L’8 gennaio 2020 l’Information Commissioner’s Office (ICO), il garante per il trattamento dei dati personali inglese, ha pubblicato una bozza del “Direct Marketing code of practice”. Il testo è soggetto ad una consultazione pubblica ed è volto alla promozione di best practices in tema di marketing diretto – tramite posta, email o altre comunicazioni elettroniche o mediante chiamate con operatore o automatiche, per via diretta o tramite terze parti – nonché alla definizione di un vademecum per imprese o organizzazioni che, a vario titolo, trattano dati personali per scopi di marketing diretto, al fine di garantire una piena ed effettiva compliance con le normative in tema di protezione dei dati personali.
Sulla base della bozza di codice di condotta, le attività di direct marketing dovrebbero essere svolte in piena trasparenza – fornendo adeguata informativa agli interessati – e a valle di una pianificazione by design. Dovrebbe essere effettuata una DPIA non soltanto in presenza di un probabile alto rischio per gli interessati, ma per qualsiasi nuovo grande progetto che comporti il trattamento di dati personali. Inoltre, il trattamento si baserà o sull’interesse legittimo o, principalmente, sul consenso dell’interessato. Al riguardo, qualora il consenso sia stato raccolto da una terza parte, si raccomanda di non fare affidamento su un consenso fornito più di un sei mesi prima.
Occorrerà altresì prestare particolare attenzione in quei casi in cui i dati di contatto vengano forniti da terzi venditori di liste di dati, raccolti anche mediante fonti pubbliche, o qualora siano previste attività di profilazione o di arricchimento dei dati. Non mancano “codici rossi”: ad esempio, l’ICO ritiene improbabile la possibilità di effettuare attività di tracking per scopi di marketing diretto, in quanto viene meno il controllo dell’interessato sulla scelta di non comunicare i nuovi contatti.
L’Autorità tiene in debito conto i vantaggi derivanti dall’impiego di nuove tecnologie, le quali consentono di raggiungere più agevolmente gli utenti tramite piattaforme online o servizi digitali. Vengono così analizzate criticamente peculiari forme di raccolta di dati e di marketing diretto tramite i social media, l’online advertising o l’in-game advertising, nonché tramite nuove tecnologie connesse al mondo dell’IoT.
La versione finale del Codice sarà pubblicata nel corso dell’anno, insieme ad alcuni strumenti pratici supplementari (ad esempio, delle checklist di conformità). Sebbene non giuridicamente vincolante, il rispetto delle previsioni del Codice è consigliato in quanto costituisce un valido strumento per dimostrare la conformità alle previsioni del GDPR.
Autore: DLA Piper
