In Bancomail, il rispetto delle normative è fondamentale, per questo da sempre ci impegniamo a conoscere e rispettare la normativa vigente ed applicabile per la tutela dei contatti nel nostro Database.
Fare il nostro lavoro richiede il mantenimento di un Database il più possibile privo di rischi di complaint. Per farlo, abbiamo – dal 2001 – seguito scrupolosamente ogni indicazione di legge, anche quando la normativa nazionale era concepita sul mondo tradizionale con pochi o nessun riferimento al mondo del Web e quella comunitaria era solo un abbozzo, molto lontana dall’armonizzazione a livello comunitario.
Con l’avvento della 196/03 (“Testo Unico sulla Privacy”) e ora con il GDPR, i legislatori hanno attestato quanto fosse cruciale che i temi trattati fossero in linea con i tempi e hanno, di fatto, concepito testi di legge moderni e rivolti al mondo Digital.
Ciò nonostante, a causa della natura intrinseca di leggi e regolamenti, molti attori del panorama consulenziale si limitano a paventare rischi elevati e generalizzati senza analizzare con attenzione il contesto in cui si trova il mondo del Direct Marketing alla luce del nuovo Regolamento.
A seguito di un’analisi precisa e meticolosa del GDPR, confortati dal parere del nostro ufficio legale e di quello di autorevoli player mondiali nel mondo del Direct Marketing, la conclusione a cui siamo giunti è che le nostre procedure e i dati da noi gestiti e forniti sono conformi al GDPR che non solo non limita l’operatività generale, ma la amplia e contestualizza con precisione.
Di seguito un estratto della nostra analisi.
Il Database Bancomail
Il Database di Bancomail contiene ad oggi più di 7.000.000 di record di aziende, associazioni e liberi professionisti. Al suo interno esistono 3 casi/tipologie di dati:
1. Il caso chiaro: Full Legal Person
Rappresenta il 75% del totale dei record nel nostro Database: aziende, associazioni ed enti con varie forme di composizione (Spa, Srl, Snc, Sas etc.) e dati di contatto generici (es.: info@) o di reparto (es.: marketing@, sales@, etc.).
Questi soggetti sono chiaramente esclusi dalla tutela del Regolamento in base al Considerando 14 della stessa che riportiamo integralmente:
The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person.
Tuttavia, per deontologia e maggior garanzia, le nostre procedure – sebbene questa esclusione dalla tutela dal trattamento fosse già compresa nella revisione della 196/03 (decreto Monti “Salva Italia”) – assicuriamo da sempre anche a questi Soggetti i Diritti Universali (informazione, verifica, aggiornamento e rimozione). Continueremo a farlo anche con il GDPR.
Nella stessa ottica virtuosa e strategica, consigliamo ai nostri clienti di usare lo stesso tipo di approccio, assicurando ai destinatari informazione e diritti.
2. Il caso misto: Legal Person with natural person contact data
È un caso molto meno frequente nel nostro Database, ma esistente: un esempio è Azienda srl con dato email [email protected]. In questo caso le argomentazioni sono due, ugualmente pertinenti:
A. Se l’indirizzo email (o il nome e cognome, la carica, etc.) sono stati conferiti dal soggetto, indicandoli come dati di contatto, la stessa azione li fa chiaramente rientrare nell’esclusione del Considerando 14.
B. Se invece (aldilà delle intenzioni del conferente) si vogliono considerare questi dati come riferiti alla “Natural Person”, il diritto al trattamento ci viene assicurato da altri due Considerando della Legge: il 47 e il 70.
In particolare il 47 scrive, come conclusione:
The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.
Quindi, se il legittimo interesse è finalizzato al direct marketing, il trattamento di questo tipo di dati è consentito. In questo caso però l’assicurazione dei diritti all’interessato non è più una scelta, ma un obbligo. Questo significa informare chiaramente il destinatario del trattamento e delle sue finalità assicurandogli l’esercizio dei diritti.
La trasmissione dell’informativa, è l’occasione stessa in cui presentare la propria attività e l’oggetto della eventuale promozione.
3. Il caso particolare: Natural person with natural person contact data
E’ una tipologia di record abbastanza frequente nel nostro Database. Si tratta perlopiù di Liberi Professionisti in forma singola (quindi non studi associati rientranti di fatto nelle legal person) che hanno nome e dati di contatto che identificano chiaramente la “persona fisica”, aldilà della sua veste “business” quando agisce come professionista.
Sarebbe facile obiettare che, in quanto indicati/conferiti dal soggetto in maniera spontanea, questi dati possano essere riconducibili al caso 1, ma è una strada non convincente.
Molto più convincente riferirsi ai Considerando del caso precedente (47 e 70) e, in particolare, al riferimento del “Legittimo Interesse” per finalità di direct marketing.
Anche in questo caso, ovviamente, informativa e diritti sono obbligatori, ma l’occasione consente di presentare la propria attività e l’oggetto della eventuale promozione.
Altre cose che facciamo per assicurare la compatibilità con il GDPR:
- DPO: nonostante il Regolamento non ci obblighi in questo senso, ci stiamo dotando di un Data Protection Officer per la supervisione di tutte le procedure relative al trattamento dei dati e il rilievo di eventuali criticità.
- LIA: è un audit interno (“Legitimate Interest Assessment”) che serve a mettere su carta ed archiviare la valutazione fatta dal Team Databale e DPO, in merito al nostro legittimo interesse e al legittimo interesse dei nostri clienti. Questo documento tiene conto di un “balance test” oggettivo, per la verifica che gli interessi individuali non prevarichino il nostro.
- TRACKING: sin dalla nascita di Bancomail, abbiamo creato routine per tracciare i dati che cediamo. Ogni singolo record contiene tutti i dati sul reperimento (data, fonte, etc) e i riferimenti (nominativo e temporale) di coloro a cui lo abbiamo fornito. Questo approccio è molto importante al fine di una piena compatibilità con il Regolamento.
- ISO 27001: anche se non strettamente correlato al Regolamento, la nostra società si sta dotando della Certificazione ISO 27001 per la gestione della sicurezza delle informazioni. Sempre in quest’ottica i nostri sistemi sono all’avanguardia da anni, applicando tecnologie avanzate di protezione dei dati.
Quindi?
Come si può dedurre, l’introduzione del GDPR non solo non costituisce un problema per i nostri clienti e per i marketer in generale, ma – sotto molti punti di vista – chiarisce ed amplia le possibilità relative al direct marketing aprendo strade (es. possibilità di cessione dei dati dei “contatti” interni) che prima, per carenze normative, rimanevano nella zona d’ombra.