GDPR e Partner
Quali sono gli obblighi del partner relativi alla privacy dei dati quando partecipa al programma OneAffiniti?
I partner hanno quattro obblighi fondamentali quando utilizzano i servizi di OneAffiniti per inviare materiali di marketing ai propri abbonati:
- Stabilire la base giuridica per il trattamento delle informazioni personali presenti negli elenchi degli abbonati.
Ciò significa:- aver ottenuto il consenso esplicito del singolo destinatario presente nel proprio elenco di abbonati a ricevere materiale di marketing, attraverso una scelta chiara, libera, pienamente informata e affermativa
- fare affidamento su interessi legittimi come base giuridica per l’utilizzo dell’indirizzo e-mail presente nell’elenco degli abbonati per inviare materiale di marketing, dopo aver effettuato una valutazione documentata di tali interessi legittimi (ovvero deve sussistere una ragionevole aspettativa da parte del destinatario di poter ricevere materiale di marketing, a seguito di un rapporto commerciale in atto e di un impatto sulla privacy valutato di livello basso).
Consultare Come ci si può assicurare che il proprio elenco di abbonati sia conforme al GDPR? per ulteriori informazioni.
- Le informative sulla privacy devono fornire informazioni complete sul trattamento dei dati personali.
In qualità di titolare del trattamento del proprio elenco di abbonati, l’informativa sulla privacy dovrebbe essere conforme ai requisiti di equità e trasparenza ai sensi del GDPR e rendere nota:- La base giuridica su cui si fa affidamento per la raccolta e il trattamento delle informazioni personali, incluso il trattamento degli indirizzi e-mail per finalità di marketing diretto. Nella maggior parte dei casi, la base giuridica su cui si fa affidamento sarà costituita da consenso o interessi legittimi. È inoltre possibile fare affidamento su altri motivi, come l’esecuzione di un contratto o l’obbligo legale, nel caso in cui si elaborino informazioni personali nel corso dell’attività (ad esempio informazioni di contatto per fornire prodotti o servizi a un particolare cliente).
- Quali tipologie di informazioni personali vengono condivise con OneAffiniti (ciò dovrebbe includere la notifica che gli indirizzi e-mail dei clienti e le copie delle fatture o ricevute saranno condivisi, al fine di amministrare e convalidare le campagne di marketing).
- Con chi vengono condivise le informazioni personali e un elenco di responsabili del trattamento di terze parti, che include OneAffiniti.
- Dovrebbero essere messe in atto misure tecniche e organizzative appropriate I propri sistemi devono essere sicuri e ciò include la disponibilità di adeguate protezioni IT e di sicurezza informatica, oltre ad avere efficaci controlli interni, nonché politiche e linee guida riguardanti la raccolta, l’uso, la condivisione e la gestione delle informazioni personali.
- Vi invitiamo a essere partner di OneAffiniti per la privacy. Dobbiamo collaborare per assicurarci di essere conformi a standard di privacy appropriati e fare del nostro meglio per proteggere le informazioni personali che raccogliamo ed elaboriamo nel corso dell’invio di materiali di marketing. È necessario un reciproco aiuto per affrontare eventuali domande, reclami o richieste in materia di privacy, per rispondere a una potenziale violazione dei dati e condurre indagini o valutazioni sulla privacy. Siamo qui per offrire supporto, ma è necessario che ci sia comunicato immediatamente:
- qualsiasi caso di violazione dei dati, potenziale o effettiva
- se si riceve una richiesta di accesso dell’interessato
- se si ricevono reclami o contestazioni da un abbonato o da un’autorità di regolamentazione in merito alla privacy o alle informazioni personali
- se sussistono domande o dubbi sulla privacy in generale.
Come è possibile assicurarsi che il proprio elenco di abbonati sia conforme al GDPR?
I partner dovrebbero controllare il proprio elenco di abbonati e verificarne la conformità al GDPR quando aderiscono per la prima volta al programma e successivamente su base regolare. Anche se non si è soggetti al GDPR, i termini e le condizioni di OneAffiniti richiedono di avere una base giuridica per il trattamento degli elenchi degli abbonati e per consentire a OneAffiniti di fornire i propri servizi di marketing.
