Raccolta dati in fiera e GDPR

In occasione della partecipazione a fiere, le aziende raccolgono dati personali di clienti, potenziali clienti o fornitori. In fiera, o durante un evento, capita spesso di scambiarsi biglietti da visita e di raccogliere adesioni, iscrizioni, richieste di preventivo tramite moduli cartacei o digitali. La maggior parte dei dati trattati con queste modalità rientra nella definizione di “dato personale”, a partire dal nome e cognome, fino all’indirizzo e-mail o al numero di telefono.

Una volta trasferiti in azienda, poi, la maggior parte di questi dati vengono archiviati in CRM o banche dati, oppure vengono inseriti in mailing list e utilizzati per l’invio di newsletter, DEM o altre attività di marketing digitale.

Chi controlla queste attività?

Spesso il titolare del trattamento non ha una visione chiara di come questi dati verranno utilizzati e, nel tempo, possono emergere aspetti critici legati ad esempio alla gestione delle scadenze dei consensi, o al rispetto delle finalità per le quali i dati sono stati originariamente raccolti.

Cosa deve fare l’azienda?

La prima cosa da fare durante la programmazione di una partecipazione ad una fiera o ad un evento, è progettare una raccolta corretta dei dati personali coerente con l’intero modello organizzativo privacy aziendale, secondo il principio della privacy by design di cui al GDPR. Ecco gli step principali:

1. Progettazione

Una buona progettazione fa la differenza. In base al principio della privacy by design, infatti, è importante definire le finalità del trattamento ancor prima di iniziare a raccogliere i dati. Ad esempio:

  • i dati raccolti saranno utilizzati per attività di newsletter marketing? Saranno inseriti nel CRM aziendale?
  • sarà utilizzato un software di marketing automation per profilare i dati?
  • saranno condivisi con un’agenzia che si occupa delle campagne marketing?

L’obiettivo, dunque, deve essere chiaro dall’inizio in modo da poter definire le finalità dei trattamenti previsti e preparare tutti gli adempimenti necessari ad una raccolta lecita.

In particolare, bisogna concentrarsi su:

  • definire le finalità per le quali raccogli i dati;
  • definire le modalità del trattamento;
  • definire dove saranno conservati i dati;
  • definire il periodo di conservazione dei dati;
  • definire se i dati vengono, oppure no, trasferiti a soggetti terzi, quali sono i soggetti terzi che forniscono garanzie adeguate secondo il GDPR e, soprattutto, se si trovano o meno nell’UE.

Gli step appena elencati sono fondamentali per capire quali dovranno essere i contenuti dell’informativa privacy da preparare per la raccolta dei dati e degli altri materiali da portare in fiera.

2. Informativa privacy

I partecipanti alla fiera, al momento della registrazione, hanno sicuramente ricevuto un’informativa privacy dell’ente organizzativo della fiera. Questo documento è essenziale anche per gli espositori, perché contiene molte informazioni utili a capire come organizzarsi per trattare i dati in modo corretto (e lecito). Ad esempio, è già prevista la condivisione dei dati con gli sponsor e le aziende partecipanti? È previsto un consenso specifico da parte dei partecipanti per tale scopo?

Qualora quel documento sia lacunoso o troppo generico, l’azienda potrà (e dovrà) sopperire con una propria informativa privacy dedicata a quella specifica fiera o evento.

Una volta preparata l’informativa contenente tutti gli elementi previsti dal GDPR e utilizzando un linguaggio semplice e chiaro, l’azienda dovrà assicurarsi che questa venga letta dalle persone che lasceranno i propri dati. Ciò può essere fatto in vari modi, in formato cartaceo o in formato digitale (ad esempio con un tablet o tramite QR code).

La cosa importante è che sia messa a disposizione degli interessati prima di raccogliere i loro dati. Poi, l’informativa dovrà essere sempre accessibile a coloro che vorranno verificare quali consensi hanno concesso e a quali condizioni. L’azienda può, ad esempio, renderla disponibile sulla pagina del sito dedicata alla fiera oppure inviarla per email a ciascun interessato al momento della raccolta dei dati.

3. Raccolta dei dati in fiera

La raccolta dei dati per eccellenza durante la partecipazione alle fiere è quella fatta tramite biglietto da visita. Se ad ogni raccolta di dati personali deve corrispondere un’informativa, allora il biglietto da visita che contenga dati personali non è un’eccezione e sarà dunque necessario fornire in cambio – sempre prima della raccolta – un’informativa, sia essa cartacea o digitale.

Se si desidera utilizzare quei dati per finalità di marketing è sempre necessario raccogliere un consenso specifico.

In alternativa alla raccolta cartacea del biglietto da visita, che può essere complicata e tradursi in un dispendio di tempo eccessivo, potrebbe propendersi per una raccolta digitale, predisponendo un apposito modulo online per raccolta dei dati e relativo consenso. In questo modo, sarà molto più semplice archiviare le informazioni e conservare la prova del consenso, magari prevedendo l’invio automatico all’interessato a mezzo mail di un riepilogo dei dati personali, completo di link all’informativa accettata.

È possibile raccogliere un solo consenso per più finalità?

Secondo il GDPR il consenso va raccolto in modo specifico e inequivocabile. Se le finalità di trattamento e le modalità di trattamento sono molteplici, allora è opportuno prevedere spunte di consenso separate da far selezionare all’interessato.

E in merito alla condivisione dei dati con terzi?

Se è prevista la condivisione dei dati raccolti con terzi è necessario raccogliere un consenso per questa specifica modalità di trattamento. La terza parte non è solamente l’agenzia che gestisce le newsletter, ma anche il software utilizzato per spedirle, il tool utilizzato per i webinar, il CRM aziendale.

In base ai software utilizzati, bisogna tenere conto dell’eventuale trasferimento di dati extra UE.

Consenso verbale, è possibile?

Il GDPR ammette anche il consenso acquisito verbalmente, ma in questo caso l’azienda non avrebbe modo di dimostrarlo. Un modo potrebbe essere quello di inviare una mail di riepilogo dei dati personali raccolti, completandolo con il link all’informativa privacy accettata.

4. Foto e video realizzati in fiera

Le fotografie rientrano nei cosiddetti dati biometrici, ovvero quei dati personali che si ricavano da caratteristiche fisiche o comportamentali uniche e identificative di ciascuna persona. La disciplina che regola il trattamento dei dati biometrici è molto rigida e si caratterizza da un generale divieto di trattamento, a meno che non vi siano particolari condizioni, come il consenso esplicito dell’interessato.

Quindi, nel caso in cui l’azienda intenda scattare foto o produrre video in cui compaiano interessati, dovrà:

  • segnalare opportunamente le riprese audio e video in corso;
  • richiedere il consenso all’utilizzo della loro immagine.

5. Organizzazione dei trattamenti post-fiera

Una volta arrivati in azienda i dati verranno trattati in modi diversi e per finalità diverse. Organizzare i trattamenti prima della raccolta è essenziale per rendere la gestione dei dati più lineare e semplice. L’azienda dovrebbe:

  • digitalizzare i dati
  • conservare i dati in maniera sicura
  • allegare ai dati le prove del consenso
  • pianificare l’uso di sistemi di marketing automatico, email marketing, telemarketing
  • vagliare una procedura peri controllo del periodo di conservazione dei dati raccolti

6. Diritti degli interessati

Nell’informativa privacy è necessario specificare in modo chiaro e completo quali sono i diritti degli utenti e come esercitarli.

Il modo più semplice è quello di permettere agli interessati di esercitare i propri diritti attraverso una pagina web dedicata. Oppure, in alternativa, comunicare un indirizzo e-mail dedicato appositamente per evadere le richieste di esercizio dei diritti.

7. Condivisione dei dati con le terze parti

In caso di condivisione dei dati con terze parti è opportuno predisporre linee guida per organizzare uno scambio sicuro e lecito:

  • evitare file excel o, nel caso in cui ciò non fosse possibile, proteggerli con una password
  • condividere i dati in formati standard, in modo da renderli recuperabili nel caso di richieste dell’interessato
  • se opportuno, preparare nomine a responsabili e/o sub-responsabili esterni del trattamento.

Conclusioni

eXcellentia aiuta le aziende nell’organizzazione, lato privacy, di tutti gli adempimenti richiesti dal GDPR e dalla normativa nazionale nel caso di partecipazione a fiere o eventi.

Contattaci per avere maggiori informazioni o scrivi a consulting@excellentia.io!

it_IT