GDPR e Partner

Quali sono gli obblighi del partner relativi alla privacy dei dati quando partecipa al programma OneAffiniti?

I partner hanno quattro obblighi fondamentali quando utilizzano i servizi di OneAffiniti per inviare materiali di marketing ai propri abbonati:

  1. Stabilire la base giuridica per il trattamento delle informazioni personali presenti negli elenchi degli abbonati.
    Ciò significa:

    • aver ottenuto il consenso esplicito del singolo destinatario presente nel proprio elenco di abbonati a ricevere materiale di marketing, attraverso una scelta chiara, libera, pienamente informata e affermativa
    • fare affidamento su interessi legittimi come base giuridica per l’utilizzo dell’indirizzo e-mail presente nell’elenco degli abbonati per inviare materiale di marketing, dopo aver effettuato una valutazione documentata di tali interessi legittimi (ovvero deve sussistere una ragionevole aspettativa da parte del destinatario di poter ricevere materiale di marketing, a seguito di un rapporto commerciale in atto e di un impatto sulla privacy valutato di livello basso).

    Consultare Come ci si può assicurare che il proprio elenco di abbonati sia conforme al GDPR? per ulteriori informazioni.

  2. Le informative sulla privacy devono fornire informazioni complete sul trattamento dei dati personali.
    In qualità di titolare del trattamento del proprio elenco di abbonati, l’informativa sulla privacy dovrebbe essere conforme ai requisiti di equità e trasparenza ai sensi del GDPR e rendere nota:

    • La base giuridica su cui si fa affidamento per la raccolta e il trattamento delle informazioni personali, incluso il trattamento degli indirizzi e-mail per finalità di marketing diretto. Nella maggior parte dei casi, la base giuridica su cui si fa affidamento sarà costituita da consenso o interessi legittimi. È inoltre possibile fare affidamento su altri motivi, come l’esecuzione di un contratto o l’obbligo legale, nel caso in cui si elaborino informazioni personali nel corso dell’attività (ad esempio informazioni di contatto per fornire prodotti o servizi a un particolare cliente).
    • Quali tipologie di informazioni personali vengono condivise con OneAffiniti (ciò dovrebbe includere la notifica che gli indirizzi e-mail dei clienti e le copie delle fatture o ricevute saranno condivisi, al fine di amministrare e convalidare le campagne di marketing).
    • Con chi vengono condivise le informazioni personali e un elenco di responsabili del trattamento di terze parti, che include OneAffiniti.
  3. Dovrebbero essere messe in atto misure tecniche e organizzative appropriate I propri sistemi devono essere sicuri e ciò include la disponibilità di adeguate protezioni IT e di sicurezza informatica, oltre ad avere efficaci controlli interni, nonché politiche e linee guida riguardanti la raccolta, l’uso, la condivisione e la gestione delle informazioni personali.
  4. Vi invitiamo a essere partner di OneAffiniti per la privacy. Dobbiamo collaborare per assicurarci di essere conformi a standard di privacy appropriati e fare del nostro meglio per proteggere le informazioni personali che raccogliamo ed elaboriamo nel corso dell’invio di materiali di marketing. È necessario un reciproco aiuto per affrontare eventuali domande, reclami o richieste in materia di privacy, per rispondere a una potenziale violazione dei dati e condurre indagini o valutazioni sulla privacy. Siamo qui per offrire supporto, ma è necessario che ci sia comunicato immediatamente:
    • qualsiasi caso di violazione dei dati, potenziale o effettiva
    • se si riceve una richiesta di accesso dell’interessato
    • se si ricevono reclami o contestazioni da un abbonato o da un’autorità di regolamentazione in merito alla privacy o alle informazioni personali
    • se sussistono domande o dubbi sulla privacy in generale.

Come è possibile assicurarsi che il proprio elenco di abbonati sia conforme al GDPR?