Controllare il proprio elenco di clienti significa valutare gli indirizzi e-mail e le altre informazioni raccolte e verificare se sussiste una base giuridica per tale trattamento. Se non si dispone di una base giuridica per la raccolta, l’indirizzo e-mail non deve essere incluso nell’elenco degli abbonati.
Sebbene esistano sei motivi legittimi per il trattamento ai sensi del GDPR, le basi più probabili da applicare per la raccolta e l’utilizzo di un indirizzo e-mail per scopi di marketing diretto sono le seguenti:
- consenso; o
- interesse legittimo.
È responsabilità del partner analizzare le proprie attività di trattamento dei dati e scegliere la base più adeguata. In caso di incertezza su quali dei motivi legittimi elencati nel GDPR siano applicabili, è necessario chiedere una consulenza legale, per assicurarsi che le attività di trattamento siano adeguatamente giustificate. È importante ricordare che il GDPR sancisce il principio di “responsabilità”, il che significa che bisogna essere in grado di dimostrare la conformità; una diligente tenuta dei registri è quindi vitale per supportare questa giustificazione.
L’Information Commissioner’s Office dispone inoltre di ulteriori informazioni sulla base giuridica, insieme a uno strumento di orientamento interattivo sulla base giuridica per aiutare a determinare quale base sia applicabile.
Consenso
Consenso significa che l’individuo interessato ha liberamente espresso il proprio consenso chiaro ed esplicito al trattamento dei propri dati personali per uno scopo specifico.
Quando si controlla il proprio elenco di abbonati, va considerato se è stato fornito il consenso esplicito e se è ancora valido. Consenso valido ai sensi del GDPR:
- deve essere dato liberamente; ciò significa offrire alle persone una vera scelta e controllo continui su come si utilizzano i loro dati
- deve essere chiaro e richiedere un’azione positiva per aderire. Le richieste di consenso devono essere evidenti, non raggruppate con altri termini e condizioni, concise e di facile comprensione, di facile utilizzo e su una base positiva di “opt-in” rispetto a una casella preselezionata oppure “opt-out”.
- devono precisare in modo specifico il nome del titolare, le finalità del trattamento e i tipi di attività di trattamento.
È necessario assicurarsi di conservare i registri per dimostrare il consenso, ovvero chi ha acconsentito, quando, come e cosa gli è stato detto.
Esempi di consenso esplicito includono:
- Opt-in tramite un modulo web o online, a condizione che la casella di opt-in non sia preselezionata per impostazione predefinita
- Compilazione di un modulo offline che indica chiaramente che l’individuo può essere aggiunto al proprio elenco di abbonati alle e-mail di marketing e che ha espressamente indicato la propria volontà di ricevere tali e-mail
- Dare il proprio biglietto da visita; a condizione che 1) sia stato esplicitamente indicato che dando il biglietto da visita si accetta di essere aggiunti all’elenco di abbonati alle e-mail di marketing; o 2) il biglietto da visita sia stato lasciato in un contenitore che indicava chiaramente che l’introduzione del biglietto da visita implicava l’accettazione di essere aggiunti all’elenco abbonati alle e-mail di marketing. In entrambi i casi, è necessario comunicare in modo trasparente la base del trattamento tramite la comunicazione dell’informativa sulla privacy.
- Fornire un’altra espressa autorizzazione scritta per essere aggiunti all’elenco abbonati alle e-mail di marketing prima di essere contattati via e-mail.
Ulteriori informazioni sul consenso sono disponibili sul sito Web dell’Information Commissioner’s Office: ICO: Consent e Guidance on Consent
Interesse legittimo
Ci possono essere casi in cui si può fare affidamento sui propri interessi legittimi con gli abbonati e può essere stabilito un “soft opt-in“.
L’interesse legittimo può essere invocato se le attività di marketing da effettuare sono nell’interesse legittimo della propria azienda o di una terza parte, che potrebbe includere i fornitori di software, laddove vi siano ragionevoli motivi per cui l’individuo si aspetterebbe il trattamento e vi è probabilmente un impatto minimo sulla privacy. La Commissione europea ha confermato che il trattamento dei dati personali a fini di marketing diretto può essere considerato effettuato per un interesse legittimo, a condizione che siano stati soddisfatti tutti i criteri necessari.
