Opt-in, opt-out, normative, direttive, regolamentazioni. Muoversi con destrezza nei meandri degli ordinamenti è un’impresa titanica, anche perché spesso le leggi sono fra loro contraddittorie.
“La Privacy? Oggi non è riservatezza, ma è corretto trattamento dei dati“. Sta in una sola frase, ben sintetizzata da Andrea Lisi, Professore a contratto di Informatica giuridica dell’Università di Salento, l’annosa questione della tutela dei dati, sia in ambito business to business che business to consumer.
Perché lo spauracchio della “nota informativa” deve lasciare il posto a una “strategia chiara e definita” in merito alla gestione dei dati in azienda. Ed è questo il vero leitmotiv del convegno “Direct Marketing: nuove soluzioni del rispetto della privacy“, organizzato recentemente da Knowità.
“La privacy – ha spiegato Lisi – non è divieto bensì trasparenza, strategia e organizzazione e non ha niente a che fare con il diritto del “right to be alone” (diritto a essere lasciato solo, di Warren e Brandeis 1890 ndr)“.
La privacy è legata alla protezione del dato relativo all’utente il quale ha tutto il diritto:
- a chiedere di se stesso
- di scegliere quel che si è disposti a rivelare agli altri
- di controllare l’uso delle informazioni che lo riguardano
- alla propria autodeterminazione informatica/informativa
“Non va dimenticato – aggiunge Diego Fulco, Senior Associate dello Studio legale Imperiali – che la Privacy ha una matrice europea“.
Vista l’enorme valenza economica dell’uso dei dati personali, l’Europa ha definito una direttiva per garantire uniformità fra gli Stati membri.
Il problema è che ciascun Stato può personalizzare la direttiva con il “risultato finale – continua Fulco – che quasi tutti i Paesi hanno deciso per l’ opt-out, mentre in Italia si è scelto l’opt-in“.
Semplificando, secondo i dettami dell’opt-out si possono fare comunicazioni a tutti tranne a quelli che non vogliono. Con l’opt-in, si possono fare comunicazioni solo a quelli che desiderano riceverle (consenso preventivo).
“Il punto – continua Fulco – è che la legge in materia è tuttora molto contraddittoria e negli ultimi mesi, anziché semplificarsi si è fatta addirittura più complicata“.
Di privacy e comunicazione si parla infatti nel D.Lgs 70/2003 sul commercio elettronico, nella tutela del consumatore (che non vale però nel mondo B2B), nella direttiva 2002/58/CE relativa al trattamento dei dati personali, nelle regole della pubblicità, oltre ovviamente nel Codice della privacy. Considerando che “ogni norma è interpretabile” spesso si arriva a situazioni contrastanti a seconda del singolo comma considerato. A ciò si aggiunge poi il fatto che i provvedimenti del Garante non vanno a prendere il posto di quanto definito dal legislatore (tranne nelle materie in cui ha delega specifica), ma hanno molta eco sui media col risultato che se ne parla in qualche caso a sproposito.
B2B e B2C
Vediamo quindi alcuni punti fermi. La prima grossa distinzione da fare è fra comunicazione business-to-business (B2B, ovvero fra imprese) e comunicazione business-to-consumer (B2C, ovvero fra imprese e consumatore).
“Nel B2B – commenta Fulco – il problema dell’opt-in praticamente non si pone. Si possono fare comunicazione commerciali, fatti salvi ovviamente i criteri di trasparenza e correttezza commerciale. Inoltre, bisogna comunque sempre prevedere l’opt-out: in qualsiasi momento l’utente può negare di essere contattato per comunicazioni commerciali“.
Per il B2C, la situazione è più articolata perché l’opt-in richiede comunque un consenso preventivo. Ma anche qui ci possono essere delle eccezioni. E’ stata portata ad esempio come ammissibile un’azione di comunicazione nei confronti dei soci ACI (iscritti a un registro di pubblico dominio) da parte di un produttore di automobili perché si può presumere una sorta di “compatibilità di scopo” (chi è socio ACI verosimilmente è interessato al mondo delle automobili). La stessa azione non sarebbe permessa invece a un commerciante di vini perché verrebbe meno questa ammissibilità di obiettivi.
