Riassunto esame Diritto per il marketing, prof. Montagnani

Raccolta e gestione delle informazioni utili all'impresa

Per soddisfare i bisogni e i desideri presenti e futuri dei propri clienti attuali e potenziali e definire la propria condotta concorrenziale, un'impresa dovrebbe conoscere l'ambiente commerciale in cui opera. Di qui l'importanza del Marketing Information System, per raccogliere, collezionare ed elaborare le informazioni riguardo abitudini e preferenze dei soggetti con cui l'impresa interagisce. Esistono molti modi con cui l'impresa può procurarsi informazioni: documenti interni all'impresa, ricerche di mercato, profilazione della clientela, acquisizione diretta di informazioni presso i consumatori, carte fedeltà, manifestazioni a premio, fonti esterne tramite attività di marketing intelligence (pubblicazioni di settore, inchieste presso clienti, fornitori, distributori, scambio di dati con i concorrenti).

Tuttavia si tratta sempre di informazioni personali dei consumatori e quindi da trattare con cautela per non invadere la sfera privata. I dati vengono raccolti, organizzati in banche dati (ad esempio in customer database), rielaborati, arricchiti e messi a disposizione della funzione marketing. Cruciale è poter rivendicare una proprietà esclusiva su tali dati da parte dell'impresa: il valore delle banche dati proviene dalla privativa che su di esse può vantare l'impresa e di qui il fenomeno del licencing che consiste nel trasferimento di dati tra soggetti diversi ai sensi della disciplina della privacy (senza violare la privacy degli interessati).

L'attività di raccolta delle informazioni

Nel rispetto dei diritti dei singoli consumatori, delle persone fisiche e giuridiche, tra cui il diritto alla privacy e il diritto ad un equo trattamento dei propri dati. Quanto più le informazioni personali sono accessibili alle imprese, tanto più i dati possono essere messi in pericolo da strumenti e procedure aziendali non adatte o non idonee. Di qui un possibile cattivo rapporto con la clientela e rischi legali. Con il rispetto della riservatezza della clientela, l'impresa dimostra una particolare attenzione nelle scelte che opera, consolida il rapporto fiduciario e la domanda del mercato e rinforza l'immagine dell'azienda. Questi obiettivi valgono nel rapporto con i consumatori, ma anche con altri soggetti come fornitori, partner commerciali, dipendenti e consulenti.

Nella realtà attuale, le norme a tutela della privacy vengono avvertite come un forte limite all'attività imprenditoriale e di marketing poiché impongono regole alla raccolta, alla conservazione e all'utilizzo dei dati in questione; invece una buona politica di tutela dei dati personali (data protection) può rappresentare, se sapientemente usata e comunicata, uno strumento per conseguire un vantaggio competitivo (fiducia dei clienti, quota di mercato).

Normativa sulla protezione dei dati

Le norme nazionali in tema di protezione dei dati sono di derivazione comunitaria ai fini di armonizzare la disciplina nel mercato comunitario (Regolamento generale sulla protezione dei dati): 95/46/CE sul trattamento dei dati personali e sulla libera circolazione degli stessi, 97/66/CE sulla tutela dei dati personali e della vita privata nel settore delle telecomunicazioni, 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche. Tali disposizioni sono state recepite in numerose norme nazionali che con l'adozione del D.Lgs. 196/2003 sono state consolidate in un testo unico, il Codice in materia di protezione dei dati personali, cioè il Codice della privacy (3 parti principali: disposizioni generali, disposizioni relative a specifici settori e ambiti (trattamenti speciali), azioni a tutela dell'interessato e sanzioni; e 3 allegati: codici di deontologia, misure minime di sicurezza, trattamenti non occasionali in ambito giudiziario), cui si aggiungono i Codici di autoregolamentazione.

Definizioni chiave

Definizione di dati personali (art. 4 lett. b C.P.): qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Secondo il Regolamento: i dati personali sono qualsiasi informazione, con particolare riferimento a un numero di identificazione, dati relativi all’ubicazione, identificativo online, uno o più elementi caratteristici dell'identità genetica (dati genetici), fisica, fisiologica, psichica, economica, culturale o sociale (dati biometrici). All'interno di questa macro-categoria ci sono i dati sensibili: dati personali che siano idonei a rivelare l'origine raziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Ai sensi dell'art. 1 C.P. chiunque (cioè gli interessati) ha diritto alla protezione dei dati personali che lo riguardano in conformità delle disposizioni del presente codice.

Definizione di trattamento (art. 4 comma 1 lett. a) C.P.): qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.

Definizione di titolare del trattamento (art. 4 lett. f C.P.): la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, cioè colui che definisce le finalità, raccoglie i dati, li tratta e ne beneficia ed è il destinatario di tutte le disposizioni.

Definizione del responsabile del trattamento: nominato dal titolare per iscritto e con l'indicazione specifica delle attività che dovrà svolgere, in ragione della propria esperienza, capacità e affidabilità (il titolare demanda il trattamento dei dati a terzi).

Definizione di incaricato: colui che materialmente opera con i dati.

I principi fondamentali nella gestione dei dati

I principi: il principio di buona fede per cui i dati devono essere raccolti in modo equo e nel pieno rispetto delle leggi applicabili; il principio di finalizzazione per cui i dati possono essere trattati solo per fini legittimi, determinati e già conosciuti dall'interessato; il principio di pertinenza per cui i dati possono essere trattati esclusivamente per lo scopo dichiarato nell'informativa; il principio di correttezza per cui i dati devono essere esatti, aggiornati e completi; il principio di conservazione/durata per cui i dati devono essere conservati solo per il tempo necessario a raggiungere lo scopo per cui sono stati raccolti.

Adempimenti dei titolari

Gli adempimenti dei titolari: predisporre e rendere all'interessato un documento o una dichiarazione orale, denominata informativa, che permette all'interessato di conoscere in modo trasparente e di valutare con consapevolezza il tipo di dati richiesti, le finalità, i soggetti che ne verranno a conoscenza, gli strumenti che verranno utilizzati e i rimedi per ottenere la cancellazione o l'aggiornamento dei dati, nonché le conseguenze relative ad un eventuale rifiuto al rilascio dei dati richiesti. Il consenso deve essere espresso dall'interessato in maniera informata, libera (e revocabile), cioè senza costrizioni e condizionamenti, espressa, cioè in forma scritta/documentata e specifica per il tipo di trattamento.

In molte occasioni accade che ottenere il consenso degli interessati comporti per il titolare oneri eccessivamente gravosi: in alcuni di questi casi si può procedere al trattamento dei dati anche in assenza del consenso espresso, tuttavia fornendo l'informativa. L'informativa può non essere resa quando: i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; i dati siano trattati ai fini delle investigazioni difensive o comunque per far valere o difendere un diritto in sede giudiziaria; il rilascio dell'informativa all'interessato comporterebbe un impiego di mezzi dichiarati dal Garante manifestamente sproporzionati rispetto al diritto tutelato o impossibili.

Il secondo obbligo del titolare: nei casi richiesti dalla legge (cioè quando si richiede particolare sicurezza), procedere alla notifica del trattamento all'Autorità garante della privacy (esclusivamente online). I dati che richiedono particolare sicurezza sono: dati genetici, biometrici o che indicano la posizione geografica di persone o oggetti mediante una rete di comunicazione elettronica; i dati idonei a rivelare lo stato di salute e la vita sessuale trattati ai fini di procreazione assistita, prestazione di servizi sanitari, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; i dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti o organismi senza scopo di lucro a carattere religioso, politico, filosofico o sindacale; i dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini e scelte di consumo; i dati sensibili per selezione del personale per conto terzi, per sondaggi di opinioni, ricerche di mercato e ricerche campionarie; i dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, all'adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

Il terzo obbligo del titolare: per certi dati (ad esempio i dati sensibili) è necessaria l'autorizzazione del Garante al fine di procedere al trattamento. Il quarto obbligo del titolare: mantenere e conservare, custodire e controllare i dati raccolti, attuando misure di sicurezza minime al fine di ridurre il rischio di diffusione, distruzione, perdita, accesso illecito o trattamenti non autorizzati (sistema di autenticazione informatica, sistema di autorizzazione per l'assegnazione agli utenti di diritti diversi a seconda dell'attività svolta, strumenti elettronici aggiornati che proteggano i dati da intrusioni, aggiornamento dei programmi, backup dati, cifratura o separazione dei dati idonei a rivelare lo stato di salute o la vita sessuale dagli altri dati personali, cifratura di dati sensibili trasferiti). Il titolare deve aggiornare di continuo le tecniche e gli strumenti predisposti per il trattamento: importante il documento programmatico per la sicurezza che riporta le informazioni sulle misure di sicurezza attualmente previste per proteggere i dati personali gestiti, nonché sulle misure aggiuntive da implementare in futuro (redatto e aggiornato annualmente). Tuttavia è stato eliminato nel 2012. Tutto ciò è policy di privacy.

Conservazione dei dati nei registri di Google

Google si serve dei dati sulle preferenze degli utenti per ritagliare un'offerta pubblicitaria calibrata sulle ricerche e quindi sugli interessi degli utenti (l'utente condivide informazioni sui suoi interessi e Google contraccambia con migliori risultati/ricerca agevolata/personalizzazione). Google crede in un approccio trasparente verso il trattamento dei dati personali e nel fornire agli utenti degli strumenti per il controllo sul trattamento delle loro informazioni. Bisogna ricordare che cookie e indirizzi IP non sono sufficienti per identificare una persona.

L'avvento di una società multimediale ha aumentato l'importanza dei dati nell'attività d'impresa su entrambi i versanti: quello dell'impresa che raccoglie i dati (core business, spin-off, strumento per un'efficace attività di marketing) e quello dell'impresa che fruisce dei dati raccolti da altri soggetti (anche in paesi diversi da quello di appartenenza). La normativa di matrice sia comunitaria (Direttiva 95/46/CE), sia nazionale (Codice della privacy e soft law), regola il trasferimento, affinché si compia un bilanciamento tra la tutela dei dati degli interessati e l'interesse delle aziende ad acquisire tali dati, agevolando la libera circolazione di beni, servizi e capitali; inoltre, regola il trasferimento da e verso i paesi non aderenti alla Comunità per sviluppare e tutelare il commercio su scala mondiale (net society).

