Gli obblighi a carico delle aziende che gestiscono dati, alla luce del regolamento n. 2016/679
Rinnovo necessario per chi non ha seguito le regole Ue
di Antonio Ciccia Messina
Consensi per marketing al setaccio del regolamento Ue sulla privacy n. 2016/679. Il consenso deve essere inequivocabile e l’impresa deve poter dimostrare di averlo ricevuto. Ci sono, poi, regole specifiche relative alle formalità di acquisizione: in particolare stop alla preselezione di caselle. Tuttavia, se il consenso acquisito in precedenza risponde alle forme previste dal regolamento europeo, non c’è bisogno di chiederne uno nuovo.
Oltre alla valutazione giuridica, si accende anche il dibattito sulla valutazione dell’impatto economico delle novità normative, tra le quali non bisogna dimenticare la legge 5/2018 sul telemarketing, ancora in attesa di decreto attuativo.
Regole del codice della privacy. Le regole consolidate sotto la vigenza del codice della privacy (dlgs 196/2003): richiedono il consenso per l’attività di marketing; prevedono a date condizioni un’eccezione al consenso per i contatti con i clienti già acquisiti (soft spam); prevedono l’esclusione del consenso per le telefonate a numeri presenti in elenchi telefoni pubblici non iscritti nel registro delle opposizioni; prevedono eccezioni dal consenso per telefonate a numeri provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque per le telefonate direttamente funzionali all’attività svolta dall’interessato, sempreché non vi sia stata o sia manifestata opposizione al trattamento.
Per il consenso si chiede che lo stesso sia formulato in maniera distinta e separata per l’attività di marketing proprio, per la comunicazione a terzi per scopi di marketing o per profilazione. Il consenso espresso per trattamenti automatizzati può essere esteso a forme tradizionali: pertanto per il marketing proprio è sufficiente un unico consenso.
Il regolamento Ue. Il regolamento Ue tratta esplicitamente del marketing in tre punti. Nell’articolo 21 si danno specifiche per il diritto di opposizione a trattamenti di marketing, sottolineando che l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tale finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto; si aggiunge che se l’interessato si oppone al trattamento per finalità di marketing diretto, i dati personali non possono essere più oggetto di trattamento per tali finalità.
Nelle premesse ci si preoccupa di speciali tutele dei minori coinvolti in trattamenti per marketing (considerando 38), si parafrasa il diritto di opposizione (considerando 70) e, infine, si afferma (considerando 47) che può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto. Legittimo interesse significa trattare i dati senza consenso. L’interpretazione di questa frase del considerando 47 potrebbe indurre a spingere il consenso fuori dalla porta. In ogni caso sarebbe il titolare del trattamento a prendersi la responsabilità di una tale scelta.
Altra prudenziale opzione è quella di ritenere che, in una considerazione sistematica di tutte le normative e non limitandosi al regolamento Ue, il legittimo interesse (cioè l’esclusione del consenso) possa valere per il soft spam (e cioè nei confronti dei clienti) e nell’ambito del sistema dell’opt out (valido per il telemarketing e per il marketing cartaceo). Questa posizione porta a dire che non costituiscono legittimo interesse le altre forme di marketing, in quanto sono in conflitto con prevalenti diritti degli interessati. Secondo questa impostazione, rimane, dunque, l’obbligo di consenso, anzi di consensi separati per marketing proprio, comunicazione a terzi, profilazione.
Come deve essere il consenso. Nel regolamento Ue si danno queste indicazioni del consenso: deve essere espresso mediante un atto positivo inequivocabile, con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano. Questo avviene, mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. È valida, per esempio, la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non configura consenso, invece, il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
I vecchi consensi. Il considerando 171 afferma che qualora il trattamento si basi sul consenso a norma delle regole previgenti non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del regolamento.
Quindi se le modalità precedenti non sono in linea con le caratteristiche del consenso, bisogna «riconsensare» le liste.
Si ricorda che la modifica e integrazione della informativa (adempimento generalmente necessario) non porta necessariamente al rinnovo del consenso. Le linee guida dei Garanti europei (WP 259 del 10 aprile 2018, paragrafo 3.3.1.) sostengono, infatti, che il consenso è sufficientemente informato se l’interessato ha informazioni sull’identità del titolare, finalità dei singoli trattamenti, tipi di dati trattati, sul diritto di revocare il consenso, su decisioni automatizzate e profilazioni e su tutele in caso di trasferimento dati verso paesi terzi.
La legge 5/2018. Nel riformare il telemarketing, la legge 5/2018 (il cui decreto attuativo ancora non ha visto la luce) ha disposto che l’iscrizione nel registro delle opposizioni azzera tutti i consensi precedente espressi. Con una eccezione: sono fatti salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi a oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca.
Si attendono lumi ministeriali sul significato dell’espressione «ambito di rapporti contrattuali». Una lettura estensiva salverebbe tutti i consensi pregressi agganciati comunque a un contratto. Beninteso sempre che il consenso sia stato acquisito con le forme previste dal regolamento europeo.
© Riproduzione riservata
Fonte: