Proximity marketing: le tecnologie e le minacce per la tutela della privacy

La tecnologia ci segue, ci spia. Sembra il titolo di un libro di fantascienza, eppure è così: più subdola rispetto al passato, si camuffa, si nasconde e non ci perde mai di vista. Questa presenza ingombrante e fittiziamente discreta, però, presenta anche molteplici e innegabili vantaggi, uno per tutti in ambito commerciale. Lo sanno bene negozi, ristoranti, supermercati che hanno ormai abbandonato l’antico volantinaggio per passare a una nuova forma di pubblicità più mirata e vantaggiosa: il proximity marketing.

Con marketing di prossimità si intende una forma di marketing geolocalizzato, ossia che opera in un’area geografica delimitata e specifica attraverso dispositivi di tipo visuale o mobile al fine di promuovere la vendita di prodotti e servizi. Di conseguenza, il proximity marketing non può esistere se mancano le location technologies: strumenti tecnologici in grado di riconoscere dispositivi mobili entro un certo spazio e “dialogare” con loro, inviando informazioni specifiche, coupon, buoni sconto riferiti a un determinato bene o servizio. Ad oggi, le location technologies più utilizzate sono il QrCode, NFC, WiFi, Bluetooth, iBeacon^[1].

Proximity marketing, le tecnologie abilitanti

La tecnologia antesignana è il QrCode: l’interessato installa una app sul proprio smartphone, inquadra il codice con lo stesso e visualizza tutte le informazioni utili. NFC, invece, è una tecnologia di prossimità che comunica attraverso il wireless: quando uno smartphone si avvicina a un altro dispositivo NFC, si crea una rete peer-to-peer che consente lo scambio di informazioni tra i due dispositivi. Al contrario, la rete WiFi permette di raggiungere facilmente gli smartphone e, grazie al MAC address, riesce a individuare la posizione del consumatore. Attualmente, però, la tecnologia più utilizzata è quella Bluetooth, in particolare quella a bassa energia BLE o Bluetooth low energy che consente di inviare fino a 10 segnali di intermittenza al secondo in un raggio di azione che si stende fino a 75 metri.

Attraverso la tecnologia BLE sono stati creati i beacon: piccoli dispositivi che emettono segnali continui a una app previamente installata sul cellulare dell’interessato. Così, quando il cliente si trova a passare nelle vicinanze di un beacon, installato in un negozio o in un’altra attività commerciale, riceve sul suo smartphone, in tempo reale, indicazioni sui prodotti, sconti e coupon. Pensiamo, ad esempio, a un negozio di profumi che voglia incrementare le vendite: l’utente che ha previamente scaricato la app del negozio sul suo smartphone e che si trova in prossimità dello stesso, vedrà comparire tutte le informazioni relative ai prodotti, buoni sconti, offerte, prezzi e sarà invogliato all’acquisto.

La funzione del proximity marketing

In sostanza il proximity marketing, attraverso strumenti di profilazione^[2], fa leva sugli interessi del consumatore che si manifestano in un luogo e in un momento specifico, cercando di trasformare le sue intenzioni di acquisto da potenziali in effettive. Ma la sua funzione non è solo quella di concludere una vendita: se ben utilizzato e supportato da una specifica strategia di marketing, il marketing di prossimità potrà creare una relazione bidirezionale e duratura tra venditore e acquirente, puntando sulla fidelizzazione di quest’ultimo. In questo modo, il consumatore si sentirà coinvolto nel processo di acquisto, vedendo soddisfatte le proprie esigenze, e il venditore non solo potrà trovare nuova clientela, ma riuscirà a mantenere anche quella già esistente.

Tutto così chiaro, semplice e sicuro? Non proprio.

Le location technologies gestiscono i dati personali di potenziali acquirenti: non solo entrano in possesso delle informazioni anagrafiche dell’utente (nome, cognome, data di nascita), ma anche di altri dati che consentono di identificare una persona fisica (art. 4, n. 1, RGPD). I log di sessione^[3], inoltre, come gli Start/Stop Time, Location ID, indirizzo IP, Client MAC address, sono considerati dati personali. È chiaro, quindi, che l’utilizzo del marketing di vicinanza implica necessariamente il rispetto della normativa in materia di privacy.

Innanzitutto il titolare del trattamento dei dati personali dovrà acquisire il consenso^[4] dell’interessato per il trattamento dei suoi dati personali prima di svolgere ogni tipo di attività, altrimenti quest’ultimo non sarà lecito (art. 5, c. 1, lett. a) e art. 6, c. 1, lett. a) GDPR). Il consenso, quindi, è la base giuridica su cui poggia il trattamento dei dati per finalità di marketing e deve essere libero, specifico, informato e inequivocabile (art. 32 GDPR).

Proximity marketing e raccolta dei dati

Con riferimento all’ubicazione delle apparecchiature terminali, il Gruppo ex art. 29 (oggi Comitato Europeo per la protezione dei dati) ha evidenziato che “il tracciamento dell’ubicazione delle apparecchiature terminali per tenere traccia degli spostamenti fisici delle persone (ad esempio tracciamento “WiFi” o tracciamento “Bluetooth”) non potrebbe essere effettuato, tenendo conto delle circostanze e delle finalità della raccolta dei dati (posto che “gli indirizzi Mac sono dati personali e lo restano anche dopo l’adozione di misure di sicurezza quali l’hashing”), senza il consenso dell’interessato, ovvero previa anonimizzazione dei dati raccolti (parere 1/2017 del Gruppo ex art. 29 relativo alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche (2002/58/CE), adottato il 4 aprile 2017).

