Indire un concorso a premio è una strategia a cui molte aziende ricorrono con successo al fine di aumentare l’awareness del proprio brand ed incrementare il database di contatti da utilizzare in successive azioni di marketing.
Mettere in palio un oggetto desiderabile o un viaggio in una meta esotica permette infatti alle imprese di raccogliere informazioni relative ad una platea di nuovi utenti che potrebbero diventare futuri clienti.
Quando si pianifica un concorso a premio è però necessario avere chiari i limiti e le implicazioni di questa attività così da evitare di commettere errori che potrebbero esporre l’azienda a sanzioni o rendere i dati raccolti non utilizzabili per le finalità di marketing desiderate.
Concorso a premio: finalità del trattamento e consenso dell’interessato
Quando nel contesto di un concorso a premio, i soggetti che intendono parteciparvi sono chiamati a compilare un apposito modulo e a rilasciare dati personali, l’azienda che organizza la manifestazione non può trascurare di analizzare questioni in materia di data protection, secondo il recente Regolamento 679/2016 (GDPR).
Le F.A.Q. messe a disposizione dal Ministero dello Sviluppo Economico richiamano le linee guida fornite dal Garante per la protezione dei dati personali in cui vengono chiarite le modalità per lo svolgimento dell’attività di profilazione degli utenti.
Se l’azienda intende lanciare un concorso a premio e poi utilizzare i dati personali raccolti anche al fine di profilare gli utenti (suddivisone degli stessi in cluster sulla base di specifici parametri) è indispensabile ottenere un espresso consenso per la partecipazione al concorso e un altro specifico consenso per quanto riguarda il trattamento dei dati ai fini di profilazione, secondo quanto affermato dal Ministero competente.
Questa indicazione ministeriale, a giudizio di chi scrive, è discutibile quando richiede il consenso “espresso” dell’interessato per la mera partecipazione al concorso. Ma sino a che non prevarrà una interpretazione meno burocratica questo è lo stato dell’arte.
In ogni caso, possiamo in generale affermare che il consenso è necessario a più livelli: se il trattamento dei dati per finalità relative alla partecipazione del soggetto al concorso risulta essere un trattamento ulteriore rispetto ad un trattamento principale (es. erogazione di un servizio acquistato dal cliente) in tal caso è necessario che uno specifico consenso sia richiesto per la partecipazione al concorso così come altri espliciti consensi devono essere richiesti qualora l’azienda voglia contattare il soggetto interessato per qualsiasi altra e successiva attività di marketing (come l’iscrizione alla newsletter aziendale).
Affinché il trattamento dei dati sia legittimo, il GDPR stabilisce che la raccolta dei dati possa avvenire solo per finalità determinate che devono essere stabilite prima dell’inizio del trattamento e comunicate all’interessato mediante apposita documentazione (l’informativa), così da permettere il rilascio di un consenso espresso, specifico ed informato.
La preventiva definizione delle finalità per cui procedere alla raccolta e al trattamento dei dati è un’analisi di estrema importanza che permette all’azienda di comprendere quali sono i dati necessari per il trattamento in questione e quindi operare anche in conformità al principio di minimizzazione dei dati.
Organizzazione del concorso online e GDPR compliance
Quando un’impresa decide di raccogliere dati online – mediante la predisposizione di form – di fondamentale importanza è la scelta relativa all’infrastruttura più idonea per la loro conservazione.
La normativa italiana in materia di manifestazioni a premio prevede che i dati raccolti vengano conservati in server localizzati su suolo italiano o su territorio straniero ma trasmessi in tempo reale a server posizionati in Italia attraverso un sistema di mirroring. L’obiettivo di tale disposizione è quella di adottare tutte le misure di sicurezza idonee a minimizzare il rischio di data breach e di garantire trasparenza nella designazione del vincitore del concorso.
L’azienda è quindi chiamata ad effettuare una scelta ponderata riguardo al Cloud Provider a cui affidare la conservazione e gestione dei dati raccolti online, anche attraverso l’analisi della valutazione di impatto redatta dal fornitore esterno.
L’azienda deve inoltre implementare adeguate procedure interne che garantiscano all’utente il diritto di chiedere la modifica, la rettificazione, la cancellazione dei dati ed eventualmente la loro portabilità.
