A tutti stanno arrivando in questi giorni fiumi di mail che ci informano sulle modifiche alle Privacy Policy delle varie aziende. Non tutte sembrano essere conformi ai dettami del nuovo GDPR, quindi è opportuno fare un minimo di chiarezza.

Uno dei testi più diffusi recita: “i dati in nostro possesso saranno utilizzati esclusivamente per l’invio di newsletter e comunicazioni sulla nostra attività. Se desidera restare in contatto con noi seguendo le nostre iniziative, non è necessario fare nulla: in tal modo ci autorizzerà a mantenerla aggiornato.”

Quanti di voi hanno raccolto tutti i contatti presenti nella vostra newsletter in modo corretto? Quanti in maniera informale tramite un semplice accordo verbale o uno scambio di biglietti da visita?

La newsletter è per sua natura uno strumento prettamente promozionale, di conseguenza l’utilizzo dei dati personali a questi fini non può avere altra base giuridica se non il consenso dell’interessato: in tal senso è inequivocabile l’articolo 6 punto 1 lettera A del regolamento: Il trattamento è lecito solo se e nella misura in cui “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.

Ma come facciamo ad essere sicuri che il consenso è stato prestato con le modalità adeguate? Per fugare i dubbi ci viene in soccorso l’articolo 4 punto 11 del regolamento, il quale definisce il consenso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento”.

A questo punto qualcuno potrebbe affermare che, se ricevo una mail nella quale mi viene detto espressamente “se non ti cancelli dalla newsletter mi dai il consenso per continuare a mandartela”, io sono informato ed esprimo volontariamente la mia decisione di non cancellarmi dalla medesima. Fortunatamente il considerando 32 del GDPR ci da ulteriori precisazioni in merito, infatti specifica ottimamente il concetto di azione positiva inequivocabile quando afferma che “Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.”

A questo aggiungo il fatto che le newsletter tenderanno ad essere sempre più personalizzate, quindi non è azzardato ipotizzare una profilazione dei dati raccolti per l’invio delle medesime (ricordiamo che il consenso alla profilazione deve essere distinto rispetto al consenso relativo ad altri trattamenti).

La soluzione più “sicura” (se non addirittura l’unica legalmente inoppugnabile) l’ha offerta una importante azienda italiana, il cui testo della mail informativa recita quanto segue:

In ultimo non dobbiamo dimenticarci di quello che stabilisce l’articolo 7, cioè che “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.”; quindi il silenzio e l’inattività non danno al titolare la possibilità di fornire tale prova (che può essere richiesta senza indugio dal Garante).

Alla luce di questo il consiglio è di richiedere consenso esplicito all’invio di newsletter a tutti i soggetti di cui tale consenso non si possiede documentalmente, senza limitarsi a formule di silenzio assenso. L’unica limitazione a tale incombenza, in attesa di una maggiore specificazione del concetto di “Interesse legittimo” di una azienda è costituito dalla possibilità di effettuare il cd. “Soft Spam”, ma di questo parleremo più avanti appena ci saranno chiarimenti in merito, ci si augura, con il decreto attuativo.

In bocca al GDPR a tutti.