Il consenso: come raccoglierlo ed evitare sanzioni

Nell’ambito del GDPR il consenso è definito quale qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Come raccogliere il consenso

Con l’ordinanza 9920 del 28 marzo 2022 la Corte di Cassazione ha accolto il ricorso dell’Autorità Garante contro una compagnia telefonica che inviava sms con una richiesta di acquisizione del consenso. Il testo non conteneva un vero e proprio messaggio commerciale, ma era indubbiamente propedeutico a questo tipo di comunicazione. È infatti vietato l’invio di sms o mail indirizzate al consumatore per acquisire il consenso all’implementazione ad attività di marketing, dunque invio di proposte commerciali.

Infatti, l’Art. 130 del codice privacy, così come modificato nel 2018, applicabile a telefonate, mail, sms ed mms, disciplina le ‘comunicazioni indesiderate’ prevedendo che l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Di contro, rileva che se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità commerciali è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.

Dunque, ove il consenso sia richiesto per attività commerciali o promozionali, si è già in presenza di una comunicazione commerciale che resta comunque integrata dal fine perseguito. Dunque ogni consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato.

Resta aperto il problema della richiesta: come procedere? Una valida soluzione arriva da YesNology: la creazione di un raccoglitore contenente l’informativa e la raccolta di dati e consensi, consente di creare un QRCode o un URL, collegabile ad un pulsante sul sito. In questo modo non è più il titolare ad agire attivamente per richiedere e raccogliere un consenso, ma è direttamente l’interessato ad agire per fornirlo.

YesNology risolve il problema della richiesta di consenso in tutte le situazioni nelle quali la semplice richiesta si assimila in giurisprudenza al trattamento che ne consegue. Inoltre, da tenere in debito conto, il fatto che un interessato sarà assai più propenso a formulare il proprio consenso laddove avrà la certezza di poterlo revocare, semplicemente, con un processo analogo e senza perdite di tempo.

Consenso e Sanzioni

Analizzando le ultime sanzioni comminate dal Garante nei confronti di call center che eseguivano telemarketing senza il consenso degli interessati, emerge che il consenso preventivo per le comunicazioni promozionali e la gestione oculata delle liste di contatti, sono i principi fondamentali sui quali si sono basate le valutazioni conseguenti agli esiti dei controlli.

Le pratiche sotto la lente d’ingrandimento del Garante si sostanziano in reiterate comunicazioni commerciali

a) in assenza di consenso degli interessati;

oppure b) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni;

ovvero c) anche dopo l’esercizio del diritto di opposizione.

All’esito dell’attività istruttoria e ispettiva è emerso che tre call center avevano contattato un elevato numero di utenti non inclusi nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze “fuori lista”.

I numeri telefonici fuori lista risultavano spesso riferibili ad interessati che non avevano fornito un libero e specifico consenso o ad utenze iscritte nel Registro pubblico delle opposizioni. Inoltre, molti dei contatti “fuori lista” avevano più volte manifestato agli operatori dei call center la volontà di esercitare il diritto all’opt-out e di essere inseriti nelle cosiddette black list. Taluni numeri telefonici utilizzati per le comunicazioni promozionali, inoltre, non erano riconducibili a utenze “referenziate” (ad esempio, acquisite da familiari o conoscenti) ma a fonti incerte o non idoneamente documentate.

Violazione del consenso e sanzioni: i provvedimenti del Garante Privacy

Nel primo provvedimento, il Garante privacy ha evidenziato la condotta illegittima dell’operatore sostanziatasi in reiterate ed invasive comunicazioni commerciali rivolte agli utenti. A giudizio dell’Autorità, l’aggressività della pratica si evince da comunicazioni effettuate fino a 150 volte in un anno a seguito dell’esercizio dell’opt-out da parte degli utenti interessati. L’importo della sanzione comminata ammonta a 80.000 euro.

Il secondo provvedimento, invece, evidenza gravi carenze in capo all’operatore interessato relative in particolare alla liceità dei dati contenuti nelle liste di contatto acquisite da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Tuttavia, nel corso dell’istruttoria il call center ha comunicato di aver intrapreso un percorso di revisione della propria strategia di marketing in un’ottica di compliance con il GDPR. Alla società è stata comminata una sanzione di 15.000 euro.

Nel terzo provvedimento, è stata contestata una sanzione minore, in ragione del livello di cooperazione offerto dall’operatore nei confronti dell’Autorità. In tal senso, il Garante privacy ha contestato criticità nella gestione delle liste di utenze telefoniche “referenziate” e la correlazione delle stesse ad altre informazioni quali l’origine dei dati e degli operatori che avevano lavorato sulle specifiche utenze. La sanzione, in questo caso, ammonta a 5.000 euro.

Nel calcolo dell’importo delle sanzioni il Garante privacy ha tenuto conto della gravità delle infrazioni, del periodo di grave crisi socio-economica innescato dall’emergenza pandemica, della categoria dei dati personali, del numero degli interessati e del livello di cooperazione offerto dalle società.

In tutti e tre i casi, il Garante non ha ritenuto legittimo l’utilizzo della base giuridica del legittimo interesse per attività di telemarketing, ha vietato l’ulteriore trattamento per finalità di marketing di dati acquisiti illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto e trasparenze trattamento, con particolare riguardo ai dati “fuori lista” e a quelli inclusi in black list.

Se dunque è certo che il consenso quale base giuridica di un trattamento è spesso abusato, è altrettanto vero che si tratta della modalità inequivocabile per eccellenza per legittimare un trattamento. Per la raccolta e gestione del consenso, l’uso di una piattaforma che permetta all’interessato autonoma interrogazione, in momenti successivi alla formulazione di una preferenza, ed autonoma revoca delle proprie preferenze, con un processo analogo, anzi, semplificato, rispetto alla formulazione della prima scelta, è indubbiamente uno strumento molto utile a garantire i diritti degli interessati e poter dimostrare il massimo impegno alla compliance prevista dal GDPR. Ulteriore riflessione è che una comunicazione rivolta ad un interessato che non intenda riceverla, causando fastidio alla persona illegittimamente coinvolta, può avere un effetto boomerang, vanificando ogni altro impegno a tutelare gli aspetti reputazionali di un operatore.

Poche settimane fa l’European Data Protection Board ha pubblicato la versione 1 delle “Linee guida 3/2022 sui Dark Patterns nelle interfacce sulle piattaforme dei social media: Come riconoscerle ed evitarle”. Anche se il trattamento della questione è ben lungi dall’essere definitivo, emerge che un consenso prestato dall’utente tramite l’implementazione di Dark Patterns può certamente considerarsi non validamente ottenuto, provocando conseguentemente l’illegittimità del trattamento basato su di esso. Indubbiamente diversa sarebbe la valutazione di liceità di trattamento in caso di utilizzo di una piattaforma di CPM, che restituisca all’interessato il controllo effettivo sui propri dati.

Emerge dunque inequivocabile l’attualità di YesNology: piattaforma unica nel suo genere, grazie alla quale le decisioni sono in carico all’interessato, sia nel momento in cui un consenso viene richiesto che quando l’interessato decide di modificare le proprie scelte.