I partner dovrebbero controllare il proprio elenco di abbonati e verificarne la conformità al GDPR quando aderiscono per la prima volta al programma e successivamente su base regolare. Anche se non si è soggetti al GDPR, i termini e le condizioni di OneAffiniti richiedono di avere una base giuridica per il trattamento degli elenchi degli abbonati e per consentire a OneAffiniti di fornire i propri servizi di marketing.

Controllare il proprio elenco di clienti significa valutare gli indirizzi e-mail e le altre informazioni raccolte e verificare se sussiste una base giuridica per tale trattamento. Se non si dispone di una base giuridica per la raccolta, l’indirizzo e-mail non deve essere incluso nell’elenco degli abbonati.

Sebbene esistano sei motivi legittimi per il trattamento ai sensi del GDPR, le basi più probabili da applicare per la raccolta e l’utilizzo di un indirizzo e-mail per scopi di marketing diretto sono le seguenti:

  • consenso; o
  • interesse legittimo.

È responsabilità del partner analizzare le proprie attività di trattamento dei dati e scegliere la base più adeguata. In caso di incertezza su quali dei motivi legittimi elencati nel GDPR siano applicabili, è necessario chiedere una consulenza legale, per assicurarsi che le attività di trattamento siano adeguatamente giustificate. È importante ricordare che il GDPR sancisce il principio di “responsabilità”, il che significa che bisogna essere in grado di dimostrare la conformità; una diligente tenuta dei registri è quindi vitale per supportare questa giustificazione.

L’Information Commissioner’s Office dispone inoltre di ulteriori informazioni sulla base giuridica, insieme a uno strumento di orientamento interattivo sulla base giuridica per aiutare a determinare quale base sia applicabile.

Consenso

Consenso significa che l’individuo interessato ha liberamente espresso il proprio consenso chiaro ed esplicito al trattamento dei propri dati personali per uno scopo specifico.

Quando si controlla il proprio elenco di abbonati, va considerato se è stato fornito il consenso esplicito e se è ancora valido. Consenso valido ai sensi del GDPR:

  • deve essere dato liberamente; ciò significa offrire alle persone una vera scelta e controllo continui su come si utilizzano i loro dati
  • deve essere chiaro e richiedere un’azione positiva per aderire. Le richieste di consenso devono essere evidenti, non raggruppate con altri termini e condizioni, concise e di facile comprensione, di facile utilizzo e su una base positiva di “opt-in” rispetto a una casella preselezionata oppure “opt-out”.
  • devono precisare in modo specifico il nome del titolare, le finalità del trattamento e i tipi di attività di trattamento.

È necessario assicurarsi di conservare i registri per dimostrare il consenso, ovvero chi ha acconsentito, quando, come e cosa gli è stato detto.

Esempi di consenso esplicito includono:

  • Opt-in tramite un modulo web o online, a condizione che la casella di opt-in non sia preselezionata per impostazione predefinita
  • Compilazione di un modulo offline che indica chiaramente che l’individuo può essere aggiunto al proprio elenco di abbonati alle e-mail di marketing e che ha espressamente indicato la propria volontà di ricevere tali e-mail
  • Dare il proprio biglietto da visita; a condizione che 1) sia stato esplicitamente indicato che dando il biglietto da visita si accetta di essere aggiunti all’elenco di abbonati alle e-mail di marketing; o 2) il biglietto da visita sia stato lasciato in un contenitore che indicava chiaramente che l’introduzione del biglietto da visita implicava l’accettazione di essere aggiunti all’elenco abbonati alle e-mail di marketing. In entrambi i casi, è necessario comunicare in modo trasparente la base del trattamento tramite la comunicazione dell’informativa sulla privacy.
  • Fornire un’altra espressa autorizzazione scritta per essere aggiunti all’elenco abbonati alle e-mail di marketing prima di essere contattati via e-mail.

Ulteriori informazioni sul consenso sono disponibili sul sito Web dell’Information Commissioner’s Office: ICO: Consent e Guidance on Consent

Interesse legittimo

Ci possono essere casi in cui si può fare affidamento sui propri interessi legittimi con gli abbonati e può essere stabilito un “soft opt-in“.

