NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Quando la PA si arroga il diritto di non rispettare le regole sulla privacy: una deriva pericolosa che i DPO non sempre riescono ad arginare

La privacy by design come presidio di liceità della lead generation

Il processo di lead generation consiste in una serie di azioni coordinate che ha l’obiettivo di raccogliere i contatti (numeri di telefono e e-mail) di potenziali clienti al fine di svolgere successivamente delle azioni di direct marketing.

Dal momento che il buon esito queste azioni è naturalmente correlato con la qualità dei dati raccolti – ivi incluso l’aspetto della possibilità di lecito impiego degli stessi – è necessario porre una particolare attenzione nel declinare correttamente gli elementi di privacy by design che possono emergere in questo ambito specifico.

La verifica della provenienza del dato, e quindi la corrispondenza fra chi lo conferisce e l’interessato, è un elemento imprescindibile soprattutto nelle campagne online (ad es. tramite landing page, o social).

In tal senso, il Garante Privacy si è espresso all’interno del provvedimento n. 736 del 27 novembre 2024 indicando proprio l’esigenza di implementare “misure idonee a verificare la fonte e l’identità del soggetto che provvede al conferimento delle informazioni”, considerando inoltre la ragione a riguardo, ovverosia evitare che “tali tipologie di form on-line potrebbero essere surrettiziamente sfruttati per effettuare contatti outbound sotto le mentite spoglie di richieste di ricontatto provenienti dall’interessato”.

In pratica, in assenza di dette misure si realizzerebbe il rischio di un facile aggiramento dei vincoli per l’attività di telemarketing o e-mail marketing e dei presidi posti a garanzia per la formazione di liste di contattabilità, fra cui l’acquisizione e la capacità di provare un consenso valido.

Il consenso non è l’unico presupposto per l’impiego lecito dei dati dal momento che in alcuni casi viene richiesto anche il rispetto di prescrizioni ulteriori quali la disciplina AGCOM o il controllo tramite Registro Pubblico delle Opposizioni (RPO), tutti adempimenti che devono essere garantiti da parte del titolare del trattamento. Questi, anche nell’ipotesi in cui fa ricorso a uno o più responsabili cui delegare lo svolgimento delle attività o di una parte di esse, è comunque chiamato a rispondere del rispetto della normativa dei dati personali per l’intero processo. Il controllo della filiera dei soggetti che intervengono sui dati investe infatti sia l’aspetto della responsabilità in eligendo all’atto della selezione iniziale quando della responsabilità in vigilando per la permanenza delle garanzie richieste dall’art. 28 par. 1 GDPR nonché il rispetto delle istruzioni impartite e degli obblighi normativi.

Oltre alla liceità, occorre tenere conto anche della sicurezza dei trattamenti che non può essere trascurata. Un presupposto logico e funzionale opera però nel coordinamento con l’applicazione dei principi di minimizzazione e limitazione della conservazione, ceh comporta una riduzione del volume dei dati oggetto di raccolta e trattamento. Il che comporta innanzitutto una più limitata occasione di profitto per i cybercriminali, in quanto l’appetibilità dei dataset è minore, dopodiché anche una minore gravità di impatto. Entrambi fattori che incidono sul rischio. Il filtro preliminare nella progettazione sta infatti proprio nella corretta selezione dei soli dati necessari allo svolgimento dell’attività programmata e la conservazione degli stessi solamente per i tempi utili (anzi: necessari).

Dopodiché all’esito dell’analisi dei rischi svolta, le misure di mitigazione dovranno essere in grado di bilanciare continuamente l’esigenza di protezione dei dati personali con i costi di gestione derivanti dall’impiego degli stessi.

Infine, andranno aggiunte anche misure di sicurezza tecniche e organizzative che siano in grado di tenere debitamente conto dei rischi relativi soprattutto al fattore umano, coordinando ad esempio una corretta gestione dei privilegi con interventi efficaci di istruzione e formazione del personale, in quanto questo aspetto investe in modo significativo la fase operativa della raccolta e dell’impiego delle liste di contatto così generate.

Particolare attenzione infine va dedicata alla creazione del lead magnet – ovverosia, il contenuto per attirare e convincere gli interessati a conferire i propri dati per ricevere azioni di direct marketing – garantendo trasparenza informativa e correttezza, evitando azioni distorsive dei consensi quali i dark pattern.

Note sull'Autore

Stefano Gazzella Stefano Gazzella

Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia. Web: www.gdpready.it 

Articoli correlati

Prev Quando la PA si arroga il diritto di non rispettare le regole sulla privacy: una deriva pericolosa che i DPO non sempre riescono ad arginare

Galleria Video

App di incontri e rischi sulla privacy

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza