11 Mag 2018

Arriva il GDPR! Email per la conferma del consenso, sì o no?

Sta capitando a tutti: improvvisamente le nostre caselle email si sono riempite di messaggi dal tono "passivo/aggressivo" che ci invitano a cliccare un pulsante per continuare a ricevere le newsletter e i messaggi un dato sito/realtà/mittente.

Queste comunicazioni, dalla forma quanto meno varia e dall'operatività piuttosto oscura, fanno riferimento all'avvento del GDPR e alla necessità di avere traccia di un consenso affermativo dell'utente per poter continuare a trattare il dato.

gdpr

Molti nostri lettori ci hanno chiesto se una comunicazione del genere sia obbligatoria e nel caso come vada gestita: cercheremo, nel nostro consueto modo, di analizzare la questione, senza preconcetti, considerando sempre che in tutti i casi particolari è bene riferirsi ad un esperto privacy o ad un avvocato per avere una risposta definitiva.

Consenso pre GDPR (D.lgs. 196/2003)

Partiamo da un dato base: anche per l'attuale normativa privacy italiana (D.lgs. 196/2003) per trattare dati personali (quindi conservarli in un database, usarli per invio email, etc) è obbligatorio un consenso liberamente espresso e informato.

Il vecchio codice riporta:

Art. 23. Consenso

  1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
  2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
  3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.

Non solo: il punto 3 dell'articolo 23 dice chiaramente che il consenso si ritiene validamente prestato se - e solo se - è documentato per iscritto e se all'utente è stata mostrata l'informativa privacy.

Dunque, come più volte detto, il consenso al trattamento dati, in Italia, è sempre stato obbligatorio (o per lo meno, in questi termini, lo è dal 2003), così come la relativa documentazione dello stesso.

D'altra parte, ci si domanda, un consenso non documentato, come potrebbe definirsi tale?

Già ora, in caso di controlli relativi a segnalazione di trattamenti illeciti, l'onere della prova del consenso è in capo al Titolare del trattamento dati.

Il consenso nell'era del GDPR

Il nuovo regolamento europeo, come la vecchia legge italiana, definisce come condizione base per il trattamento di dati personali il consenso (al netto di casi particolari che al momento non ci riguardano).

L'articolo 7 del GDPR è dedicato alle Condizioni per il Consenso:

Articolo 7 Condizioni per il consenso

  1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Questo punto è un po' il nocciolo della questione per cui ora ci troviamo di fronte ad una serie di email di "richiesta di conferma" del nostro consenso.

Il GDPR stabilisce in maniera forte (usando in origine il termine "shall", che in "legalese inglese" normalmente intende un dovere) l'obbligo della dimostrabilità del consenso prestato.

E' pur vero che nei "considerando" a premessa della legge, questo obbligo appare ammorbidito:

  • (42) Per i trattamenti basati sul consenso dell'interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. [...]

Chiaramente il consiglio legale è normalmente quello di stare dalla parte del sicuro, per cui a qualcuno è venuto in mente che un buon modo possa essere quello di procurarsi queste prove inviando una email.

Quindi ha ragione chi invia le email?

A nostro parere si è spostato il focus dal concetto principale ad un corollario.

Il problema non è (o non è solamente) il poter produrre una prova del consenso, ma è aver raccolto quel consenso.

I casi sono dunque due:
a) ho raccolto il consenso, magari molto tempo fa, probabilmente ho perso i log, i moduli, e ora non saprei come fare a ricostruire il percorso di acquisizione.
b) in realtà non ho mai raccolto il consenso, le email sono frutto di anni di maneggi di database, compravendite, affitto liste o anche solo recupero da elenchi pubblici.

Chiariamoci: se sto trattando dati per cui non ho mai raccolto consensi, DEVO cancellarli, ma non da oggi, da ieri.

Come visto prima la legge italiana già non lo consentiva. Non solo, il trattamento illecito dei dati era perseguito penalmente, con tutto quello che ne consegue.

il decreto Privacy 196/2003 recitava infatti:

Art. 167. Trattamento illecito di dati

  1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione
    di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o,
    se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
  2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione
    di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Al momento l'orientamento della bozza del nuovo codice privacy che andrà ad aggiornare il nostro quadro legislativo nazionale, adeguandolo al GDPR, pare aver ammorbidito la linea, per cui è possibile che violazioni in questo senso si riducano a illeciti amministrativi.

Dunque trattare dati di cui non si sia raccolto il consenso è rischioso, ma forse lo era persino di più con il vecchio decreto.

Nel caso invece che, in buona fede, si disponga di un database regolarmente costruito, ma di cui non si possa "provare" la raccolta del consenso, la questione pare essere più delicata, ma anche in questo caso non vediamo una sostanziale differenza fra il vecchio ordinamento e il nuovo.

In caso di controllo dell'autorità, infatti, soprattutto se in risposta a segnalazioni di utenti, la richiesta della prova di un consenso contestato è sempre stata alla base dell'attività investigativa.

Nel rapporto 2016 il Garante ha dichiarato 282 ispezioni e 2.339 sanzioni contestate, di cui una parte consistente (1.817 violazioni) ha riguardato l'omessa comunicazione agli interessati di data breach da parte dei gestori di telefonia e comunicazione elettronica.

Nello stesso rapporto si indica come altro terreno caldo quello del telemarketing selvaggio.

Quello che è chiaro è che, almeno a nostro parere, non era la legge ad essere permissiva, ma l'applicazione della stessa ad essere farraginosa e claudicante.

La vera domanda da porsi è dunque se l'applicazione del nuovo codice privacy aggiornato al GDPR potrà essere più efficace, al momento davvero non ci sono elementi per poter fare previsioni in merito.

