GDPR e partner
Cosa devono sapere i partner in materia di conformità al GDPR nella nostra soluzione per il Channel Marketing.
Quali sono i miei obblighi in materia di privacy quando partecipo al programma Extu?
Quando i partner utilizzano i servizi di Extu per inviare materiale di marketing ai propri iscritti, hanno quattro obblighi fondamentali da rispettare:
- Stabilire la base giuridica per il trattamento dei dati personali di chi si iscrive alle liste.
Questo significa:- avere ottenuto il consenso esplicito, da parte dei singoli destinatari della lista degli iscritti, a ricevere materiale di marketing attraverso un’azione affermativa chiara, libera e informata
- basarsi sugli interessi legittimi come base giuridica per l’utilizzo degli indirizzi e-mail della lista degli iscritti per l’invio di materiale di marketing dopo aver effettuato una valutazione documentata degli interessi legittimi (ovvero esiste una ragionevole aspettativa da parte del destinatario di ricevere materiale di marketing dovuta a un rapporto commerciale esistente e l’impatto sulla privacy è stato valutato come basso). Per ulteriori informazioni, fare riferimento alla pagina Come posso garantire che la lista degli iscritti rispetti il GDPR?
- Fornire, tramite le Informative sulla privacy, informazioni complete sul trattamento dei dati personali.
Come responsabili del trattamento della lista degli iscritti, la vostra informativa sulla privacy deve rispettare i requisiti di correttezza e trasparenza previsti dal GDPR, e indicare:- la base giuridica su cui si fonda la raccolta e l’elaborazione delle informazioni personali, compreso il trattamento degli indirizzi e-mail per scopi di marketing diretto. Nella maggior parte dei casi, la base giuridica fondante è il consenso o un interesse legittimo. Potete anche basarvi su altri motivi, come l’adempimento di un contratto o il rispetto di un requisito normativo, nel caso in cui trattiate le informazioni personali nell’ambito dell’attività commerciale (come, ad esempio, le informazioni di contatto per fornire prodotti o servizi a un particolare cliente).
- Quali informazioni personali condividete con Extu (questo dovrebbe includere una comunicazione che gli indirizzi e-mail dei clienti e le copie delle fatture/ricevute verranno condivise per gestire e valutare le campagne).
- Con chi condividete le informazioni personali e un elenco dei soggetti terzi che si occupano del trattamento, tra cui Extu.
- Adottare opportune misure tecniche e organizzative. I sistemi devono essere sicuri, con efficaci protezioni IT e di sicurezza informatica, e devono essere implementati adeguati controlli interni, politiche e linee guida per quanto riguarda la raccolta, l’uso, la condivisione e il trattamento dei dati personali.
- Essere partner di Extu in materia di privacy. Per garantire il rispetto degli standard in materia di privacy dobbiamo collaborare e impegnarci al massimo per proteggere le informazioni personali che raccogliamo ed elaboriamo nel corso dell’invio di materiale di marketing. Siamo tenuti a cooperare per rispondere a domande, reclami o richieste in materia di privacy, per risolvere potenziali violazioni dei dati e per condurre indagini o valutazioni in materia di privacy. Siamo a vostra disposizione per aiutarvi e dovete fornirci comunicazione immediata:
- in caso di violazione dei dati, potenziale o reale
- se ricevete una richiesta di accesso ai dati da parte di un soggetto interessato
- se ricevete reclami o richieste di risarcimento da parte di un utente iscritto o da un’autorità di regolamentazione in materia di privacy o di informazioni personali
- se avete domande o dubbi sulla privacy in generale.
Come posso garantire che la lista degli iscritti rispetti il GDPR?
I Partner devono controllare la propria lista degli iscritti e verificare il rispetto di quanto previsto dal GDPR al momento dell’adesione al programma e, in seguito, a intervalli regolari. Anche se non siete soggetti al GDPR, i termini e le condizioni di Extu richiedono che abbiate una base giuridica legittima per elaborare le liste degli iscritti e consentire a Extu di fornire servizi di marketing.
Controllare la vostra lista clienti significa valutare gli indirizzi e-mail e le altre informazioni raccolte per determinare se esiste una base giuridica per il trattamento. Se non disponete di una base giuridica legittima per la sua raccolta, l’indirizzo e-mail non deve essere aggiunto alla vostra lista degli iscritti.
Esistono sei basi legali per l’elaborazione dei dati ai sensi del GDPR; tuttavia, quelle che è più comune utilizzare per la raccolta e l’utilizzo degli indirizzi e-mail a fini di marketing diretto sono:
- consenso; oppure
- interesse legittimo.
È vostra responsabilità analizzare le attività di trattamento dei dati e scegliere la corretta base giuridica. Se non siete sicuri di quali siano le basi giuridiche previste nel GDPR, potete rivolgervi ai vostri consulenti legali per assicurarvi che le attività di trattamento siano adeguatamente giustificate. Il GDPR sancisce il principio di “responsabilità”, il che significa che dovete essere in grado di dimostrarne il rispetto; la conservazione corretta di report e documenti è fondamentale per provare la vostra conformità.
L’Information Commissioner’s Office fornisce ulteriori informazioni sulla base giuridica, e uno strumento interattivo di aiuto alla scelta della base giuridica per aiutarvi a determinare quale utilizzare.
Consenso
Il consenso significa che l’individuo interessato ha prestato liberamente un consenso chiaro ed esplicito al trattamento dei suoi dati personali per uno scopo specifico.
Quando analizzate la vostra lista degli iscritti, dovete valutare se è stato prestato un consenso esplicito o meno e se è ancora valido. Un consenso, per essere considerato valido ai sensi del GDPR:
- deve essere prestato liberamente; questo significa fornire agli individui una scelta autentica continua e il controllo su come utilizzate i loro dati
- deve essere chiaro e richiedere un’azione per completare l’adesione. Le richieste di consenso devono essere chiare, non correlate ad altri termini e condizioni, brevi, facili da comprendere, facili da usare e basarsi sul meccanismo di scelta o su un “opt-in” anziché su una casella preselezionata o su un “opt-out”.
- deve includere il nome del responsabile del trattamento, le finalità del trattamento e i tipi di attività di trattamento.
Conservate tutta la documentazione che prova il consenso: chi ha fornito il consenso, quando, come e cosa gli è stato comunicato.
Esempi di consenso esplicito sono:
- iscrizioni tramite un modulo web o online, a condizione che la casella per l’iscrizione non sia già selezionata per impostazione predefinita.
- Compilazione di un modulo offline che indica chiaramente che il soggetto può essere aggiunto alla lista degli iscritti alle e-mail di marketing e che ha chiaramente indicato la sua volontà di ricevere tali e-mail.
- Fornitura del vostro biglietto da visita, a condizione che 1) sia stato esplicitamente indicato che, accettando il biglietto da visita, il soggetto accetta anche di essere aggiunto alla lista degli iscritti alle e-mail di marketing; oppure 2) il soggetto abbia aggiunto il proprio biglietto da visita a un contenitore, o a una pila di altri biglietti da visita, che indica chiaramente che l’operazione esprime la volontà di venire aggiunto alla lista degli iscritti alle e-mail di marketing. In entrambi i casi, dovete comunicare in modo chiaro la base del vostro trattamento fornendo la vostra informativa sulla privacy.
- Fornitura di un qualsiasi altro documento scritto che autorizzi espressamente l’inserimento nella vostra lista degli iscritti alle e-mail di marketing prima che inizino le vostre comunicazioni tramite e-mail.
Ulteriori informazioni in materia di consenso sono disponibili presso il sito web dell’Information Commissioner’s Office: ICO: Consenso e Guida sul consenso
Interesse legittimo
TIn alcuni casi è possibile basarsi sugli interessi legittimi nei confronti degli iscritti e adottare un meccanismo di scelta “soft opt-in”.
L’interesse legittimo può essere invocato se il marketing viene effettuato nell’interesse legittimo della vostra azienda o di una terza parte, inclusi i fornitori di software, se esistono dei ragionevoli motivi per cui l’individuo si aspetta il trattamento o nel caso in cui l’impatto sulla privacy sia minimo. La Commissione UE ha confermato che il trattamento dei dati personali per finalità di marketing diretto può essere considerato come effettuato per un interesse legittimo, a condizione che siano soddisfatti tutti i criteri necessari.
Per invocare l’interesse legittimo come motivazione per un trattamento legittimo, dovrete eseguire e conservare una registrazione della valutazione dell’interesse legittimo. Il sito web dell’Information Commissioner’s Office contiene un modello di valutazione dell’interesse legittimo che potete utilizzare come guida.
Una volta stabilita e registrata la giustificazione dell’interesse legittimo come motivazione per il trattamento legittimo dei dati, è possibile esaminare la lista degli iscritti per determinare se alcuni degli indirizzi e-mail soddisfano i criteri di soft opt-in.
Il soft opt-in può essere applicato solo ai clienti esistenti e non a quelli potenziali. Per poter essere incluso nel soft opt-in, l’indirizzo e-mail deve essere stato ottenuto nel corso di una vendita di un prodotto o servizio.
Per quanto riguarda il soft opt-in, la legge non prevede limiti temporali, tuttavia, a titolo indicativo, un periodo temporale ragionevole può essere considerato l’acquisto di un prodotto o di un servizio effettuato entro sei o ventiquattro mesi dalla data di revisione delle liste. Deve comunque sussistere la ragionevole aspettativa che l’iscritto acconsenta a ricevere le e-mail di marketing.
Sul sito web dell’Information Commissioner’s Office sono disponibili ulteriori informazioni sull’interesse legittimo: ICO: interesse legittimo e Guida all’interesse legittimo.
Domande frequenti (FAQ)
Potenzialmente sì. Il GDPR si applica se:
- l’azienda ha sede nell’UE
- l’azienda offre beni e servizi a persone che risiedono nell’UE o monitora i comportamenti di persone che risiedono nell’UE
- l’azienda elabora i dati personali di persone che risiedono nell’UE.
Anche se il GDPR non si applica alla vostra azienda, avete comunque l’obbligo di rispettare le leggi locali sulla privacy e di assicurarvi di ottenere i consensi necessari dai vostri iscritti in funzione delle informazioni personali che raccogliete.
Ai sensi dei Termini generali di servizio di Extu, avete anche l’obbligo di rispettare alcuni requisiti sulla privacy dei dati (potete fare riferimento alla sezione Quali sono i miei obblighi in materia di privacy dei dati quando partecipo al programma Extu?)
Alcune informazioni e risorse locali aggiuntive in materia di privacy sono riportate di seguito.
- Risorse in materia di privacy per l’Australia: ACMA , OAIC e Guida OAIC al GDPR
- Risorse in materia di privacy per gli Stati Uniti: CAN-SPAM e CCPA
- Risorse in materia di privacy per il Canada: CASL e PIPEDA
A meno che non abbiate la garanzia al 100% che le liste acquistate siano composte esclusivamente da persone che hanno prestato il loro consenso ai sensi del GDPR, non supportiamo i partner che utilizzano liste acquistate. I partner non devono mai utilizzare indirizzi e-mail copiati o ricavati da Internet o da newsgroup, presenti su liste acquistate, prese in prestito o affittate, o altri indirizzi e-mail ottenuti senza (a) l’esplicito consenso del destinatario dell’e-mail o (b) un’altra base giuridica per la raccolta, come l’interesse legittimo.
L’utilizzo di elenchi di terze parti che non soddisfano i requisiti legali per la raccolta previsti dal GDPR o i requisiti di consenso previsti dalle leggi locali sulla privacy, costituisce una violazione dei termini e delle condizioni di Extu.
Il GDPR è un passo nella giusta direzione per quanto riguarda la protezione dei dati e non impedisce alle aziende di perseguire i propri interessi commerciali. Extu si impegna assiduamente per garantire il supporto ai nostri partner nel rispettare quanto previsto dal GDPR (vedi GDRP e Extu) e, in qualità di titolare e responsabile del trattamento dei vostri dati e di quelli dei vostri iscritti, siamo sempre pronti ad aiutarvi. Anche se facciamo del nostro meglio per garantire che il nostro servizio sia fornito in conformità al GDPR, siete voi a detenere e controllare la vostra lista degli iscritti. Questo significa che, in qualità di titolari del trattamento dei dati, dovete verificare che:
- le vostre liste degli iscritti includono solo individui per i quali esiste una base giuridica per la raccolta delle informazioni
- la vostra informativa sulla privacy deve contenere tutte le informazioni necessarie
- sapete cosa fare qualora riceviate un reclamo o una richiesta in materia di privacy
- avete implementato misure tecniche e organizzative appropriate.
Potete fare riferimento agli obblighi dei partner per ulteriori dettagli.
Il titolare del trattamento è colui che determina le finalità, le condizioni e i mezzi del trattamento dei dati personali, mentre il responsabile del trattamento è colui che elabora i dati personali per conto del titolare del trattamento. I Partner sono titolari del trattamento dei dati personali dei loro clienti (compresa la lista degli iscritti). Data la natura dei servizi di marketing digitale multi-vendor forniti direttamente da Extu, anche Extu è considerata titolare del trattamento ai sensi del GDPR
Nel caso in cui il reclamo o la richiesta riguardi dati personali di cui Extu è titolare del trattamento, dovrete informare immediatamente Extu inviando un’e-mail al nostro responsabile della privacy all’indirizzo privacy@extu.com. Dovrete considerare separatamente gli altri obblighi che vi competono in relazione a tale reclamo o richiesta e considerare la possibilità di richiedere una consulenza legale sulle misure da adottare.
No. Le vostre liste sono di vostra proprietà esclusiva e non le condivideremo con gli sponsor senza il vostro esplicito consenso. Al fine di fornire i nostri servizi ai vostri iscritti, ci verrà concessa una licenza di accesso e di utilizzo della vostra lista.
Dati statistici, comportamentali e di performance in forma aggregata e de-identificata. Possiamo anche condividere i dati relativi alle vendite e alle transazioni che ci vengono comunicati tramite ricevute/fatture, al fine di verificare l’efficacia delle campagne di marketing. Prima di condividere i dati relativi ai lead con gli sponsor, chiederemo il vostro consenso. Potete fare riferimento ai nostri termini di servizio e alla nostra informativa sulla privacy per ulteriori informazioni.
Possiamo condividere le informazioni personali (compresa la lista degli iscritti) con terzi, ma solo allo scopo di fornire o ottimizzare i servizi, come indicato in dettaglio nella nostra Informativa sulla privacy. Qui è disponibile l’elenco completo dei terzi fornitori di servizi o responsabili del trattamento che collaborano con Extu.
Esonero di responsabilità: questa è solo una guida generale ad alcuni dei requisiti imposti dal GDPR e non costituisce una consulenza legale o un documento esaustivo su tutte le misure da adottare per garantire la conformità al GDPR. Concordate di non fare affidamento sulle informazioni fornite nel presente documento per rispettare la conformità. Per informazioni più complete, è possibile consultare il sito web dell’Information Commissioner’s Office del Regno Unito – Guida al GDPR. In caso di ulteriori dubbi, vi invitiamo a rivolgervi a un professionista del settore legale o della privacy.
Facciamo notare che, in base al contratto di servizio stipulato con Extu, siete interamente responsabili della fornitura e della certificazione della legittimità degli indirizzi e-mail dei vostri clienti.