Politica sulla privacy nel marketing e sui cookie

La Politica sulla privacy nel marketing e sui cookie definisce requisiti obbligatori in materia di privacy per marketing, cookie, strumenti di tracciamento, analytics, tecnologia pubblicitaria, segmentazione dell'audience, marketing diretto, gestione delle preferenze, esclusione, tag di terze parti, riesame delle campagne e relativo trattamento di dati personali. La finalità dichiarata è assicurare che tali attività siano governate mediante registrazioni chiare delle finalità, informative trasparenti, adeguati controlli sul consenso o sulle preferenze, gestione dell'esclusione e della revoca del consenso, vigilanza sulle terze parti ed evidenze disponibili in sede di audit. La politica si applica ai contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, con obblighi del titolare del trattamento quando l'organizzazione determina finalità e mezzi del marketing e obblighi del responsabile del trattamento quando dati personali relativi a marketing, analytics, tracciamento o campagne sono trattati in base a istruzioni documentate del cliente o del responsabile del trattamento a monte. Un requisito centrale è che le finalità di marketing e tracciamento siano registrate prima dell'inizio del trattamento. Per le attività del titolare del trattamento, il Proprietario del processo o il titolare dell'attività deve registrare in REG02 ciascuna campagna di marketing, canale, finalità del trattamento, categoria di dati personali, fonte dell'audience, collegamento alla base giuridica, categoria dello strumento di tracciamento, dipendenza da fornitore o tag, collegamento all'informativa, dipendenza da consenso o preferenza, collegamento alla conservazione e indicatore di trasferimento prima dell'inizio della campagna o dell'attività di tracciamento. Il Responsabile privacy / Responsabile del PIMS deve confermare il collegamento aggiornato all'informativa in REG07 e il collegamento al consenso o alla preferenza in REG05 prima del lancio della campagna. Quando sono previste attività di marketing congiunto, audience condivisa, campagne co-branded o tracciamento condiviso, la ripartizione delle responsabilità tra contitolari del trattamento deve essere registrata in REG08 prima del lancio. La politica stabilisce requisiti operativi dettagliati per consenso, preferenze, cookie e controlli sul tracciamento. Richiede all'organizzazione di identificare se per ciascun canale di marketing siano necessari consenso, preferenza, opposizione, istruzione contrattuale o un'altra base approvata, e di registrare la decisione in REG02 e REG05 prima della raccolta o dell'uso nella campagna. Cookie non essenziali, tag, pixel, SDK e strumenti di tracciamento analoghi devono rimanere inattivi finché lo stato richiesto di consenso o preferenza non è disponibile in REG05. I segnali di consenso o preferenza non devono essere sovrascritti, elusi o ignorati durante modifiche a siti web, applicazioni, campagne o tag manager, e le evidenze di validazione devono essere registrate prima del rilascio. Le evidenze relative a consenso, preferenza, revoca del consenso, esclusione e versione devono essere registrate in REG05 entro un giorno lavorativo dall'acquisizione, modifica o revoca. Anche trasparenza e governance delle terze parti sono temi centrali. Il Responsabile privacy / Responsabile del PIMS deve creare o aggiornare in REG07 la registrazione dell'informativa privacy per il marketing o dell'informativa sui cookie prima del lancio di un nuovo canale di marketing, strumento di tracciamento, configurazione di analytics o modifica sostanziale della campagna. Il contenuto dell'informativa deve essere allineato, prima della pubblicazione, alle finalità di marketing in REG02, alle categorie di dati personali, alle categorie di destinatari, alle categorie di fornitori, alle categorie di strumenti di tracciamento, alle scelte di preferenza e agli indicatori di trasferimento. Fornitori di servizi di marketing, provider di analytics, piattaforme pubblicitarie, tag, pixel, SDK e partner di condivisione dei dati devono essere registrati in REG08 prima dell'uso in produzione, con classificazione come responsabile del trattamento, contitolare del trattamento o titolare autonomo del trattamento confermata prima dell'onboarding o del rinnovo. Fornitori internazionali, tag, provider di analytics, piattaforme pubblicitarie, trasferimenti di audience o trasferimenti di condivisione dei dati devono essere instradati a REG09 prima della messa in esercizio, ove applicabile. La politica stabilisce inoltre requisiti per il riesame delle campagne, esclusione, instradamento degli opt-out, applicazione e vigilanza continua. La fonte dell'audience, criteri di segmentazione, categorie di dati personali, esclusioni di soppressione, vincoli di preferenza e collegamento all'informativa devono essere verificati prima del lancio della campagna, e gli interessati con stato di revoca del consenso, opposizione, do-not-contact o esclusione devono essere esclusi prima dell'attivazione. Le opposizioni al marketing, gli opt-out, le richieste di revoca del consenso, i malfunzionamenti della disiscrizione e i reclami relativi al marketing diretto devono essere instradati a REG06 entro due giorni lavorativi, e lo stato di esclusione o preferenza deve essere aggiornato entro un giorno lavorativo dalla validazione. I controlli di governance includono il riesame trimestrale dello stato dei controlli privacy per il marketing in REG12, il riesame annuale dei fornitori di servizi di marketing attivi in REG08, metriche trimestrali sui collegamenti mancanti a consenso o informative, eccezioni relative a tracker e stato del consenso, elementi di soddisfacimento scaduti, nonché risultanze dell'audit o azioni correttive registrate in REG12.