Guida al remarketing conforme al GDPR: profili giuridici e requisiti tecnici

Il remarketing consiste nel riproporre messaggi pubblicitari a utenti che hanno già interagito con un sito web. È una delle leve più efficaci del digital marketing, ma anche una delle più delicate sotto il profilo della protezione dei dati personali. Ai sensi del GDPR (Regolamento UE 2016/679), il monitoraggio del comportamento online finalizzato alla personalizzazione della pubblicità integra a tutti gli effetti un’attività di profilazione, con conseguenze rilevanti sul piano giuridico.

Fare remarketing in modo lecito non significa semplicemente installare un pixel o un plugin: richiede una struttura coerente che coordini configurazioni tecniche, basi giuridiche del trattamento e tutela effettiva dei diritti dell’interessato.

In questa guida preparata dal nostro studio legale vediamo in modo chiaro e diretto come fare remarketing a norma di legge, evitando così sanzioni e reclami degli utenti.


SOMMARIO


Natura giuridica del pixel e dei cookie di profilazione
Consenso preventivo e marketing digitale a norma
Contitolarità del trattamento
Esempio applicativo
Remarketing a norma del GDPR su clienti esistenti
Documentazione GDPR e remarketing
Verifica finale sul remarketing
Come fare remarketing a norma di legge con LegalBlink

Natura giuridica del pixel e dei cookie di profilazione

Il remarketing si fonda sull’uso di cookie di profilazione di terze parti, che non sono necessari al funzionamento del sito. Diversamente dai cookie tecnici (ad esempio quelli per il carrello o la scelta della lingua), questi strumenti servono a tracciare il comportamento dell’utente e a costruire un profilo commerciale.

Dal punto di vista giuridico, il pixel (Meta, Google Ads, LinkedIn, ecc.) raccoglie identificativi online che consentono di riconoscere l’utente e inserirlo in segmenti pubblicitari.

Il GDPR è esplicito: tali dati non possono essere raccolti senza che l’utente ne sia stato previamente informato e abbia prestato un consenso valido.

In assenza di una manifestazione di volontà positiva, il trasferimento di dati verso le piattaforme pubblicitarie deve rimanere completamente inibito. Ogni attivazione automatica del tracciamento prima del consenso costituisce una violazione.

Consenso preventivo e marketing digitale a norma

Uno degli errori più frequenti è l’adozione di banner semplificati con un unico pulsante di accettazione. Le Linee guida del Garante Privacy del 10 giugno 2021 chiariscono che il consenso deve essere specifico e granulare.

L’utente deve poter scegliere in modo selettivo se attivare:

• i cookie di marketing e profilazione;

• quelli statistici;

• mantenere attivi solo i cookie tecnici.

Se, ad esempio, l’utente accetta le statistiche ma rifiuta il marketing, il sito potrà raccogliere dati aggregati di navigazione, ma non potrà utilizzarli per campagne di retargeting su piattaforme esterne.

È altrettanto essenziale il blocco preventivo (prior blocking): gli script di remarketing non devono essere caricati né eseguiti prima che il consenso sia stato espresso. Un pixel già attivo al primo caricamento della pagina rende il trattamento illecito, anche se il banner è formalmente presente.
Approfondisci il tema con la nostra guida su come gestire i cookie a norma di legge.

Contitolarità del trattamento con le piattaforme pubblicitarie

L’utilizzo di strumenti di remarketing offerti da soggetti come Meta, Google o LinkedIn determina, nella maggior parte dei casi, una contitolarità del trattamento ai sensi dell’art. 26 GDPR. Sito web e piattaforma concorrono infatti a determinare finalità e mezzi del trattamento.

Sul piano pratico, ciò impone:

• l’indicazione esplicita dei partner pubblicitari nell’informativa cookie;

• il rinvio diretto alle rispettive privacy policy;

• una descrizione comprensibile delle logiche di profilazione.

L’utente deve essere messo in condizione di capire cosa accade ai suoi dati una volta che questi vengono comunicati a soggetti terzi e utilizzati all’interno di ecosistemi pubblicitari complessi.

Esempio applicativo: come fare remarketing a norma nel settore fashion

Si consideri un eCommerce di abbigliamento. Un utente visualizza un paio di jeans, taglia M, colore blu. Il remarketing dinamico consente di mostrargli esattamente quel prodotto durante la navigazione su altri siti.

Dal punto di vista giuridico, la sequenza corretta è la seguente: l’utente accede al sito, visualizza il banner e seleziona consapevolmente la categoria “Marketing”. Solo a quel punto il pixel viene attivato. Il sistema comunica alla piattaforma pubblicitaria l’identificativo del prodotto visualizzato e l’informativa privacy chiarisce che tali dati vengono condivisi per finalità di retargeting dinamico.

Elemento imprescindibile è la revocabilità del consenso: l’utente deve poterlo ritirare in qualsiasi momento, tramite un comando facilmente accessibile, con la stessa semplicità con cui lo ha prestato.

Remarketing a norma del GDPR su clienti esistenti e Customer Match

Un capitolo particolarmente delicato riguarda il caricamento di liste di contatti (Customer Match, Pubblici personalizzati da file). In questo caso non intervengono i cookie, ma i dati contenuti nel CRM aziendale.

Il solo fatto di disporre dell’indirizzo email di un cliente non legittima il suo utilizzo per finalità di remarketing. È necessario che l’interessato abbia prestato un consenso specifico alla profilazione marketing, distinto da quello per l’invio di comunicazioni generiche o newsletter.

L’uso del legittimo interesse è, nella prassi, difficilmente sostenibile quando i dati vengono trasferiti a piattaforme terze per campagne pubblicitarie mirate. La base giuridica corretta resta il consenso espresso e documentabile.

Documentazione GDPR e remarketing: registro dei trattamenti e DPIA

Quando il remarketing assume dimensioni strutturate o rilevanti, l’attività deve essere formalmente inserita nel Registro dei Trattamenti. In presenza di tracciamenti sistematici su larga scala o di trattamenti potenzialmente invasivi, può rendersi necessaria una Valutazione d’Impatto sulla Protezione dei Dati (DPIA).

La DPIA consente di dimostrare che il titolare ha analizzato i rischi per i diritti e le libertà degli utenti e ha adottato misure tecniche e organizzative adeguate. È uno degli strumenti centrali del principio di accountability richiesto dal GDPR.

Verifica finale se il remarking avviene a norma di legge

Un’attività di remarketing correttamente impostata dovrebbe poggiare su alcuni elementi essenziali:

• un cookie banner completo e non manipolativo;
• un’informativa privacy aggiornata e trasparente;
• consensi validi e tracciabili anche nel CRM;
• tempi di conservazione definiti per le audience;
• procedure chiare per l’esercizio dei diritti degli interessati.

Il rispetto di questi requisiti non è solo una misura difensiva rispetto al rischio sanzionatorio. È anche un investimento in fiducia: una pubblicità trasparente e controllabile è percepita come un servizio pertinente, non come un’invasione indebita della sfera digitale dell’utente.

Come fare remarketing a norma di legge con LegalBlink

Con LegalBlink puoi gestire il remarketing in modo conforme al GDPR: le privacy policy e le cookie policy sono strutturate per coprire correttamente anche le attività di profilazione e retargeting.

Inoltre, grazie al check legale dei nostri avvocati incluso nel pacchetto Easy Merchant, l’intero impianto documentale e di conformità viene verificato, offrendo una tutela concreta e affidabile. E' infatti l'unico servizio tra i generatori dove i documenti legali sono generati direttamente da avvocati esperti in privacy e digitale.

Team LegalBlink