Privacy e assistenza clienti tramite WhatsApp – intervista con l’avvocato Dr. Carsten Ulbricht

 In Comunicazione via Messenger

A inizio novembre abbiamo incontrato l’avvocato ed esperto internet Dr. Carsten Ulbricht per discutere con lui le tematiche del momento in merito a messenger, WhatsApp, privacy, assistenza clienti e GDPR. In questo articolo abbiamo riassunto per voi i punti principali.

Carsten Ulbricht è avvocato presso lo studio “Bartsch Rechtsanwälte” e si occupa già da molti anni di internet e social media. Oltre al suo lavoro full time scrive sul suo blog rechtzweinull.de, in cui negli ultimi anni ha parlato soprattutto di GDPR. Ha già guidato molte imprese nell’adeguamento alle nuove normative, specialmente per quanto riguarda WhatsApp e privacy, ed è proprio di questo che tratteremo oggi.

 

  1. I messenger come WhatsApp sono tendenzialmente più “a rischio” di altri canali digitali come social media ed e-mail?
  2. Posso io come impresa comunicare con i miei clienti tramite WhatsApp?
  3. Quali punti del GDPR sono rilevanti nella comunicazione tramite messenger?
  4. Privacy WhatsApp: fare messenger marketing con il software di MessengerPeople è conforme al GDPR?
  5. Assistenza clienti tramite messenger: quali particolarità vanno considerate, e cosa si ha l’obbligo di comunicare se si utilizzano i messenger (WhatsApp, Apple Business Chat)
  6. Dopo quanto tempo sussiste l’obbligo di eliminare i dati di una richiesta all’assistenza clienti?
  7. In generale, come valuti Apple Business Chat dal punto di vista della privacy (GDPR)?

Panoramica delle più importanti dichiarazioni sulla protezione dei dati e sul marketing dei messaggeri:

1) Comunicazione via messenger e GDPR

  • 3 condizioni devono essere rispettate: legittimazione, informazione, sicurezza dei dati
  • L’accesso con MessengerPeople è assolutamente in linea con le normative
  • L’opt-in tramite il widget MessengerPeople è del tutto trasparente e ben documentato

 

2) Trasmissione dei dati a WhatsApp:

  • Il problema: WhatsApp ha accesso ai dati relativi alla rubrica, che vengono elaborati (anche se solo per un periodo breve) negli USA
  • Il cliente di MessengerPeople utilizza il software appositamente sviluppato e non è quindi necessaria l’installazione di WhatsApp, per cui il problema non sussiste.

 

3) Assistenza clienti tramite WhatsApp

  • In generale non ci sono limitazioni in merito alle informazioni scambiate tra l‘impresa e il cliente tramite messenger
  • L‘importante è che l‘impresa spieghi chiaramente al cliente come vengono utilizzati i dati e che il cliente abbia dato l‘autorizzazione
  • La crittografia end-to-end di WhatsApp rappresenta un’ottima soluzione che rende WhatsApp un canale adatto all’assistenza clienti
  • Nel trattamento di informazioni mediche vanno valutati i singoli casi

 


L’intervista completa con Dr. Carsten Ulbricht sulla tematica WhatsApp e protezione dei dati

1) I messenger come WhatsApp sono tendenzialmente più “a rischio” di altri canali digitali come social media ed e-mail?

No, non si può definire così genericamente. Un problema di WhatsApp relativo alla protezione dei dati – molti l’avranno certamente già sentito – è che nel momento in cui installo WhatsApp sul mio dispositivo, WhatsApp senza chiedere niente ha accesso a tutti i miei contatti, li trasferisce poi negli Stati Uniti dove probabilmente vengono anche elaborati. Perché procede in questo modo? WhatsApp afferma: “Se vogliamo connettere le persone ci servono i numeri di telefono” – una spiegazione del tutto plausibile dal punto di vista tecnico.

Si tratta del principale criterio di identificazione ed è quindi comprensibile considerando la posizione di WhatsApp. Ma in materia di privacy la questione è problematica, perché non ho il diritto di dare a WhatsApp tutti i numeri salvati nella mia rubrica.

A questo proposito vorrei sottolineare una cosa, visto che la questione viene sollevata sempre più spesso: per i privati non c’è nessun problema, l’elaborazione privata di dati non è soggetta al GDPR. Altrimenti dovresti valutare se affidarti ad un responsabile per la protezione dei dati ogni volta che inoltri a terzi un numero di telefono, e non sarebbe semplice. Chiaramente è diverso se invece sto utilizzando un dispositivo aziendale o se uso WhatsApp come azienda: se trasmetto dati personali, come ad esempio il numero di telefono, a WhatsApp, mi serve una legittimazione. Normalmente non ho chiesto ai miei contatti l’autorizzazione ed è questo il problema principale con WhatsApp.

2) Posso io come impresa comunicare con i miei clienti tramite WhatsApp?

Per farlo dovrei impedire la trasmissione dei dati a WhatsApp. È necessario installare appositi tool sul cellulare che impediscono la diffusione dei dati oppure devo impedire a WhatsApp l’accesso al mio telefono. Con questi accorgimenti avrei risolto il problema.

 

Con MessengerPeople non c‘è alcun problema, dato che manca questo passaggio. Per comunicare con i propri clienti, l’impresa si serve della piattaforma di MessengerPeople e non ha bisogno di installare l’applicazione. Non può essere quindi sollevata nessuna obiezione in merito.

 

3) Quali punti del GDPR sono rilevanti nella comunicazione tramite messenger?

La protezione dei dati, e WhatsApp non fa eccezione, può essere riassunta in tre frasi:

  1. Nel momento in cui un’impresa diffonde dati personali ha bisogno di una legittimazione.
  2. Ci sono diverse condizioni che specificano quando è lecito il trattamento dei dati, elencate nell’articolo 6 GDPR. Queste condizioni indicano quando sono autorizzato al trattamento.
  3. Nell’articolo 13 GDPR viene invece indicato quali informazioni un’impresa è tenuta a fornire all’interessato affinché quest’ultimo sappia come vengono utilizzati i dati.

 

Vediamo quali sono concretamente i passi da seguire nel messenger marketing: supponiamo che io abbia impedito la trasmissione dei dati a WhatsApp. Come impresa è mia responsabilità che il trattamento dei dati e la comunicazione con il cliente siano leciti, quindi devo ottenere il consenso.

Devo dire al mio cliente: “Caro cliente, attenzione: se vuoi comunicare con me tramite WhatsApp, questo è quello che accadrà con i tuoi dati 1) 2) 3)”. Devo indicare tutto e il cliente deve autorizzare attivamente il trattamento e dirmi “Sì! Sono d’accordo”. A questo punto sono autorizzato al trattamento.

Come ho già detto, devo fornire ulteriori informazioni, ad esempio quali dati vengono trattati, chi è il responsabile del trattamento, a chi vengono trasferiti questi dati, quindi dovrei indicare anche se dei metadati di WhatsApp vengono inoltrati negli Stati Uniti. Poi devo indicare modalità e finalità del trattamento dei dati da parte mia. E chiaramente devo informare il cliente sui suoi diritti. L’interessato può ad esempio avere accesso ai dati salvati o richiederne la cancellazione? Devo fornirgli tutte le informazioni in merito.

E questo vale per tutti i canali digitali! Quindi anche per il messenger marketing. Proprio come l’ho appena descritto, non è un problema.

In breve è necessario: 1) Informare l’interessato su come intendo trattare i dati. 2) Informare l’interessato su come i dati verranno trattati da terzi. 3) Ottenere il consenso. Fine.


Provare MessengerPeople come venditore B2B/B2C.
Gratuitamente & senza alcun impegno per 14 gg.

4) Fare messenger marketing con il software di MessengerPeople è conforme al GDPR? (Parola chiave: opt-in)

È perfettamente conforme.

Che cos’è il double opt-in nell’e-mail marketing? Volendo, per dispetto, potrei prendere il tuo indirizzo mail e iscriverti a migliaia di Newsletter. In teoria hai dato il tuo consenso una volta, inserendo il tuo indirizzo mail, ma nessuno può dimostrare che sei stato tu. Per questo esiste un secondo opt-in nell’e-mail marketing: se anche qui l’utente comunica “Sì, sono d’accordo” allora è chiaro che si tratta del titolare dell’indirizzo mail.

Avete applicato lo stesso ragionamento al messenger marketing e alla privacy di WhatsApp. Anche voi avete pensato “Beh, chiunque potrebbe inserire un numero di telefono, ma io non so se è stato effettivamente il proprietario di questo numero”. E quindi utilizzate il procedimento double opt-in. È perfettamente a norma. In teoria non è obbligatorio, è sufficiente un’autorizzazione. Voi utilizzate la procedura double opt-in, che va benissimo.

