La legge federale sulla protezione dei dati (nLPD) si applica a qualsiasi trattamento di dati personali svolto in Svizzera, indipendentemente dalle dimensioni dell'impresa coinvolta. Su una piattaforma di lead, questa applicazione assume una forma particolare: a differenza di un trasferimento di dati bilaterale classico, in cui un'impresa raccoglie direttamente i dati dei propri clienti, una richiesta di lead coinvolge tre parti distinte, ciascuna portatrice di una propria quota di responsabilità. Ridurre questo schema a un semplice scambio tra la fonte che cattura la richiesta e l'impresa che la riceve significa ignorare il ruolo centrale del cliente finale quale interessato ai sensi della legge, e gli obblighi specifici che gravano su ciascuno dei tre anelli della catena.
Questo dossier illustra questo quadro a tre parti così come si applica su leads-qualifie.ch: chi sono queste tre parti e cosa distingue strutturalmente la loro posizione da un trasferimento bilaterale, cosa richiede concretamente la nLPD in materia di consenso, minimizzazione e diritti dell'interessato, perché questo consenso debba essere tracciabile e non solo dichiarato, quali obblighi propri iniziano per l'impresa ricevente nel momento in cui riceve i dati di un cliente, e come l'operatore della piattaforma effettua audit sulle fonti attive per assicurarsi che questo quadro sia rispettato a monte, ancor prima che una richiesta venga trasmessa.
Le tre parti coinvolte in un lead
Un lead non circola mai tra due soggetti, bensì tra tre. Il cliente finale è l'interessato ai sensi della nLPD: i suoi dati di contatto, la descrizione del suo bisogno e ogni elemento che permette di identificarlo costituiscono dati personali dal momento in cui vengono inseriti in un modulo, pronunciati al telefono o compilati in un simulatore. È la sua richiesta, sono i suoi dati, ed è lui a disporre dei diritti che la legge attribuisce a tale qualità. La fonte — il sito, il comparatore o la rete locale che cattura questa richiesta nel momento in cui si manifesta — occupa una posizione particolare: è il primo punto di raccolta, quindi il primo punto in cui un consenso deve essere raccolto e chiaramente spiegato prima di qualsiasi trasmissione successiva. L'impresa ricevente, infine, riceve i dati del cliente al solo scopo di dare seguito alla sua richiesta — redigere un preventivo, fissare un appuntamento, formulare una proposta.
Questa struttura a tre parti è ciò che distingue giuridicamente un lead da un semplice trasferimento di dati bilaterale. In un trasferimento classico, chi raccoglie i dati è generalmente lo stesso soggetto che li utilizza, il che concentra la maggior parte degli obblighi su un'unica entità. Su una piattaforma, queste due funzioni sono svolte da due entità diverse — la fonte raccoglie, l'impresa ricevente utilizza — con la piattaforma che coordina il flusso tra loro senza mai diventare essa stessa l'utilizzatrice finale dei dati. Ciascuna parte porta quindi la propria quota di responsabilità ai sensi della nLPD, invece di un'unica entità che risponde dell'intera catena: è questa ripartizione, assente in una semplice rivendita di elenchi, a richiedere un quadro di conformità pensato specificamente per un modello a tre parti.
Cosa richiede concretamente la nLPD
Il primo requisito è il consenso esplicito per una finalità precisa: il cliente deve aver accettato di essere contattato da un professionista del settore interessato per la richiesta che ha formulato, e nient'altro. Un consenso dato per ricevere un preventivo assicurativo non vale per essere contattato su un prodotto finanziario estraneo alla richiesta iniziale, anche se entrambi rientrano in senso lato nello stesso settore. Il secondo requisito è la minimizzazione dei dati: devono essere raccolti e trasmessi solo i dati necessari a trattare la richiesta — contatti, descrizione del bisogno, zona geografica — senza campi superflui che amplierebbero inutilmente il perimetro dei dati personali in circolazione.
Il terzo requisito è la limitazione della finalità, sia nel tempo sia nell'uso: i dati raccolti per un bisogno preciso non possono essere riutilizzati in seguito per uno scopo diverso senza una base giuridica propria a quel nuovo uso. Il quarto riguarda i diritti che la legge attribuisce direttamente all'interessato: il diritto di accesso, che gli permette di chiedere quali imprese detengono i suoi dati e per quale motivo; il diritto di rettifica, se rileva un errore nelle informazioni trasmesse; e il diritto di opposizione, che gli permette di far cessare in qualsiasi momento ogni contatto successivo, senza doverne fornire motivazione. Questi quattro requisiti si applicano indipendentemente dalle dimensioni dell'impresa ricevente — la nLPD non prevede eccezioni per le piccole strutture su questi punti specifici.