L’interesse legittimo può essere invocato se le attività di marketing da effettuare sono nell’interesse legittimo della propria azienda o di una terza parte, che potrebbe includere i fornitori di software, laddove vi siano ragionevoli motivi per cui l’individuo si aspetterebbe il trattamento e vi è probabilmente un impatto minimo sulla privacy. La Commissione europea ha confermato che il trattamento dei dati personali a fini di marketing diretto può essere considerato effettuato per un interesse legittimo, a condizione che siano stati soddisfatti tutti i criteri necessari.

Per fare affidamento sull’interesse legittimo come motivo per un trattamento legittimo, è necessario condurre e tenere un registro della propria valutazione di tale interesse legittimo. Il sito Web dell’Information Commissioner’s Office ha un esempio di modello di valutazione dell’interesse legittimo che è possibile utilizzare come guida.

Una volta stabilita e registrata la giustificazione dell’interesse legittimo come motivo di trattamento legittimo, è possibile rivedere l’elenco degli abbonati per determinare se uno qualsiasi degli indirizzi e-mail soddisfa i criteri di soft opt-in.

Il soft opt-in si applica solo ai clienti esistenti (non ai potenziali clienti). Per essere idoneo per l’inclusione nell’ambito del soft opt-in, l’indirizzo e-mail deve essere stato ottenuto nel corso di una vendita di un prodotto o servizio a quella specifica persona.

Non ci sono limiti di tempo legali per quanto riguarda il soft opt-in ma, a titolo indicativo, gli acquisti effettuati entro 6-24 mesi dalla data della revisione potrebbero essere considerati un lasso di tempo ragionevole. Va ricordato che ci deve essere una ragionevole aspettativa che l’abbonato acconsenta a ricevere le e-mail di marketing.

Ulteriori informazioni sull’interesse legittimo sono disponibili sul sito web dell’Information Commissioner’s Office: ICO: Legitimate Interests e Guidance on Legitimate Interests.

Domande frequenti

L’azienda del partner non si trova nell'UE. Il GDPR si applica lo stesso?

Potenzialmente. Il GDPR si applica nella misura in cui:

  • il partner è un’impresa con sede nell’UE
  • offre beni o servizi alle persone nell’UE o monitora il comportamento dei consumatori nell’UE
  • tratta le informazioni personali delle persone nell’UE.

Anche se il GDPR non si applica all’attività del partner, lo stesso ha comunque l’obbligo di rispettare le leggi locali sulla privacy e assicurarsi di ottenere i consensi necessari dai propri abbonati in relazione alle informazioni personali che raccoglie.

Il partner ha anche l’obbligo, ai sensi dei termini generali di servizio di OneAffiniti, di rispettare determinati requisiti sulla privacy dei dati (vedere Quali sono gli obblighi del partner sulla privacy dei dati quando partecipa al programma OneAffiniti?)

Ulteriori informazioni o risorse sugli obblighi locali in materia di privacy per i partner:

È possibile utilizzare liste di terze parti o acquistate?

A meno che il partner non possa fornire una garanzia al 100% che un elenco acquistato sia composto esclusivamente da persone che hanno fornito il consenso ai sensi del GDPR, non supportiamo i partner che utilizzano un elenco acquistato. I partner non devono mai utilizzare indirizzi e-mail copiati o ricavati da Internet o da newsgroup, da elenchi acquistati, prestati o affittati, né altri indirizzi e-mail ottenuti senza (a) esplicito opt-in e consenso da parte del destinatario dell’e-mail o (b) altra base giuridica per la raccolta, come ad esempio l’interesse legittimo.

SI configura una violazione dei termini e delle condizioni di OneAffiniti utilizzare elenchi di terze parti che non soddisfino la base giuridica del GDPR per i requisiti di raccolta o i requisiti di consenso delle leggi locali sulla privacy.

Il partner vuole partecipare al programma, ma è preoccupato per il GDPR

Il GDPR è un passo avanti positivo per la protezione dei dati e non ha lo scopo di impedire alle imprese di perseguire i propri interessi commerciali. OneAffiniti ha lavorato duramente per garantire di supportare i propri partner nella conformità al GDPR (vedere GDRP e OneAffiniti) e, in qualità di titolare e responsabile del trattamento dei dati del partner e dei suoi abbonati, ha l’obiettivo di aiutare il partner. Mentre facciamo del nostro meglio per garantire che il nostro servizio sia fornito in conformità con il GDPR, il partner deve essere responsabile e controllare il proprio elenco di abbonati. Ciò significa che in qualità di titolare del trattamento dei dati è necessario garantire che:

  • gli elenchi degli abbonati comprendano persone per le quali sussiste una base giuridica per la raccolta
  • si forniscano informazioni adeguate nell’informativa sulla privacy
  • si sappia cosa fare se si riceve una richiesta o un reclamo relativi alla privacy
  • si disponga di misure tecniche e organizzative appropriate.

Vedere obblighi del partner per ulteriori dettagli.

Qual è la differenza tra un titolare del trattamento e un responsabile del trattamento e quale si applica in questo caso?

Il responsabile del trattamento è la parte che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è la parte che elabora i dati personali per conto del responsabile del trattamento. I partner sono titolari del trattamento delle informazioni personali dei loro clienti (incluso l’elenco degli abbonati). Data la natura dei servizi di marketing digitale multi-vendor forniti direttamente da OneAffiniti, anche noi siamo considerati un titolare del trattamento ai sensi del GDPR.

Cosa si deve fare se si riceve un reclamo o una richiesta relativi alla privacy?

Laddove il reclamo o la richiesta riguardino dati personali per i quali OneAffiniti è responsabile del trattamento, è necessario informare immediatamente OneAffiniti inviando un’e-mail al nostro responsabile della privacy all’indirizzo privacy@oneaffiniti.com. Il partner deve considerare separatamente i propri eventuali altri obblighi relativi a tale reclamo o richiesta e prendere in considerazione la possibilità di richiedere una consulenza legale su quali misure dovrebbero essere adottate.

L’elenco di abbonati del partner viene condiviso con gli sponsor?

No. Il partner è proprietario del proprio elenco e noi non lo condivideremo con gli sponsor senza un’esplicita autorizzazione. Al fine di fornire i nostri servizi agli abbonati del partner, ci dovrà essere concessa una licenza per accedere e utilizzare il suo elenco.

Quali informazioni vengono condivise con gli sponsor?

Dati statistici, comportamentali e basati sulle performance in forma aggregata e de-identificata.  Esiste la possibilità che condividiamo i dettagli delle vendite e delle transazioni che il partner ci invia tramite ricevute o fatture al fine di convalidare l’efficacia delle campagne di marketing. In ogni caso chiederemo il consenso del partner prima di condividere con gli sponsor qualsiasi dato importante. Per ulteriori informazioni, si prega di consultare i nostri termini di servizio e l’informativa sulla privacy.

Quali informazioni vengono condivise con terze parti?

Esiste la possibilità che condividiamo le informazioni personali (incluso l’elenco degli abbonati) con terze parti, ma solo allo scopo di fornire o ottimizzare i servizi, come descritto più in dettaglio nella nostra Informativa sulla privacy sul sito Web.  Un elenco completo dei fornitori di servizi o dei responsabili del trattamento di terze parti di OneAffiniti è disponibile qui.

Disclaimer: Questa è una guida generale ad alcuni dei requisiti del GDPR. Questa guida non costituisce una consulenza legale o una dichiarazione delle misure da adottare per garantire la propria conformità e si accetta di non fare affidamento sulle informazioni fornite nel presente documento per la propria conformità. Per informazioni di consulenza complete, consultare il sito Web dell’Information Commissioner’s Office del Regno Unito – Guida al GDPR. In caso di ulteriori dubbi, raccomandiamo di chiedere il parere di un professionista legale o della privacy.

Si prega di tenere presente che, ai sensi del proprio contratto di servizio con OneAffiniti, il partner è interamente responsabile di fornire e certificare la liceità degli indirizzi e-mail dei propri clienti.