Lead Generation e Social Network: profili di Privacy

Possiamo legittimamente fare lead generation con i contatti dei nostri Social Network? Questa pratica è conforme ai principi del GDPR?

Continuano gli approfondimenti sui social network; oggi ultimiamo il capitolo sulla lead generation tramite social network esaminando criticità e profili attinenti alla privacy.

Lo scopo del contributo è capire se è possibile fare lead generation tramite i social network nel rispetto dei principi del GDPR; la tematica è comune a tutti e tre i Social di riferimento (Facebook, Instagram e LinkedIn) e, per questo motivo, sarà affrontata in un’unica trattazione.

Come abbiamo visto, fare lead generation significa acquisire un contatto (tramite, ad esempio, l’indirizzo e-mail), al fine di condividere un contenuto/servizio che possa interessare al contatto medesimo (il quale sarà indotto ad acquistare un determinato bene/servizio).
Come ben sappiamo, l’indirizzo e-mail è un dato personale il cui trattamento deve essere autorizzato.
Infatti, dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4 comma 1 del GDPR).

Come impostare, quindi, l’informativa al fine di acquisire legittimamente questi dati?

Con gli strumenti di Ads (sia per Facebook che per LinkedIn), sarà sufficiente inserire nel form di raccolta del dato (che troviamo all’interno dell’inserzione pubblicitaria) il link alla privacy policy e la casella per il consenso alla privacy; nella policy, oltre ad indicare la finalità dell’iscrizione alla newsletter, sarebbe opportuno specificare ulteriori finalità ed indicare le effettive modalità di trattamento del dato, come la frequenza e tipo di contenuto (per la newsletter).
Ma non solo: ispirandoci al noto principio della privacy by design, sarebbe consigliabile inviare agli utenti un link per la verifica della loro identità e, in presenza di espresso consenso al marketing diretto, sarebbe opportuno avvisare gli interessati dell’avvenuto inserimento del loro contatto negli elenchi delle successive campagne di marketing: questo aspetto è una chiara e concreta prova della liceità del trattamento.

Del tutto diverso, invece, il caso della raccolta di un dato tramite conversazione tra l’interessato e l’azienda/professionista offerente il servizio. Qui manca del tutto l’autorizzazione al trattamento del dato personale; prima di raccogliere il dato, quindi, l’azienda o il professionista dovrebbe inviare all’interessato l’informativa privacy, contenente la specifica finalità per la quale ha provveduto a contattare l’interessato medesimo (es. iscrizione del contatto negli elenchi per l’invio di campagne di marketing) e, di conseguenza, raccogliere il consenso e solo successivamente trattare il dato personale fornito.
Questa pratica, comunque, è del tutto contraria alle condizioni d’uso di Facebook e LinkedIn ma astrattamente praticabile su Instagram.

E gli swipe up di Instagram?
Come più volte accennato, Instagram non dispone di strumenti di Ads e, quindi, è lecito praticare la lead generation con strategie di marketing diretto (naturalmente, nel rispetto dei principi del GDPR).
Nelle storie di Instagram è possibile inserire il collegamento (cd. swipe up) all’home page del blog/e-commerce dell’azienda o professionista; nel blog, poi, sarà possibile procedere alla raccolta tradizionale del consenso e successivamente inviare newsletter o altri contenuti.

Ovviamente, oItre ad esprimere liberamente il proprio consenso, all’interessato deve sempre essere garantito il diritto di revoca del consenso medesimo, in qualsiasi momento.

Nonostante l’espresso richiamo alle perone fisiche (che troviamo anche nell’art. 1, nell’individuazione dell’oggetto e delle finalità del Regolamento, e nel considerando 14), il GDPR non esclude a priori tutte le persone giuridiche; ci sono, infatti, delle zone grigie che, a mio avviso, necessitano ugualmente delle tutele del GDPR.
Mi riferisco ai seguenti casi:

  • Quando il nome di una persona fisica (come il titolare di un’azienda) è compreso nel nome della persona giuridica;
  • Quando dei dati raccolti da un modulo di contatto riguardano sia persone fisiche che persone giuridiche (come nel caso delle mail aziendali);
  • Nei casi di trattamenti automatizzati di dati personali, dove risulta difficile distinguere tra dati relativi a persone fisiche e quelli relativi a persone giuridiche.

Il considerando n. 14 del GDPR esclude l’applicazione del Regolamento alle persone giuridiche “Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto“.
Il Gruppo di Lavoro Art. 29, tuttavia, invita ad utilizzare i criteri di “contenuto”, “scopo” e “risultato” per stabilire se le informazioni personali si riferiscono o meno alla persona giuridica. Nel caso del form di contatto, infatti, è palese che lo “scopo” del campo “nome” è quello di raccogliere i dati della persona fisica (anche se professionista o dipendente di azienda); analogo discorso vale per ulteriori campi di compilazione. Questi dati, quindi, anche alla luce delle interpretazioni del WP Art. 29, dovranno essere tutelati in conformità al GDPR.

Concludendo, la lead generation in sé non è lesiva della protezione dei dati personali ma lo può essere se praticata in contrasto ai principi del GDPR.

Ecco una breve guida che ho preparato sull’argomento: