GDPR: i punti da chiarire sulla raccolta del consenso.

Alcuni chiarimenti sulla raccolta del consenso

Con l'entrata in vigore del GDPR molti dubbi hanno investito aziende, organizzazioni e responsabili, riguardo a quale sia la procedura corretta per raccogliere il consenso.

In particolare ci si chiede quale sia la procedura corretta, se debba essere richiesto di nuovo il consenso al trattamento dei dati personali per i dati racolti prima del 25 maggio.

Facciamo allora un po' di chiarezza!

Qual'è la procedura corretta per raccogliere il Consenso?

Il punto da cui partire può essere il considerando 171 del GDPR:  “qualora il trattamento si basi sul consenso a norma della direttiva 95/46, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinchè…”.

Come nota aggiungiamo che il consenso si ritiene espresso conformemente al GDPR quando:

  1. è informato
  2. è specifico (cioè fornito per ogni singola finalità del trattamento indicato)
  3. è libero (cioè prestato senza condizionamenti, pregiudizi, costrizioni)
  4. è inequivocabile (cioè viene espresso con una azione positiva - non è ammesso il consenso tacito o presunto - e, se richiesto contemporanemente su più materie o questione, deve essere chiaro su quali di queste viene prestato - non possono essere richiesti diversi consensi insieme o in modo che ci sia confusione)

Il titolare del trattamento deve deve poter dimostrare il fatto che il consenso stesso sia stato prestato: significa adottare misure o procedure che consentano, su richiesta delle autorità o dell'interessato, di fornire dati o documentazione che lo dimostri; inoltre è sempre responsabilità del titolare del trattamento, informare l'interessato che il consenso può essere revocato in qualsiasi momento, con la stessa facilità con cui è stato prestato.

Per approfondimenti consulta le Linee guida elaborate dal Gruppo Art. 29 in materia di consenso, definite in base alle previsioni del Regolamento (UE) 2016/679 a questo link

Il WP29, nel draft delle “Guidelines on Consent under Regulation 2016/679” (WP259), precisa che "i titolari che stanno attualmente trattando i dati sulla base di consensi raccolti in conformità alle normative privacy nazionali non devono automaticamente rinnovarli”.

Anche l’Autorità per la protezione dei dati, nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, ha precisato che un consenso raccolto prima della entrata in vigore del GDPR, resta valido se risponde a tutti i requisiti richiesti dalla nuova normativa. “In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso alla stessa base giuridica".

Ricapitolando il consenso non deve essere di nuovo richiesto o prestato quando:

  1. è già stato chiaramente espresso dall'interessato
  2. può essere revocato facilemente
  3. non era tacito o implicito (ad esempio con utilizzo di caselle preselezionate)
  4. il titolare è in grado di dimostrare che sia stato ottenuto
  5. era chiaro all'interessato che è possibile revocarlo in qualsiasi momento

​In caso di marketing diretto un nuovo consenso è necessario?

Per rispondere a questa domanda possiamo partire dal considerando 47 secondo cui, si può considerare interesse legittimo del titolare il trattamento per finalità di marketing diretto. L'interesse legittimo è una delle condizioni poste dalla normativa che legittimano il trattamento.

E' qui necessaria, però, un po' di cautela: il titolare può ricorrere al legittimo interesse quale base giuridica solo se non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato: deve quindi effettuare un bilanciamento fra l’interesse legittimo (suo o di terzi) e gli interessi e i diritti dell’interessato.

In caso di marketing diretto sembra quindi che il legittimo interesse possa essere invocato, limitatamente però alle azioni di direct marketing meno invasive. Proviamo a precisare meglio. 

Innanzitutto può fare eccezione alla regola generale dell’obbligo dell’acquisizione preventiva del consenso, l’invio di comunicazioni con strumenti automatizzati (ad esempio email o sms), il cd. “soft spam”, per promuovere via posta elettronica prodotti o servizi analoghi a quelli già acquistati. Resta ferma che ogni comunicazione (email) deve contenere l'informazione della possibilità di opporsi in qualunque momento al trattamento in maniera agevole e gratuitamente (link di cancellazione).

Il legittimo interesse può essere anche considerata condizione di legittimità anche quando i dati vengono raccolti nel'ambito di una relazione, ad esempio commerciale (cliente che acquista abitualmente una certa categoria o tipologia di prodotti/servizi) in cui sia ragionevole aspettarsi che i propri dati vengano utilizzati per attività di email marketing o marketing diretto in genere.

I Garanti Europei, nell’“Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”, hanno previsto espressamente che: "i titolari possono avere un interesse legittimo a conoscere le preferenze dei loro clienti per poter personalizzare meglio le loro offerte e, in definitiva, offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti stessi".

A questo punto il problema vero è: fin dove può si può arrivare, invocando il legittimo interesse, questo tipo di trattamento?

A tal proposito sarebbe auspicabile avere ulteriori chiarimenti, peraltro richiesti al WP29

Nel frattempo, per concludere, possiamo dire che è possibile ricorrere al legittimo interesse, quindi evitare di richiedere il consenso, in caso di attività di marketing poco invasive, sempre tenendo ben presente il bilanciamento degli interessi.

L'area "Regolamento Europeo Privacy" mette a tua disposizione una serie di approfondimenti su tutti gli aspetti della normativa per accompagnarti, con una serie di articoli, guide ed infografiche, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea il nuovo Regolamento.

Non perdere gli aggiornamenti: Iscriviti alla Newsletter dedicata!

ISCRIVITI ALLA NEWLETTER DEDICATA

Vuoi rivolgere ai nostri esperti le tue domande o esporre i tuoi dubbi? 
Inviaci la tua domanda cliccando sul bottone qui sotto: ti risponderemo!

RICHIEDI MAGGIORI INFORMAZIONI

Oppure inserisci un commento e condividi le tue riflessioni e le tue domande con gli altri utenti del blog.

Inserisci un nuovo commento

Iscriviti alla newsletter 

  Dichiaro di aver letto l’informativa privacy e, consapevole del fatto che la manifestazione di consenso è obbligatoria per l’invio dei dati tramite il form e per l’accesso ai servizi, ai fini di dimostrazione e di prova, acconsento al trattamento dei dati personali da me inseriti nel form per le finalità ivi specificate.

Categorie News

Seguici su Facebook

Non perdere neanche una notizia: clicca su mi piace!

Galleria video

Tags

Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy

Responsabile Redazione: Luigi Duraccio

Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 SrlBieffe