Trasferimento dei dati

Quindi la normativa distingue il flusso di dati tra soggetti residenti nella Comunità europea (trasferimento dei dati intra-comunitario) dal flusso dei dati tra un soggetto stabilito nell'Unione europea e un altro soggetto stabilito al di fuori della UE (trasferimento extra-comunitario). Se il trasferimento intra-comunitario è sempre consentito, salvo rare eccezioni, quello extra-comunitario presenta carattere più particolare.

Il trasferimento intra-comunitario: è prevista assoluta libertà nel trasferimento dei dati all'interno della UE; nel caso in cui il trasferimento avvenga infra-gruppo, il trattamento viene considerato unico e per le stesse finalità; mentre quanto il trasferimento avviene tra autonomi titolari di trattamento, il dato viene trasferito da un primo titolare, il quale non sarà più responsabile per le future operazioni di trattamento, a un secondo titolare, il quale ne entra in possesso e diviene responsabile per il trattamento futuro dei dati.

Il trasferimento extra-comunitario: il problema è che non tutti i paesi extra-comunitari riescono a garantire livelli di protezione dei dati personali ritenuti minimi per poter consentire la trasmissione. La regola generale è quella di divieto assoluto di trasferimento con qualsiasi mezzo o forma dei dati personali sottoposti a trattamento da parte di un soggetto stabilito nella UE verso paesi non aderenti alla UE quando nei paesi di destinazione non venga garantito un livello adeguato di protezione. Il trasferimento in questione è consentito in tassative e specifiche circostanze, anche se non sussistono i livelli adeguati di protezione, se l'interessato abbia manifestato il proprio consenso, oppure se il trasferimento è necessario per l'esecuzione di un contratto che vede quale parte l'interessato, o per adempiere, prima della conclusione di un contratto, a richieste dell'interessato, o per la salvaguardia di un interesse pubblico rilevante, o per la salvaguardia della vita o dell'incolumità fisica di un terzo, o ai fini delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, o per esclusivi scopi scientifici e statistici. Oppure ancora, quando sia stata accolta una richiesta di accesso ai documenti amministrativi, o di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque.

Altri casi: quando vi siano forme di garanzia contrattuali che l'Autorità garante nazionale o la Commissione valuta e riceve da parte delle società implicate nel trasferimento (le imprese si impegnano volontariamente a rispettare clausole contrattuali standard relative ad adeguati sistemi di sicurezza); quando le imprese si impongono di rispettare le clausole contrattuali standard elaborate dal Gruppo art. 29; quando le imprese sottoscrivono un accordo quadro che garantisca all'Autorità garante nazionale il raggiungimento di un adeguato livello di protezione; quando gruppi di società o società multinazionali si impegnano a rispettare codici di autodisciplina ritenuti adeguati dall'Autorità in termini di protezione e sicurezza dei dati: si parla di corporate building rules, cioè di garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti al medesimo gruppo, per cui vengono previste sanzioni interne al gruppo per ogni inadempimento (spesso solo una società del gruppo è responsabile degli inadempimenti e si interfaccia con l'Autorità garante); infine, quando il trasferimento consegue all'analisi, da parte della Commissione Europea, dei sistemi normativi in materia di protezione dei dati personali offerti dagli stati extra-europei in questione (principio dell'approdo sicuro).

Livello di protezione adeguato: la valutazione deve avvenire considerando tutte le circostanze relative a un trasferimento o a una categoria di trasferimenti di dati, con attenzione da un lato alla natura dei dati e alla finalità del trattamento e dall'altra al paese d'origine e a quello di destinazione, alle norme di diritto generali e settoriali vigenti nel paese terzo, alle regole professionali e le misure di sicurezza ivi osservate.

Gruppo art. 29: ha elaborato vari documenti, tra cui il Working Paper 12 del 1998 sul trasferimento dei dati personali verso paesi terzi, in cui vengono definiti i parametri di adeguatezza minimi che il paese terzo deve garantire, cioè i principi di contenuto e di procedura prescritti dalla Direttiva, che sono il principio di buona fede, di finalizzazione, di pertinenza, di correttezza, di trasparenza, il diritto di accesso da garantire agli interessati, il principio di sicurezza, il principio che vieta il trasferimento dei dati a ulteriori destinatari salvo che anch'essi garantiscano un adeguato livello di tutela.

Definizione e promozione del prodotto

Conosciuto e compreso il proprio ambiente commerciale, l'impresa deve definire l'offerta di valore (quale bene, quale clientela, identità specifica e diversa dai competitors). In questo contesto il brand riveste un ruolo cruciale veicolando molteplici significati e messaggi identitari (qualità, provenienza, idealità simboliche e intangibili connesse allo stile di vita). I consumatori preferiscono un certo prodotto non solo sulla base del prezzo e delle principali caratteristiche intrinseche, ma anche di specifici valori positivi che le impr...