Workshop Sala Dubai – 16.00
Con Luca Bolognini, avvocato partner ICT Legal Consulting e Presidente Istituto Italiano per la Privacy e la Valorizzazione dei Dati
SEND, il primo Open Summit ContactLab
API, SDK e Plugin: raccogliere e integrare i dati, abilitare un profilo consu...
SEND | I nostri clienti vanno protetti – Consenso, Privacy e Data Protection spiegati dagli esperti
1. SEND è organizzato da
#SEND2014
30 MINUTI DI SPUNTI SU PRIVACY E MARKETING DIRETTO DIGITALE
Luca Bolognini, avvocato – Milano - Roma
Founding partner ICT Legal Consulting
Presidente Istituto Italiano per la Privacy e la Valorizzazione dei dati
2. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
TIPI DI CONTATTO: GLI STRUMENTI UTILIZZATI
•AUTOMATIZZATI
•NON AUTOMATIZZATI
Automatizzati:
-Email
-Sms
-mms
-Fax
-Messaggi social
-Notifiche push
-Autorisponditori
Non Automatizzati
-Telefono con operatore
-Posta cartacea
3. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
SISTEMI DI CONTATTO AUTOMATIZZATI
Articolo 130 del Codice Privacy (D.lgs. 196/2003)
Possibile il contatto solo con consenso preventivo dell’utente o contraente (130.1)
ECCEZIONE 1 - Possibile inviare email promozionali su prodotti o servizi analoghi a quello già acquistato dall’interessato (130.4)
ECCEZIONE 2 - Possibile inviare messaggi diretti usando il sistema di messaggistica interno del social network verso amici, fan, seguaci vari a condizione che:
-Collegarsi all’account dell’impresa/brand/prodotto/servizio sia inequivocabilmente connesso alla volontà, per l’utente, di essere aggiornato
-Le funzionalità tecniche del social network lo consentano (Linee Guida Garante 4 luglio 2013)
4. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
LE FILIERE NEL MARKETING DIRETTO
Attenzione ai rapporti tra list broker, editori, committenti
Il committente – al quale si riferisce il messaggio promozionale, «smoking gun», sempre responsabilizzato come titolare del trattamento – deve nominare responsabile esterno del trattamento il soggetto che effettuerà gli invii, anche in caso di non cessione/comunicazione (anche solo per mera consultazione a schermo) dei dati contenuti nelle liste. Il committente deve trasmettere al soggetto che eseguirà gli invii, designato responsabile esterno, la propria blocklist di soggetti che hanno espresso la volontà di non ricevere DM dal committente
In caso di cessioni/comunicazioni/noleggi di liste, il committente deve:
1.Verificare a campione (es. il 10% scelto secondo propri criteri) e conservare per eventuali controlli le evidenze e l’idoneità dei consensi rilasciati al primo titolare del trattamento dagli utenti interessati per finalità di cessione/comunicazione dei loro dati a soggetti terzi – della categoria cui appartiene il secondo titolare cessionario – per loro scopi di marketing diretto con strumenti determinati
2.Fornire agli interessati al momento della prima comunicazione o della registrazione dei dati l’informativa ex art. 13.4 del Codice privacy
Attenzione: il consenso alla comunicazione dei dati a terzi (di certe categorie, es. case automobilistiche) per loro fini di marketing diretto con determinati strumenti di contatto NON E’ UN ASSEGNO IN BIANCO TRASFERIBILE: il consenso vale solo verso il primo titolare a cui è dato, e quindi il secondo titolare non potrà «girare» i dati a ulteriori autonomi titolari
Si può chiedere un unico consenso per tutti gli strumenti di contatto che si useranno, specificandoli e consentendo comunque all’utente di scegliere quali preferisce, eventualmente: ma NON un unico consenso anche per la profilazione
5. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
SISTEMI AUTOMATIZZATI E VIRALIZZAZIONE
Linee Guida del Garante del 4 luglio 2013
Possibile il passaparola (tell a friend) e il member get member ma:
-No incentivi agli utenti segnalanti/reclutanti, se no risponde per spam il soggetto a cui si riferiscono i prodotti/servizi/brand pubblicizzati -> stesso approccio in diritto del consumo e del mercato
