Nel corso degli ultimi mesi, sono state approvate importanti delibere relative alla normativa sulla privacy in tema di web marketing e di email marketing: in particolare, due provvedimenti generali del Garante, un Decreto Legge e un regolamento dell'Unione Europea.
I provvedimenti del garante per la protezione dei dati
I provvedimenti del Garante mirano a regolamentare il marketing diretto effettuato tramite invio di comunicazioni commerciali con mezzi automatizzati (posta elettronica, sms, mms, fax, chiamate pre-registrate). Il primo provvedimento prevede che il consenso dei destinatari di tali messaggi si estenda anche al marketing tradizionale (posta cartacea o telefonate tramite operatore). Il secondo provvedimento stabilisce che il marketing diretto, per poter essere effettuato, richiede il consenso preventivo ed informato degli interessati; le modalità utilizzate per il trattamento e le finalità dello stesso devono essere dichiarate esplicitamente.
Sostanzialmente, dunque, si rende valida l'acquisizione di un unico consenso per tutte le finalità del trattamento dei dati personali legati ad attività di marketing in senso ampio (digitale o su web e classico), purché modi e scopi siano espliciti ed accettati al momento del consenso. Se l'obiettivo dell'indagine è la profilazione o la comunicazione e/o la cessione dei dati a terzi, occorre invece un consenso separato.
Novità interessante per quanto riguarda i social network: essere fan o follower di un'azienda, di un marchio o di un prodotto può costituire una valida espressione di consenso all'invio di email promozionali (purché, al momento dell'iscrizione, si possa evincere che l'interessato abbia manifestato anche la disponibilità a ricevere materiale pubblicitario).
Il decreto del 2013
Il Decreto Legge, emanato nell'agosto del 2013, contiene un'importante novità per quanto riguarda la responsabilità penale delle società e l’adozione di un modello organizzativo e di un codice etico: i reati di frode informatica, indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento, violazione della privacy, trattamento illecito dei dati, false dichiarazioni al Garante e inosservanza dei provvedimenti del Garante determineranno la responsabilità penale diretta della società o dell'ente. Queste ultime, per evitare una sanzione penale diretta, dovranno dimostrare di essersi dotati di un adeguato modello organizzativo, di un organismo di vigilanza e di un codice etico.
Il regolamento dell'Unione Europea, emanato nel giugno del 2013, dispone che i fornitori di servizi di comunicazione elettronica accessibili al pubblico notifichino le violazioni di dati personali alle autorità nazionali competenti (art. 4) e, se la violazione è tale da pregiudicare la vita privata dell'utente, anche allo stesso utente o ad eventuali terzi coinvolti; tale notifica non è necessaria se il fornitore può dimostrare all'autorità nazionale competente di aver utilizzato adeguate misure tecnologiche per la protezione dei dati; le notifiche, in ogni caso, devono avvenire attraverso mezzi di comunicazione rapidi e sicuri (art. 3). La notifica all'autorità nazionale competente, in particolare, deve essere inoltrata, se possibile, entro ventiquattro ore dal rilevamento della violazione, in modo da permettere interventi il più tempestivi e precisi possibile (art. 2).