Il problema del consenso
Ancora, si fa un gran parlare del “consenso” nell’informativa sulla Tutela della Privacy. Ebbene, il consenso, secondo quanto dice la normativa, deve essere “determinato”, ovvero riferito a una specifica finalità.
Questo significa che il consenso per il marketing diretto è diverso dal consenso per la profilazione. In altre parole, una società che vuole fare comunicazioni commerciali via telefono a una lista di clienti consumer (marketing diretto) e nel contempo profilare questi clienti (ad esempio le abitudini di acquisto) ha bisogno di due consensi distinti.
Il consenso non è invece necessario se i clienti vengono contattati con posta cartacea o e-mail (aventi però oggetto prodotti o servizi analoghi a quelli già acquistati), ma è obbligatorio in (quasi) tutti i casi per i prospect. Abbiamo scritto “quasi” perché il consenso non è necessario nel caso il mailing cartaceo venga inviato da una società di vendite per corrispondenza.
Si tratta solo di alcuni, singoli, esempi che ben tratteggiano la difficoltà di muoversi in questo terreno minato.
Le interpretazioni delle norme
Nel convegno è stato più volte osservato come sia necessario seguire scrupolosamente i dettami legislativi, ma c’è sempre un 20% di zona d’ombra dove bisogna muoversi con intelligenza per minimizzare i rischi.
“Nella privacy – commenta Fulco – vige la regola che nulla è scontato. Bisogna mettere tutto nero su bianco e ridurre il rischio vuole dire documentare per iscritto anche l’ovvio“.
Alcuni consigli, quindi. Fondamentale è la trasparenza nei confronti dell’utente che riceve la comunicazione. Quest’ultima, spiega Lisi “deve contenere in modo chiaro e inequivocabile una specifica informativa che evidenzia che si tratta di una comunicazione commerciale, nonché la persona fisica o giuridica per conto della quale questa comunicazione è fatta. Per comunicazioni non sollecitate (B2B ndr) deve esserci l’indicazione che il destinatario del messaggio può opporsi al ricevimento di tali comunicazioni“. Mai come in questi casi, insomma, l’onestà paga.
Un altro suggerimento è di inviare e-mail individuali e targhettizzate con riferimenti al proprio sito Web, senza essere aggressivi e che contengano un’informativa completa e dettagliata sul trattamento dei dati. Rapidità nella cancellazione dei dati e cortesia sono altre carte vincenti.
“In base alla nostra esperienza – commenta Fulco – il Garante decide gli accertamenti dopo segnalazioni e queste ultime abitualmente scattano se gli interessati hanno percepito poca trasparenza o un comportamento “aggressivo” nella comunicazione. Per ridurre i rischi, bisogna raggiungere un ottimo livello di chiarezza privilegiando la sintesi. Se lo spazio a disposizione è troppo poco, meglio fare riferimento all’informativa sul sito Internet, prevedendo magari una pagina dedicata interamente a questa tematica“.
Inoltre, è molto importante attrezzarsi dal punto di vista organizzativo e tecnologico per la gestione dei dati sensibili.
Nel caso di contenzioso infatti, il Garante andrà subito a verificare i ruoli e le responsabilità (formalizzazione degli incarichi), i sistemi di sicurezza implementati, le procedure organizzative messe in opera. “Bisogna andare al di là del semplice adempimento burocratico – spiega Lisi – per considerare la valenza “strategica” della privacy“.
Per concludere, la filosofia di fondo del legislatore è quella di proteggere la privacy del singolo cittadino, non certo quella di limitare gli scambi commerciali fra imprese. Tanto più ci si avvicina alla sfera individuale (dati biometrici, dati di minori, dati processuali e via dicendo) e tanto più questi dati corrono il rischio di essere trafugati (furti d’identità), tanto più bisogna procedere con estrema cautela.