Può essere considerata lecita la partecipazione ad un concorso a premi, i cui costi di partecipazione siano pagati, dal cliente, in dati personali, purché sia garantita la possibilità per l’interessato di esprimere, consapevolmente ed in libertà, le proprie scelte sull’uso dei dati che lo riguardano.
Se tale interpretazione non fosse corretta, sarebbe la fine delle strategie commerciali basate su attività promozionali online “gratuite” o meglio, “senza corrispettivo in denaro” e, dunque, verrebbe meno la possibilità di configurare i dati personali come oggetto di scambio.
Indice degli argomenti
Consenso e premialità: i provvedimenti del Garante
Come rileva il Garante per la Protezione dei dati Personali in un Provvedimento del 13 gennaio del 2000, è necessario che all’interessato sia garantita la possibilità di esprimere le proprie scelte liberamente e consapevolmente: a questo scopo, è necessario che egli riceva previamente le informazioni necessarie per comprendere appieno le finalità e le modalità del trattamento dei dati che lo riguardano.
Pertanto, fermo restando il rispetto della volontà dei consumatori di accettare la cessione di dati identificativi o attinenti a gusti, preferenze ed interessi, per ottenere gratuitamente determinati servizi, come può essere la partecipazione ad un concorso a premi, gli interessati devono, però, essere messi in grado di esprimere le proprie scelte sull’uso dei dati che li riguardano in maniera consapevole e libera.
Per rispondere al quesito è necessario partire dall’analisi dell’impatto della nuova regolamentazione per l’acquisizione del consenso al trattamento, contenuta nell’articolo 7 del Regolamento UE 2016/679 (GDPR).
Nel regime previgente, quello della direttiva 95/46 e nel suo recepimento italiano (D.lgs. 196/03) era già previsto che il consenso al trattamento dovesse essere prestato liberamente e – secondo le interpretazioni del Garante italiano – in modo differenziato per singola finalità perseguita.
Questo significa che l’interessato non poteva essere costretto a prestare il consenso a trattamenti non necessari per l’adempimento della prestazione oggetto del contratto.
In via interpretativa, il Garante aveva già ritenuto che non fosse libero il consenso prestato quando la società condiziona la registrazione, da parte degli utenti, al sito web dell’azienda e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale.
In quest’ottica, il Garante ha già espressamente affermato che non può definirsi “libero”, e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta (cfr.: provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n. 1298709; provv. 15 luglio 2010, doc. web n. 1741998; più recentemente, provv. 11 ottobre 2012, doc. web n. 2089777).
Consenso e premialità: cosa dice il GDPR
Fino a quando si trattava di un’interpretazione del Garante italiano, le aziende e gli operatori del settore del marketing potevano valutare un’assunzione di rischio sulle proprie strategie commerciali, fidando nella possibilità di contestare giudizialmente l’eventuale provvedimento sanzionatorio dell’autorità di protezione.
E dunque si è scatenata la creatività degli esperti di marketing online per creare metodi che, in sostanza, “costringevano” l’interessato a prestare il consenso al trattamento per poter partecipare a iniziative e concorsi a premi, iscriversi a programmi-fedeltà e via discorrendo.
Ora, invece, il paragrafo 4 dell’articolo 7 del GDPR stabilisce il limite oltre il quale l’acquisizione del consenso al trattamento dei dati non è più “libero”, prevedendo che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.
Si pone dunque la necessità di verificare se il modo in cui vengono raccolti i consensi sia compatibile con il criterio indicato dal paragrafo 4 dell’articolo 7 del GDPR e se le iniziative basate sul meccanismo “dare dati-dare gadget” sia ancora giuridicamente accettabile.
In sintesi, il problema posto dalla nuova previsione normativa è se il trattamento dei dati personali possa essere oggetto di negoziazione contrattuale.
Il parere dell’Antitrust
Il tema fu analizzato già parecchi anni fa in una delibera dell’Antitrust pubblicata il 17 febbraio 2000 che, su segnalazione di un’Associazione, dichiarò ingannevole la pubblicità di un operatore telefonico nella parte in cui presentava come “gratis” il servizio di mail libero.it quando in realtà per la sua fruizione l’utente doveva accettare di essere profilato.
Scriveva l’Antitrust: “la versione modificata delle condizioni contrattuali predisposte dall’operatore prevede che il consumatore accetti che il proprio utilizzo della rete venga monitorato, sia pure con riferimento ai soli siti inseriti in un preciso catalogo, al fine di determinare le sue preferenze e tarare la comunicazione commerciale della quale egli sarà destinatario. In questo modo, il consumatore, contrariamente a quanto ritenuto dall’operatore pubblicitario, cede alcuni dati personali, relativi ai propri interessi e
alle proprie esigenze. La circostanza che tali dati si presentino in una forma, per così dire, ‘grezza’, e che necessitino dell’elaborazione dell’operatore per essere sfruttabili economicamente, non impedisce che tale transazione abbia una rilevanza economica”.
La pattuizione contrattuale in esame richiedeva al consumatore di autorizzare, in assenza della corresponsione di un prezzo, il trattamento a cui I intende sottoporre tali dati. La cessione di dati identificativi attinenti a gusti, preferenze e interessi rimane certamente nella disponibilità dei soggetti interessati, in conformità delle leggi vigenti.
Tuttavia, come rileva il Garante per la Protezione dei dati Personali nel provvedimento del 13 gennaio 2000 è necessario che all’interessato sia garantita la possibilità di esprimere le proprie scelte a tale proposito. Liberamente e consapevolmente: a questo scopo, è necessario che egli riceva previamente le informazioni necessarie per comprendere appieno le finalità e le modalità del trattamento dei dati che lo riguardano.
Conclusioni
Alla luce delle considerazioni che precedono, si ritiene che nel caso di specie il generale principio di trasparenza e correttezza della comunicazione pubblicitaria imponesse all’operatore di esplicitare con chiarezza ed evidenza fin dal primo contatto pubblicitario quali fossero e in che cosa consistessero i rilevanti oneri previsti in capo al consumatore dalle condizioni generali di contratto, a fronte della prospettazione del servizio di accesso come gratuito, potendo altrimenti il consumatore essere indotto in errore relativamente alla convenienza dell’offerta, con pregiudizio del suo comportamento economico.