GDPR e Privacy – Consenso “obbligato” per attività di Marketing? No grazie Analisi sul mancato rispetto del principio di liceità previsto dall'art. 6 GDPR nelle richieste di consenso obbligato per finalità di Marketing

GDPR e Privacy - Consenso "obbligato" per attività di Marketing? No grazie

In questo articolo cercherò di analizzare il (mancato) rispetto del principio di liceità previsto dal GDPR (art. 6 GDPR – Lawfullness of Processing) di una pratica estremamente comune in Italia e in Europa: la richiesta del consenso “obbligato” per finalità di Marketing, ovvero richiesto come condizione necessaria per poter usufruire di un servizio di diversa natura.

Per comprendere meglio l’argomento ricorrerò a un esempio che, paradossalmente, ho vissuto in prima persona durante la 48esima edizione del Master Privacy Officer promosso da FederPrivacy, la principale associazione italiana dei professionisti della privacy e della protezione dei dati.

Un esempio di consenso “obbligato”

Il Master Privacy Officer è un corso di alta formazione, organizzato con il patrocinio dell’European Privacy Association e la partnership scientifica dell’Istituto Italiano per la Privacy, propedeutico al sostenimento degli esami di certificazione con Tϋv Examination Institute (Norma ISO 17024:2012) e conforme ai requisiti di formazione specifica richiesta dallo schema di certificazione della figura professionale di Privacy Officer e Consulente della Privacy (CDP/TÜV).

Il Master è organizzato presso lo Spazio Mastai del Palazzo dell’Informazione, elegante edificio situato nel cuore di Roma (piazza Mastai, nel cuore di Trastevere) e sede del Gruppo Editoriale Adnkronos. Lo Spazio Mastai, come recita il sito, è un luogo unico ed esclusivo, progettato per ospitare conferenze, eventi e mostre: uno spazio reso unico dalla luce che filtra attraverso le grandi vetrate, affacciate su una delle più belle piazze pedonali di Trastevere.

Ovviamente, la prima cosa che ho fatto una volta seduto al mio posto è stata quella di connettermi all’hot-spot WI-FI gentilmente messo a disposizione dalla struttura, con password di accesso fornita alla reception. Come tipicamente accade per gli hot-spot di questo tipo, l’accesso ad internet non è garantito in modalità diretta ma è subordinato alla creazione di una utenza mediante una pagina di login su cui viene reindirizzata qualsiasi richiesta HTTP compiuta dal browser:

GDPR e Privacy - Consenso "obbligato" per attività di Marketing? No grazie

Come si può chiaramente vedere, per effettuare l’accesso è necessario creare account gratuito oppure accedere gratis tramite Facebook. Potete immaginare la mia sorpresa quando, al momento di creare l’account in questione e compilare il modulo corrispondente con i miei dati personali, mi sono trovato di fronte a questo errore:

GDPR e Privacy - Consenso "obbligato" per attività di Marketing? No grazie

I dati riportati sono ovviamente fittizi, o per meglio dire pseudonimizzati (ex art. 4, comma 5 del GDPR)

Inutile dire che mi sono precipitato a leggere l’informativa relativa alle condizioni di marketing, che non riporto in quanto non pertinente alla vicenda ma dove ho comunque potuto riscontrare un paio di stranezze ulteriori: la mancanza del riferimento al numero di telefono cellulare, nonostante sia presentato come campo obbligatorio nel modulo di cui sopra, e la presenza dell’indirizzo, che non fa parte dei dati raccolti.

Quello che mi preme sottolineare è come il servizio, o per meglio dire il Titolare del trattamento, richiedesse l’accettazione obbligatoria del consenso relativo alle condizioni di marketing come condizione necessaria per accedere al servizio di hot-spot WI-FI.

La domanda nasce spontanea: si tratta di una pratica legittima, o per meglio dire compatibile con il principio normativo della liceità previsto dal GDPR (ex art. 6)?

Uno sguardo alle normative vigenti

Per rispondere, è necessario fare una riflessione in merito alle modalità di raccolta del consenso con finalità di marketing previsto dalla normativa Privacy (pre)vigente. Al tal proposito, il Garante Privacy si è espresso numerose volte. Le più rilevanti per la nostra analisi sono le seguenti (in ordine cronologico di pubblicazione):

Cominciamo dalle linee-guida, all’interno delle quali troviamo una prima definizione di consenso libero, informato e specifico altamente contestualizzata sul caso di specie e, per questo, particolarmente illumimante:

Il consenso acquisito per la finalità di invio di comunicazioni promozionali deve essere libero, informato, specifico, con riferimento a trattamenti chiaramente individuati nonché documentato per iscritto (art. 23, comma 3 del Codice) ed è pertanto necessaria la presenza contestuale di tutti i menzionati requisiti, per ritenere tale trattamento conforme al Codice.