Quindi cosa devo fare?

Non c'è molto da dire: se non ho prova del consenso, sia per l'ordinamento vecchio, sia per quello nuovo, non potrei trattare i dati.

Questo significa che l'invio di una email dicendo "Rinnova il tuo consenso" potrebbe tranquillamente essere considerata come prova per il trattamento illecito dei dati di cui sopra: non è infatti diversa da un invio a freddo di presentazione.

Per altro i risultati di un invio del genere, soprattutto in un periodo come questo, sarebbero deludenti e significherebbe comunque ridurre in maniera drastica l'entità stessa del database.

L'avvento del GDPR è sicuramente un momento splendido per fare un punto sul trattamento dei dati, andando a minimizzare i rischi, ripulendo i database. Un'operazione "poco dolorosa" è quella di isolare gli utenti che non hanno interagito con le nostre email negli ultimi 12 o 24 mesi e cancellarli.

Questi utenti hanno un valore basso, a prescindere dal consenso, e comunque rappresentano un peso per i filtri antispam e un possibile problema in caso di controlli.

Nulla comunque vi vieta, nei prossimi invii, magari in quello relativo alla nuova informativa privacy adeguata al GDPR, di invitare gli utenti a prenderne visione e a confermare i propri dati.

Riteniamo quest'approccio più corretto dal punto di vista comunicativo: non stiamo dicendo "non ricordo dove ho preso il tuo consenso", ma piuttosto "avevamo un accordo basato su una informativa privacy, l'abbiamo cambiata, prendine visione e conferma i tuoi dati".

Detto questo, dovremo comunque essere poi disposti a cancellare dal database quanti non abbiano accettato la nuova informativa privacy; rimane altresì vero il fatto che, se avete raccolto il consenso in maniera compatibile con il nuovo codice e ne avete conservato le prove, non avete alcun bisogno di chiedere una conferma.

Al momento le interpretazioni la fanno da padrone, siamo convinti comunque che nei prossimi mesi (speriamo non anni) diverse questioni verranno chiarite, grazie a provvedimenti nazionali (come l'atteso adeguamento del decreto legislativo 196/03, teoricamente in approvazione entro il 25 maggio), oppure a regolamenti europei, come l'ePrivacy, che doveva in origine uscire in concomitanza con l'attivazione del GDPR, ma che al momento risulta ancora in discussione (si parla di inizio 2019 come data plausibile).

Commenti

Assolutamente incompleto e fuorviante.
Il GDPR stabilisce che per poter trattare i dati personali debba essere specificata una base giuridica tra quelle che descrive, di cui solo una è il consenso.
Ad esempio, il gestore di un e-commerce che richiede i dati di residenza solo per poter consegnare il bene acquistato e ai fini legali (fatturazione, ecc), può trattare i dati senza alcuna richiesta di consenso, che è invece necessario in molti altri casi.
Se volete capirci veramente qualcosa googlate "GDPR basi giuridiche", oppure c'è questo sito fatto benissimo di un ente indipendennte inglese che si occupa di privacy: https://ico.org.uk/for-organisations/guide-to-the-general-data-protectio... che ha pure un tool per capire su quale base giuridica dovete basare il trattamento dei dati.

Sì, chiarissimo, ma l'articolo non voleva essere una disanima sulle possibili basi giuridiche per cui il trattamento è ritenuto lecito, voleva semplicemente analizzare un fenomeno divenuto senza alcun motivo estremamente diffuso, quello dell'invio di una email per la richiesta di conferma del consenso del trattamento dati.
Si parla dunque unicamente del caso in cui la base giuridica per il trattamento sia il consenso (che per il marketing è in pratica l'unica alternativa, a parte quella, citata nella bozza del regolamento e-privacy, relativa alla possibilità di inviare comunicazioni commerciali ai propri clienti senza consenso diretto, quindi sulla base del legittimo interesse).
Ovviamente le basi giuridiche per il trattamento sono diverse e non era lo scopo di questo articolo approfondirle. La ringraziamo per il link, sicuramente utile. 
 

Si ha ragione lei, in effetti mi sono reso conto dopo che il focus dell'articolo è unicamente il consenso. Chiedo scusa per la critica :)Colgo l'occasione per chiederle una cosa: se ho capito bene allo stato attuale della bozza e-privacy non è necessario chiedere all'utente il consenso per l'iscrizione ad una newsletter contestualmente al momento dell'acquisto, dato che si ritiene che il gestore possa farlo sulla sola base del legittimo interesse?Grazie mille, saluti!

La bozza e-privacy dice: "Where a natural or legal person obtains electronic contact details for electronic mail message from its customer end-users who are natural persons, in the context of the sale of a product or a service, in accordance with Regulation (EU) 2016/679, that natural or legal person may use these electronic contact details for direct marketing of its own similar products or services only if customers such end-users are clearly and distinctly given the opportunity to object, free of charge and in an easy manner, to such use. The right to object shall be given at the time of collection and each time a message such direct marketing communication is [sent or presented]." Il che vuol dire: è possibile inviare materiale di direct marketing di prodotti e servizi SIMILARI, con la possibilità di opt-out. Ne abbiamo parlato qui: https://emailmarketingblog.it/blog/2018/03/29/oltre-il-gdpr-il-regolamen...

Fantastico grazie, sinceramente non mi ero reso conto della capillarità dell'informazione su questo sito. Davvero un ottimo lavoro!

Aggiungi un commento

Cliccando su "Salva" accetti che i tuoi dati siano registrati con l'unico scopo di pubblicazione e gestione dei commenti (Leggi l'informativa completa)