare la parte disciplinante le “Comunicazioni Elettroniche” (ovvero ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico), trova applicazione non ne confronti di soggetti “interessati” (termine con il quale si identificano unicamente persone fisiche) bensì nei confronti di soggetti qualificabili quali “utente” o “contraenti”. Ebbene, “contraente” ai sensi dell’art 121 comma 1-bis, lett. f), del Codice Privacy è “qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate”.
Per l’effetto, gli indirizzi e-mail aziendali sono soggetti ai medesimi requisiti di legittimità del trattamento stabiliti dalla normativa privacy per le attività di marketing.
Le soluzioni: come usare i dati aziendali nel marketing BtoB
Il problema presuppone delle soluzioni: non è chiaramente possibile non svolgere attività di marketing. basta semplicemente farlo strutturando i flussi aziendali di modo che si consideri questo aspetto. In questo modo si lavora in conformità alla normativa.
A) Rivedere i processi aziendali per verificare il consenso preventivo
Il trattamento per finalità di marketing del dato personale costituito dall’indirizzo e-mail, quand’anche riferito ad una persona giuridica, può considerarsi legittimamente svolto esclusivamente se preventivamente autorizzato (in forma documentabile) dall’interessato cui l’indirizzo e-mail si riferisce.
L’unica eccezione al predetto requisito di legittimità è data dal caso in cui la società utilizzi, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, e l’attività di marketing riguardi servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni (cd. “opt-out”).
B) Fare un privacy assessment per verificare la compliance dell’agenzia
Se ricorri a terze parti quali piattaforme di gestione delle newsletter o sistemi di gestione CRM completi: effettua un privacy assessment dei fornitori per verificare che siano GDPR compliant. Inoltre, ricorda che dovrai negoziare con il fornitore data protection agreement affinchè tratti i dati personali di cui la tua società è eventualmente titolare seconde regole ed istruzioni precise.
C) Mantenere aggiornati i database della software house
Non dimenticare di mantenere aggiornati i database secondo la tua data retention policy: anche i dati personali presenti in CRM o altri database devono rispettare i principi di pertinenza, minimizzazione e limitazione della conservazione.
Come re-impostare le attività di marketing BtoB in conformità a GDPR
Ti suggeriamo di procedere in questo senso: apri il tuo database e cerca di comprendere se esistono delle regole:
- Come sono stati acquisiti i contatti fiera?
- Come vengono gestiti i contatti degli ex-clienti?
- Gli indirizzi e-mail vengono conservati per sempre?
- Si fanno attività di marketing telefonico? Qual è l’iter?
Contattaci per un’analisi delle procedure, delle regole e della documentazione di cui ti avvali nelle tue attività di marketing o per una consulenza in merito all’aspetto della gestione dei dati personali nell’ambito di specifici progetti di sviluppo commerciale.
Foto di Hayley Murray su Unsplash