In base al principio di trasparenza, il titolare dovrà fornire all’utente tutte le informazioni relative al trattamento dei suoi dati (artt. 13 e 14 GDPR), le comunicazioni attinenti all’esercizio del diritto di accesso, rettifica e cancellazione, limitazione del trattamento, portabilità dei dati, diritto di opposizione ex artt. 15-22 GDPR ed quelle che riguardano la violazione dei suoi dati ex art. 34 GDPR.

Le informazioni saranno date “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro (art. 12, c.1. GDPR)”. In particolare, per quanto riguarda le informazioni riferita ai servizi on-line e alle app, dovranno essere specifiche e messe “a disposizione presso uno store online prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno” ^[5].

I dati saranno raccolti solo e soltanto per finalità determinate, esplicite e legittime (principio di limitazione della finalità e di minimizzazione dei dati), costantemente aggiornati (principio di esattezza) e utilizzati nel rispetto della libertà, dignità (principio di correttezza) e sicurezza (principio di integrità e riservatezza) dell’interessato.

E in merito al principio di limitazione della conservazione dei dati personali?

L’art. 5, lett. e) GDPR specifica che dovranno essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” senza, però, indicare un arco di tempo o un limite massimo. In particolare, per quanto riguarda la conservazione dei dati per finalità di marketing e profilazione, il Garante della privacy ha evidenziato che “i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione (‘Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – 24 febbraio 2005 [1103045])”.

Anche per poter archiviare o accedere a informazioni già archiviate nello smartphone del potenziale acquirente, è necessario che quest’ultimo sia stato informato, con modalità semplificate^[6], dal titolare del trattamento e che abbia preliminarmente espresso il proprio consenso (art. 122 Codice Privacy).

Altro articolo che assume rilievo in ambito di consenso informato è l’art. 130, c.1 e 2, Codice della Privacy: le comunicazioni promozionali effettuate attraverso posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo, come quelli inviati attraverso le locations technologies^[7], possono essere effettuate solo previo consenso del contraente o utente.

La valutazione dei rischi

Occorre sottolineare che proprio l’utilizzo di nuove tecnologie e strumenti di profilazione potrebbe rendere il proximity marketing particolarmente invasivo se non, addirittura, lesivo dei diritti e libertà dell’interessato. Pertanto, prima di procedere al trattamento, il titolare dovrà valutare i rischi e adottare tutte le misure idonee ad evitare effetti dannosi: dovrà, quindi, effettuare una preliminare valutazione di impatto sulla protezione dei dati del potenziale acquirente. L’art. 35, c.3, lett. a), GDPR sottolinea la necessità della valutazione di impatto nel caso di “a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”. Quanto indicato è ribadito e specificato dal Garante che ha allegato al Provvedimento dell’11 ottobre 2018 un elenco di tipologie di trattamenti di dati da sottoporre alla valutazione di impatto, tra i quali rientra il proximity marketing”^[8].

Conclusioni

Il marketing di prossimità e le nuove tecnologie sono un valido aiuto per lo sviluppo della società, rendendola più interattiva e reattiva agli stimoli e incrementando il fatturato delle attività commerciali tramite la connessione e fidelizzazione della clientela. Ma se è vero che l’accesso e il trattamento dei dati del consumatore è necessario per capire quali siano i suoi gusti e interessi e creare prodotti in grado di soddisfarli, è anche vero che ciò dovrà avvenire in modo sicuro, rispettoso della sua persona e dei suoi diritti. Indipendentemente dallo strumento con cui vengano recepiti i dati, l’interessato dovrà disporre di tutte le informazioni che riguardano il loro trattamento e prestare un consenso libero, specifico, informato e inequivocabile. Solo in questo modo il proximity marketing riuscirà nel suo intento: creare una relazione duratura, solida e proficua tra venditore e acquirente.

1. A tale proposito si veda Gruppo ex art. 29, Parere 13/2011, sui servizi di geolocalizzazione su dispositivi mobili intelligenti, adottato il 16 maggio 2011. ↑
2. 1. Con il termine profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica (art. 4, n. 4, RGPD)”.

   ↑

3. Le procedure di loggin permettono ad un sistema operativo o ad un’applicazione di registrare e memorizzare dati per un eventuale successivo utilizzo. In particolare, il MAC address “è da considerarsi “dato personale” ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati (art. 4, comma 1, lett. b) del Codice).  Infatti, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) associata in modo univoco dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l´indirizzo fisico identificativo di quel particolare dispositivo di rete da cui è possibile desumere l’identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all’acquirente o utilizzatore dell’apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all’utente che su di essa sta operando (Provvedimento n. 303 del 13 luglio 2016 del Garante per la protezione dei dati personali)”. ↑
4. Come è noto, con l’espressione “consenso informato” si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4, n. 11, GDPR)”. ↑
5. Gruppo ex art. 29, “Linee guida sulla trasparenza ai sensi del regolamento 2016/679” (doc. WP260 rev.01) adottate il 29 novembre 2017, versione emendata adottata l’11 aprile 2018. ↑
6. Per quanto riguarda le modalità semplificate, il garante ha trattato nello specifico la tematica con riferimento ai cookie. Un modo efficace per semplificare l’informativa è impostare la stessa su due livelli di approfondimento successivi. “Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l´utente può accedere al sito), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente (Provvedimento del Garante, 8 maggio 2010)”. ↑
7. Si veda R. Rapicavoli, Marketing e trattamento dati, Regole e sanzioni dopo GDPR e nuovo Codice privacy, Santarcangelo di Romagna, Maggioli Editore, 2019, p. 86-88. ↑
8. “7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01”. ↑