L’entrata in vigore del GDPR (Il Regolamento UE n. 2016/679) pone una particolare attenzione verso il consenso al trattamento dei dati personali e alla relativa informativa. Il consenso nel GDPR può costituire la base legittima del trattamento solo se all’interessato viene garantito sia il monitoraggio di tale trattamento, sia la possibilità esprimere liberamente il proprio consenso o diniego al trattamento, senza per questo incorrere in problematiche successive.
Il consenso, come dettagliato nell’articolo Consenso e informativa col GDPR: le basi giuridiche per la compliance di Cybersecurity360 può definirsi valido quando, ai sensi dell’art. 4 punto 11:
- viene manifestato liberamente, garantendo all’interessato la possibilità di esercitare il pieno controllo;
- è specifico, in relazione a ciascuna finalità di trattamento;
- è informato, al fine di garantire un ampio grado di trasparenza;
- è espresso in modo inequivocabile, senza condizionamento alcuno.
Fornire informazioni chiare, trasparenti e semplici agli interessati prima di ottenerne il consenso diventa fondamentale per permettere loro di prendere decisioni consapevoli.
Il Gruppo di lavoro dei 29, elaborando le Linee guida sul consenso, ha previsto la possibilità per il Titolare del trattamento di poter fornire due tipologie di informativa:
- informativa estesa: l’interessato ha completa contezza di tutte le attività di trattamento svolte dal Titolare del trattamento e delle loro finalità. Gli vengono inoltre comunicati i propri diritti nonché le modalità e i casi in cui possono essere esercitati con, in taluni casi, la possibilità di contatto del Responsabile della protezione dei dati;
- informativa minima: il Titolare del trattamento focalizza l’attenzione dell’interessato sul singolo trattamento dei dati personali che intende effettuare e sulla finalità connessa cosicché il conseguente consenso può definirsi informato e reso per quello specifico trattamento e per la finalità sottesa.
L’informativa necessita, da parte del Titolare del trattamento, l’utilizzo di un linguaggio chiaro, semplice e facilmente accessibile attraverso il quale fornire una serie di informazioni e di comunicazioni esaustive.
Per quanto concerne le modalità con cui devono essere fornite le informazioni, va evidenziato come il GDPR, in generale, e fatta eccezione per i casi previsti dall’art 7 paragrafo 2, non prescriva né la forma né il formato attraverso il quale fornire le informazioni affinché sia soddisfatto il requisito del consenso informato.
Il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, che deve avere intrapreso un’azione deliberata per acconsentire allo specifico trattamento. Rimane quindi in capo al Titolare del trattamento ricercare ed utilizzare il mezzo migliore per poter dimostrare di avere raccolto un valido consenso.
Esiste però un nuovo concetto introdotto dal Regolamento (UE) n. 2016/679, come ci racconta l’articolo GDPR, cos’è il “legittimo interesse” e come si applica al marketing diretto di AgendaDigitale, secondo cui il titolare che abbia un “legittimo interesse” può procedere al trattamento di dati personali anche in assenza del consenso da parte dell’interessato, a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali di quest’ultimo.
Il GDPR elenca anche alcuni esempi di legittimo interesse, tra cui il rapporto tra cliente/fornitore o tra datore di lavoro e dipendente, situazioni in cui è evidente che l’interessato non può non aspettarsi che venga effettuato il trattamento dei propri dati personali proprio per la necessità di perseguire legittimi interessi. Il considerando in esame prevede inoltre che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.
Per meglio definire quest’ultimo riferimento si fa notare come, secondo la direttiva e-Privacy che rimane applicabile anche dopo l’entrata in vigore del GDPR, con specifico riferimento all’attività di marketing diretto sono applicabili le regole dettate dall’art. 130 del D.lgs. n. 196/2003, secondo cui:
- per l’utilizzo di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale rimane necessario acquisire il consenso del contraente o utente;
- qualora non vengano utilizzati sistemi automatizzati l’attività di direct marketing è consentita solo nei confronti di coloro che non abbiano esercitato il diritto di opposizione tramite iscrizione all’apposito registro;
- il consenso non è necessario quando il titolare, a fini di vendita diretta di propri prodotti o servizi, utilizza le coordinate di posta elettronica raccolte dall’interessato nel contesto della vendita sempre che si tratti di servizi analoghi e non vi sia il rifiuto da parte dell’interessato a tale uso. In ogni comunicazione deve essere data tuttavia l’informazione della possibilità di opporsi in ogni momento al trattamento.
In relazione alla disciplina del legittimo interesse è necessario altresì evidenziare che il legislatore con la recente legge di bilancio 2018 (legge n. 205 del 27 dicembre 2017), ha introdotto una particolare procedura di previa comunicazione al Garante per il trattamento fondato sull’interesse legittimo che preveda l’uso di nuove tecnologie o strumenti automatizzati.
Nell’ambito delle attività di marketing diretto, quindi, il combinato disposto delle previsioni del GDPR, della direttiva n. 2002/58/CE e della procedura di previa informazione stabilita dalla nuova legge di bilancio 2018 fanno ritenere che il legittimo interesse quale base giuridica del trattamento troverà scarsa applicazione e sarà utilizzabile unicamente per attività di marketing diretto non coperte dalla previsione dalla disciplina del Codice, in casi molto ristretti, previo utilizzo della procedura di informativa prevista nella nuova legge di bilancio 2018.
A cura di Jusef Khamlichi, Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato, Trainee Information & Cyber Security presso P4I – Partners4Innovation