 

Sulla base anche di quanto già indicato nel paragrafo 2.4, gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati personali (cfr. provvedimento 24 febbraio 2005, punto 7, doc. web n. 1103045) e a tal fine devono ricevere un’adeguata informativa, chiara e completa come sopra specificato.

 

Il consenso del contraente per l´attività promozionale deve intendersi libero quando non è preimpostato e non risulta -anche solo implicitamente in via di fatto- obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento.

Di particolare rilevanza appare l’ultima frase, che chiarisce come il consenso per attività promozionale non può essere obbligatorio per poter fruire di un servizio diverso.

Di analogo avviso, anche se ahimé non altrettanto inequivocabile, risulta anche la prescrizione del 27 ottobre 2016, che afferma:

A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo (“accetto”/”non accetto”) in relazione ai diversi trattamenti descritti nell’informativa.

 

2.3. Analogamente a quanto previsto nell´informativa, anche nelle “Condizioni generali dei servizi offerti tramite il portale on line” (precisamente al punto 5, “Avvisi e messaggi promozionali (newsletter)”; v. anche all. 1 sopra citato), si rappresenta che «con la sottoscrizione ed accettazione del presente accordo, l´Utente esprime il proprio libero e incondizionato consenso a ricevere messaggi di posta elettronica contenenti pubblicità, materiale promozionale, annunci interni, iniziative promozionali, comunicazioni commerciali da [omissis] s.r.l.», richiedendo agli interessati di manifestare un unico consenso sia in relazione all´accettazione delle menzionate condizioni contrattuali (fra cui i Servizi di cui sopra si è detto), sia per il trattamento dei dati personali egli stessi riferiti per finalità promozionali.

Qui siamo di fronte a una evidente ambiguità interpretativa: se per “consenso unico” si va ad intendere la presentazione di una casella di spunta omnicomprensiva e ambivalente per l’accettazione simultanea delle due condizioni, allora il modulo di cui sopra potrebbe risultare coerente, in quanto le checkbox sono diverse e separate. Al tempo stesso, però, si potrebbe obiettare che la necessità di accettare obbligatoriamente entrambe le condizioni per poter usufruire del servizio configura comunque una fattispecie di consenso unico omnicomprensivo, nascosto dietro a una banale escamotage tecnica volta ad aggirare gli oneri normativi da parte del Titolare.

Fortunatamente, il paragrafo 4.1 del provvedimento del 12 gennaio 2017 taglia la testa al toro:

Ed invero, la capacità di autodeterminazione di utenti e contraenti (e quindi la libertà del consenso che sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, la fruizione delle prestazioni dedotte nel contratto […] alla contestuale autorizzazione a trattare i dati conferiti per il medesimo servizio per una finalità diversa, qual è quella promozionale e pubblicitaria; con la conseguenza che i dati raccolti dal titolare (e conferiti dall´interessato) per l´esecuzione del rapporto contrattuale vengono di fatto piegati ad un utilizzo diverso dallo scopo che ne ha giustificato la raccolta, anche in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice).

Conclusioni

Sulla base dei contributi sopra elencati e dell’analisi effettuata appare chiaro come i clienti non dovrebbero mai essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali per poter usufruire di qualsivoglia servizio on line: il consenso deve essere manifestato liberamente e non deve essere condizionato, al di là di qualsiasi tentativo di insinuarsi tra le pieghe della normativa.

L’impatto del GDPR su questa conclusione è relativamente minimo, in quanto – almeno in Italia – la normativa vigente è già perfettamente equipaggiata per gestire questa particolare fattispecie. Al tempo stesso, è opportuno notare come due delle tre dichiarazioni del garante siano piuttosto recenti (2016 e 2017), ovvero siano state entrambe pubblicate successivamente all’adozione del GDPR (27 aprile 2016) da parte degli stati UE, nonché alla sua pubblicazione sulla Gazzetta Ufficiale Europea (4 maggio 2016). Si tratta dunque di contributi estremamente importanti, che potrebbero preludere al tanto agognato decreto attuativo ovvero di armonizzazione atteso nei prossimi mesi.

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan