Acquisire i dati personali, come, ad esempio, nome, cognome, indirizzo email per consentire ai clienti di partecipare ad un evento, non significa poter usare anche quei dati per inviare in seguito offerte e promozioni su prodotti/servizi. Si tratta di due finalità di trattamento di dati diverse e non analoghe.

Una cosa è, infatti, raccogliere e trattare i dati personali per consentire ad un soggetto l’ingresso o la partecipazione ad un evento, altra finalità è invece quella di riutilizzare i dati per inviare loro promozioni e offerte su altri prodotti venduti.

Uno dei principi che il Regolamento n. 679/2016 [la normativa europea sul trattamento dei dati personali valida anche in Italia] ci impone di rispettare nel trattamento dei dati personali, è infatti quello della limitazione delle finalità. In altri termini significa che i dati personali degli individui devono essere raccolti per finalità determinate, esplicite e legittime, e, successivamente, trattati in modo che non sia incompatibile con tali finalità.

Per poter utilizzare i dati raccolti per più scopi senza il consenso dell’interessato [quindi nel caso di specie: adesione ad un evento e riutilizzo di quelli stessi dati così raccolti anche per inviare a quelle stesse persone offerte commerciali], il Titolare del trattamento (ossia il soggetto che vuole usare i dati per quello scopo e ne definisce le modalità) deve compiere una verifica di compatibilità tra le finalità di trattamento, tenendo conto, come chiarisce il legislatore europeo all’art. 6 del Regolamento n. 679:

a)  di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b)  del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c)  della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’ar­ticolo 9 [es. dati sanitari, biometrici, genetici, opinioni politiche, religiose, filosofiche, dati etnici, ..], oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d)  delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati (i soggetti cui i dati si riferiscono);

e)  dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

Se, allora, il mio intento, quello dichiarato all’utente, è quello di farlo registrare ad un evento da me organizzato, affinchè io possa utilizzare quegli stessi dati per inoltrargli anche comunicazioni di natura commerciale, offerte e promozioni sui prodotti che vendo o che vendono altri partner commerciali che ad esempio prendono parte all’evento, devo ottenere il suo consenso:

– espresso [deve essere un’azione positiva del cliente, come il flag di una casella o una email di conferma],

 – libero [ciò significa che non posso ad esempio obbligarlo a rilasciare il consenso all’invio di pubblicità per consentirgli di partecipare alla raccolta punti],

– tracciato [devo individuare un modo che mi consenta anche in futuro di provare che ha manifestato espressamente una volontà positiva in tal senso] e

– informato [devo chiaramente spiegargli cosa ne farò dei suoi dati personali].

Ricapitolando: prendo l’adesione del cliente per la partecipazione all’evento e lo faccio registrare compilando un form dedicato sul sito.

Per questa specifica finalità di trattamento dei dati personali, non ho bisogno del consenso dell’utente, devo informarlo chiaramente di come utilizzerò i suoi dati e per quale scopo, fornendo tutte le informazioni richieste dall’art. 13 del Regolamento n.679/2016, ma se poi intendo usare anche quei dati per inviargli offerte e promozioni, allora devo premurarmi di richiedere il consenso specifico all’utente finalizzato all’invio di offerte commerciali [prima che questi mi invii i dati], corredando la richiesta di consenso da apposito disclaimer informativo e flag di casella rigorosamente libera e non preselezionata, spiegando naturalmente in che modo tratterò i suoi dati per questo scopo e come potrà esercitare i suoi diritti.

Autore Avvocato Spedicato IP ICT Privacy

Avvocato Esperto in IP ICT e Privacy