La tracciabilità del consenso su una piattaforma
Un consenso che non può essere dimostrato non ha, in pratica, lo stesso valore di un consenso documentato. Affermare che un cliente «ha accettato di essere ricontattato» non costituisce di per sé una prova valida se la questione viene un giorno sollevata dal cliente stesso, dall'impresa ricevente o da un'autorità di controllo. Una tracciabilità corretta presuppone diversi elementi riuniti proprio nel momento della cattura: una marcatura temporale precisa dell'istante in cui il consenso è stato dato, la conservazione del modulo o della casella effettivamente utilizzata dal cliente, e soprattutto una traccia del testo esatto che gli è stato presentato in quel momento — ciò che gli è stato comunicato potesse accadere ai suoi dati, incluso il fatto che potessero essere trasmessi a uno o più professionisti del settore.
Questa esigenza di tracciabilità non è solo una precauzione teorica: ha una conseguenza pratica diretta per l'impresa ricevente. Se un cliente contesta di aver acconsentito a essere contattato, l'impresa che ha ricevuto i suoi dati deve poter rivolgersi alla piattaforma, e la piattaforma alla fonte, per ottenere la prova di tale consenso entro un termine ragionevole. Su leads-qualifie.ch, questa capacità di produrre una prova su richiesta è uno dei criteri che distinguono una fonte affidabile da una che non lo è — una fonte incapace di ricostruire l'origine e il contenuto esatto di un consenso contestato non offre la stessa garanzia di una fonte che conserva sistematicamente questa traccia, anche se entrambe dichiarano, al momento della trasmissione, di aver rispettato la legge.
Gli obblighi dell'impresa ricevente una volta trasmesso il lead
La conformità non si esaurisce con la ricezione di un lead correttamente consenziente: prosegue, in forma diversa, non appena l'impresa ricevente inizia a trattare i dati che ha appena ricevuto. Tale impresa diventa a sua volta responsabile, al proprio livello, del trattamento dei dati personali che ora detiene. Il suo primo obbligo riguarda la durata di conservazione: i dati di un cliente devono essere conservati solo per il tempo necessario a trattare la richiesta — il tempo di redigere un preventivo, portare a termine il rapporto commerciale, oppure il periodo di conservazione legale distinto applicabile per obblighi contabili o contrattuali — e non indefinitamente per impostazione predefinita.
Il secondo obbligo riguarda la sicurezza: i dati ricevuti devono essere protetti con misure ragionevoli — accesso limitato a chi ne ha effettivamente bisogno, assenza di esportazioni non protette che circolano senza controllo. Il terzo riguarda il diritto di opposizione del cliente: se questi indica di non voler più essere contattato, l'impresa deve cessare ogni contatto successivo, indipendentemente dal canale utilizzato. Il quarto, infine, riguarda la finalità: i dati ricevuti per trattare una richiesta precisa non possono essere aggiunti senz'altro a un elenco di prospezione generale o a una lista newsletter — un simile uso costituisce un trattamento distinto da quello per cui il consenso iniziale è stato dato, e richiede una propria base giuridica.
Come una piattaforma seria effettua audit sui propri fornitori su questo punto
Nessuna impresa ricevente è in grado di verificare singolarmente ciascuna delle decine di fonti attive su una piattaforma — è proprio questa la funzione che l'operatore della piattaforma deve assumersi al posto loro. Su leads-qualifie.ch, questo audit riguarda specificamente le pratiche di consenso di ciascuna fonte: il testo mostrato al cliente al momento della cattura, l'effettiva presenza di una marcatura temporale conservata, e la coerenza tra ciò che la fonte dichiara e ciò che può realmente produrre come prova in caso di contestazione. Questo audit si svolge in modo continuo e non solo all'ingresso di una nuova fonte sulla piattaforma, poiché le pratiche possono evolvere — o peggiorare — dopo l'integrazione iniziale.
Una fonte che non può dimostrare una pratica di consenso conforme vede il proprio flusso retrocesso nel sistema di valutazione in attesa di correzione, sospeso se la carenza si ripete, o esclusa definitivamente in caso di violazione grave o ripetuta nonostante gli avvertimenti. È questa funzione di audit continuo, in gran parte invisibile per l'impresa ricevente ma decisiva per l'affidabilità di ciò che riceve, a distinguere una piattaforma seria da un semplice canale di passaggio che trasmette dati di contatto senza preoccuparsi di come siano stati ottenuti a monte. Un'impresa che acquista un elenco di contatti da un fornitore unico non ha, in confronto, nessuna garanzia equivalente: nulla le assicura che un audit di questo tipo sia mai stato condotto sull'origine dei dati che riceve.