 

5) Assistenza clienti tramite messenger: quali particolarità vanno considerate, e cosa si ha l’obbligo di comunicare se si utilizzano i messenger (WhatsApp, Apple Business Chat) per comunicare dati sensibili come coordinate bancarie o informazioni mediche? (Parole chiave: metadati, server USA)

Per il trattamento dei dati personali ho bisogno di una legittimazione. Per i dati “normali”, le condizioni che mi autorizzano sono elencate nell’articolo 6 GDPR, mentre per dati personali particolari, ad esempio informazioni mediche, le condizioni sono elencate nell’articolo 9 GDPR, e sono un po’ diverse. In sostanza posso comunque legittimare il trattamento ottenendo il consenso. Ne ho già discusso molto con le autorità competenti, che in parte la vedono diversamente, ma vorrei cercare di spiegare il mio punto di vista. Perché in fin dei conti si tratta dei miei dati.

Nel momento in cui dispongo di tutte le informazioni per poter decidere se sono d’accordo o meno, dovrò pure poterlo decidere.

Tutto quello che riguarda la protezione dei dati si basa sul diritto all’autodeterminazione in campo informativo. La corte costituzionale tedesca ha, per così dire, inventato questa legge, per lasciare che ognuno possa decidere cosa fare dei propri dati.

Ritengo quindi giusto e importante che queste informazioni vengano fornite in modo chiaro, affinché l’utente possa prendere una decisione consapevole. E se afferma di voler utilizzare WhatsApp o un altro canale di comunicazione perché è comodo e semplice, va benissimo.

 

Per farla breve, con il consenso è possibile regolamentare anche l’assistenza clienti e la privacy WhatsApp. Nel caso di informazioni mediche sarà necessario garantire delle ulteriori condizioni, come una maggiore sicurezza dei dati. Con le informazioni mediche farei quindi attenzione, ma per gli altri dati non c’è problema nel momento in cui si è ottenuto il consenso.


Provare MessengerPeople come venditore B2B/B2C.
Gratuitamente & senza alcun impegno per 14 gg.

6) Dopo quanto tempo sussiste l’obbligo di eliminare i dati di una richiesta all’assistenza clienti?

L’obiettivo della protezione dei dati è che meno dati possibili vengano salvati e conservati. La questione è che, se ricevo dei dati, li posso salvare solo per un periodo limitato. Un’impresa deve quindi stabilire una sorta di “piano di cancellazione”.

Come funziona concretamente? Naturalmente io potrei cancellare tutti i dati in mio possesso, ma sono limitato per quanto riguarda i dati salvati da terzi, ad esempio WhatsApp. Ma ci tengo a sottolineare nuovamente che utilizzando la crittografia end-to-end probabilmente WhatsApp non dispone dei nostri dati personali e quindi non devo preoccuparmi di cancellarli.

Tuttavia devo stabilire un piano di cancellazione per la mia impresa. Devo chiedermi “Per quanto tempo effettivamente ho un interesse nel possedere questi dati?” e conservarli solo per questo lasso di tempo. Una volta ottenuto il consenso lo devo anche comunicare, in modo che l’interessato ne sia a conoscenza, e devo informarlo sul suo diritto a revocare il consenso e richiedere la cancellazione. Queste sono le informazioni che devo fornirgli.

 

7) Da inizio ottobre proponiamo anche Apple Business Chat  – un’interessante soluzione per molte imprese, specialmente locali. In generale, come valuti Apple Business Chat dal punto di vista della privacy (GDPR)?

A dire il vero devo ancora valutarla nel dettaglio. Ho avuto un po’ a che fare con Apple Business Chat, ma posso semplicemente ripetere quello che ho già spiegato prima: ci sono tre punti che deve considerare un’impresa se intende utilizzare Apple Business Chat.

  1. Accertarsi di non fornire a Apple dati che non ha il diritto di diffondere.
  2. Assicurarsi che gli utenti che si mettono in contatto con l’azienda tramite Apple Business Chat siano stati informati e abbiano fornito il consenso. L’azienda deve valutare se utilizzare la procedura double opt-in o qualcosa di simile, deve risolvere la parte tecnica e fornire le informazioni necessarie.
  3. Se utilizza questo canale per la comunicazione con i clienti deve assicurarsi che il canale sia sicuro.

 

Non so come funzioni esattamente Apple Business Chat, non la conosco ancora molto bene. La crittografia end-to-end di WhatsApp va benissimo, e se funziona in modo simile probabilmente andrà altrettanto bene. Non lo posso però affermare con certezza perché non ho molta esperienza in merito.

 

Grazie Carsten!

 

customer service via messengerkundenservice-und-whatsapp-transport-notifications