Risposta
Prima di acquisire da un’altra organizzazione un elenco di contatti o un database contenente recapiti di persone, l’organizzazione deve essere in grado di dimostrare che i dati sono stati ottenuti nel rispetto del regolamento generale sulla protezione dei dati e che è possibile utilizzarli a fini pubblicitari. Ad esempio, se l’organizzazione li ha acquisiti in base al consenso, tale consenso doveva prevedere la possibilità di trasmettere i dati ad altri destinatari per il loro marketing diretto.
La tua azienda/organizzazione deve anche assicurarsi che l’elenco o il database sia aggiornato e che non si invii pubblicità a persone che si siano opposte al trattamento dei loro dati personali per finalità di marketing diretto. La tua azienda/organizzazione deve inoltre garantire che, se utilizza comunicazioni come la posta elettronica a fini di marketing diretto, rispetti le norme stabilite nella direttiva e-privacy (direttiva 2002/58/CE1).
Questi elenchi sono trattati in base agli interessi legittimi e le persone avranno il diritto di opporsi a tale trattamento. La tua azienda/organizzazione deve inoltre informare le persone, al più tardi al momento della prima comunicazione con loro, che ha raccolto i loro dati personali e che li tratterà per l’invio di pubblicità.
Esempio
Due amici, la signora A e il signor B, gestiscono rispettivamente una palestra e una libreria. Ognuno di essi raccoglie i dati dai rispettivi clienti. La libreria del signor B non sta andando molto bene: il suo database clienti ha pochi nominativi e poche persone entrano nel negozio. Il signor B dice alla signora A di avere una nuova biografia di un famoso atleta e chiede se i clienti della signora A sarebbero interessati a ricevere pubblicità sul libro. I termini dell’informativa sulla privacy della signora A. informavano i suoi clienti dell'eventualità che i dati forniti fossero condivisi con partner che offrivano prodotti nel settore salute e fitness. Se il consenso specifico è stato fornito allo scopo di trasmettere i dati ad altri destinatari per il loro marketing diretto, la signora A può inviare l’elenco dei suoi clienti al signor B. Non possono essere inviati dati relativi a una persona che si sia opposta al trattamento dei propri dati personali.
Riferimenti
- Articoli 4, paragrafo 10, 5, 6, 14, 21 del GDPR
- Linee guida sulla trasparenza del comitato europeo per la protezione dei dati ai sensi del regolamento 2016/679
- Direttiva e-privacy 2002/58/CE: norme relative alla commercializzazione diretta, in particolare l'articolo 13
Example
Two friends, Mrs. A and Mr. B, run, respectively, a gym and a book shop. Each collects data from their respective customers. Mr. B’s book shop isn’t doing well. His client database has few entries and not many people walk into his shop. He tells Mrs. A that he has a new biography of a famous athlete and asks whether Mrs. A’s clients would be interested in receiving advertising about the book. The terms of Mrs. A’s privacy notice informed her clients that she could share the data with partners offering products in the health and fitness area. As far as specific consent was given for the purpose of transmitting the data to other recipients for their own direct marketing, Mrs. A can send the client list to Mr. B. No data can be sent about an individual who objected to the processing of their personal data.
References
- Article 4(10) and Articles 5, 6, 14 and 21 of the GDPR
- EDPB guidelines on Transparency under Regulation 2016/679
- ePrivacy Directive 2002/58/EC rules on direct marketing, in particular Article 13
1 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.07.2002 p.37).