-No conservazione dati del destinatario della segnalazione
-Attenzione alla messa a disposizione di strumenti di contatti gestiti direttamente: form/app con smtp possono comportare fornitura di servizi di comunicazione accessibili al pubblico, con tutto quanto ne consegue in termini di compliance privacy
6. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
SISTEMI DI CONTATTO AUTOMATIZZATI E COOKIE LAW
Articolo 122 del Codice Privacy (D.lgs. 196/2003)
Anche al tracking sulla lettura delle email, e al conseguente monitoraggio post-landing, si applicano le regole previste dall’art. 122 in materia di archiviazione e/o lettura di informazioni sul terminale dell’utente/contraente, cioè la cd «cookie law»
No consenso, sì informativa per attività tecniche di lettura/archiviazione
Si consenso, sì informativa per attività non strettamente tecniche (es. statistiche con dati disaggregati o tracking per profilazione)
ATTENZIONE: consenso ex art. 122 non è il consenso ex art. 23 per la profilazione. Nel Parere sulle app 2/2013 i Garanti Europei (Articolo 29) ammettono che si possa chiedere in ambito digitale un solo consenso cumulativo per archiviazione/lettura (art. 122 italiano) e profilazione comportamentale (art. 23 italiano) ma non è chiara la posizione interpretativa sul punto del Garante italiano.
7. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
TECNOLOGIE «CONNECT» E MARKETING
Il «connect» come consenso alla comunicazione dei dati a terzi
•Quando registriamo un utente al nostro servizio (app, sito, ecc.) tramite una tecnologia social «connect», in sostanza stiamo ottenendo dall’utente interessato un consenso alla comunicazione dei suoi dati dal social network a noi, nuovi titolari del trattamento
•Il «connect» non trasferisce affatto i consensi al marketing diretto e alla profilazione eventualmente riconosciuti, prima, dall’utente al social network: dovremo chiedere altri consensi ad hoc
•Il «connect» non ci esonera dalla responsabilità di dover rispettare i principi di necessità e non eccedenza (art. 11 Codice privacy): quindi attenziona a non incamerare troppi dati rispetto a quelli necessari per fornire il servizio all’utente
•Non prendiamo dal profilo del social network dati sensibili – es. su opinioni politiche, credo religioso, gusti sessuali - se non strettamente necessari per fornire il servizio (e mai per marketing, in assenza dell’autorizzazione del Garante): può costituire anche reato
•Creiamo un log proprietario delle registrazioni nel ns db tramite «connect», per fini probatori futuri
8. un evento organizzato da
#SEND2014
This document is the intellectual property of ContactLab and was created for demonstration purposes only. It may not be modified, organized or reutilized in any way without the express written permission of the rightful owner.
CUSTOM AUDIENCE SUI SOCIAL NETWORK
Potenziali criticità
•Fornire al social network una lista di propri utenti, per ritagliare e mirare meglio il messaggio, può comportare problematiche privacy
•Se si comunicano dati personali di terzi al social network, serve il consenso degli interessati a cui i dati si riferiscono, oppure dovremo designare come responsabile del trattamento (data processor) il social network: ma quest’ultima ipotesi è difficile
•Anche in caso di hash della lista, stiamo fornendo un’informazione nuova di terzi al social network: e cioè che quei terzi, i cui hash siano corrispondenti a utenti con hash in possesso del social network, sono anche nostri utenti
•Rischio per illegittima comunicazione di dati al social network: da sei mesi a 2 anni di reclusione per le persone fisiche che commettono/concorrono a commettere il delitto
9. un evento organizzato da
#SEND2014
Grazie dell’attenzione, per informazioni e approfondimenti: Luca.Bolognini@ictlegalconsulting.com www.ictlegalconsulting.com ma anche via social facebook.com/luca.bolognini twitter.com/lucabolognini http://it.linkedin.com/in/lucabolognini/