Per fare affidamento sull’interesse legittimo come motivo per un trattamento legittimo, è necessario condurre e tenere un registro della propria valutazione di tale interesse legittimo. Il sito Web dell’Information Commissioner’s Office ha un esempio di modello di valutazione dell’interesse legittimo che è possibile utilizzare come guida.
Una volta stabilita e registrata la giustificazione dell’interesse legittimo come motivo di trattamento legittimo, è possibile rivedere l’elenco degli abbonati per determinare se uno qualsiasi degli indirizzi e-mail soddisfa i criteri di soft opt-in.
Il soft opt-in si applica solo ai clienti esistenti (non ai potenziali clienti). Per essere idoneo per l’inclusione nell’ambito del soft opt-in, l’indirizzo e-mail deve essere stato ottenuto nel corso di una vendita di un prodotto o servizio a quella specifica persona.
Non ci sono limiti di tempo legali per quanto riguarda il soft opt-in ma, a titolo indicativo, gli acquisti effettuati entro 6-24 mesi dalla data della revisione potrebbero essere considerati un lasso di tempo ragionevole. Va ricordato che ci deve essere una ragionevole aspettativa che l’abbonato acconsenta a ricevere le e-mail di marketing.
Ulteriori informazioni sull’interesse legittimo sono disponibili sul sito web dell’Information Commissioner’s Office: ICO: Legitimate Interests e Guidance on Legitimate Interests.
Domande frequenti
L’azienda del partner non si trova nell'UE. Il GDPR si applica lo stesso?
- il partner è un’impresa con sede nell’UE
- offre beni o servizi alle persone nell’UE o monitora il comportamento dei consumatori nell’UE
- tratta le informazioni personali delle persone nell’UE.
Anche se il GDPR non si applica all’attività del partner, lo stesso ha comunque l’obbligo di rispettare le leggi locali sulla privacy e assicurarsi di ottenere i consensi necessari dai propri abbonati in relazione alle informazioni personali che raccoglie.
Il partner ha anche l’obbligo, ai sensi dei termini generali di servizio di OneAffiniti, di rispettare determinati requisiti sulla privacy dei dati (vedere Quali sono gli obblighi del partner sulla privacy dei dati quando partecipa al programma OneAffiniti?)
Ulteriori informazioni o risorse sugli obblighi locali in materia di privacy per i partner:
- Risorse sulla privacy per l’Australia: ACMA e OAIC e OAIC GDPR Guidance
- Risorse sulla privacy per gli Stati Uniti: CAN-SPAM e CCPA
- Risorse sulla privacy per il Canada: CASL e PIPEDA
È possibile utilizzare liste di terze parti o acquistate?
SI configura una violazione dei termini e delle condizioni di OneAffiniti utilizzare elenchi di terze parti che non soddisfino la base giuridica del GDPR per i requisiti di raccolta o i requisiti di consenso delle leggi locali sulla privacy.
Il partner vuole partecipare al programma, ma è preoccupato per il GDPR
- gli elenchi degli abbonati comprendano persone per le quali sussiste una base giuridica per la raccolta
- si forniscano informazioni adeguate nell’informativa sulla privacy
- si sappia cosa fare se si riceve una richiesta o un reclamo relativi alla privacy
- si disponga di misure tecniche e organizzative appropriate.
Vedere obblighi del partner per ulteriori dettagli.
Qual è la differenza tra un titolare del trattamento e un responsabile del trattamento e quale si applica in questo caso?
Cosa si deve fare se si riceve un reclamo o una richiesta relativi alla privacy?
L’elenco di abbonati del partner viene condiviso con gli sponsor?
Quali informazioni vengono condivise con gli sponsor?
Quali informazioni vengono condivise con terze parti?
Disclaimer: Questa è una guida generale ad alcuni dei requisiti del GDPR. Questa guida non costituisce una consulenza legale o una dichiarazione delle misure da adottare per garantire la propria conformità e si accetta di non fare affidamento sulle informazioni fornite nel presente documento per la propria conformità. Per informazioni di consulenza complete, consultare il sito Web dell’Information Commissioner’s Office del Regno Unito – Guida al GDPR. In caso di ulteriori dubbi, raccomandiamo di chiedere il parere di un professionista legale o della privacy.
Si prega di tenere presente che, ai sensi del proprio contratto di servizio con OneAffiniti, il partner è interamente responsabile di fornire e certificare la liceità degli indirizzi e-mail dei propri clienti.