Molte richieste dei soggetti interessati, come indicato dalla stessa Autorità in una sua news del 13.07.2020, sono legate a casi di “marketing selvaggio”.
Con la stessa news sono stati resi pubblici tre provvedimenti sanzionatori inflitti a Wind Tre spa (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9435901) e ad altri soggetti e gli elementi chiave che hanno portato alla loro emanazione.
Di seguito in particolare una sintesi di alcune delle attività di marketing non conformi alle logiche normative e procedurali del GDPR effettuate da Wind tre spa, nonché degli aspetti censurati con riferimento alla non corretta gestione dei diritti degli interessati.
Liceità dei consensi.
L’Autorità ha ribadito la necessità che i consensi siano raccolti in modo lecito e trasparente ed ha rimarcato l’aspetto essenziale della necessità che tali elementi siano garantiti e governati in modo “effettivo” sin dalla prima raccolta.
Pratiche e procedure che obbligano il soggetto interessato a conferire un consenso al marketing per poter concludere un contratto, moduli che vengo prefleggati con il consenso al marketing, app ed applicativi che creano blocchi se non vengono conferiti consensi, NON possono essere considerati come strutturati per acquisire consensi liberi.
Tali azioni non possono essere considerate adeguate alla normativa nemmeno se viene garantito il successivo diritto di opposizione. In estrema sintesi: permettere una successiva opposizione ad un trattamento non equivale a sanare l’acquisizione distorta del consenso.
Verifica della liceità attuale dei consensi acquisiti in tempi remoti.
I controlli dell’Autorità garante hanno evidenziato che è necessario che i consensi conferiti per le attività di marketing siano verificati, e adeguati, anche in riferimento alle modifiche del contesto normativo.
I consensi risalenti a tempi passati possono non essere conformi al nuovo quadro normativo introdotto dal Regolamento UE 2016/679 e, di conseguenza, pur se documentati possono non essere validi per le azioni di marketing effettuate qui ed ora. E’, infatti, emerso che alcuni consensi riferiti ai soggetti interessati erano antecedenti agli anni 2000.
Comprovabilità dei consensi.
Nel provvedimento viene ribadita la necessità che i consensi siano comprovabili e che siano attuate procedure solide per poter effettivamente dimostrare che il consenso è stato conferito in modo libero, trasparente, informato e specifico. Dimostrare ciò in accountability è onere dei titolari del trattamento che devono predisporre anche presidi adeguati al controllo della filiera di soggetti terzi a cui sono affidati i trattamenti. (Cfr. Specifica News sul nostro portale che tratta di questa tematica).
Gestione adeguata dei consensi e dei diritti dei soggetti interessati nei trattamenti effettuati tramite terzi.
L’Autorità ha ribadito la necessità di prevedere presidi effettivi e comprovabili per garantire la piena applicazione dei diritti dei soggetti interessati a non essere contattati quando hanno espresso il loro diniego alla ricezione di comunicazioni commerciali.
Nel caso di trattamenti effettuati da terzi, ad esempio Call center, è stata ribadita la necessità di poter garantire che, anche i contatti reperiti autonomamente dai terzi stessi, non pregiudichino la volontà, specificamente espressa dagli interessati nei confronti del titolare, di non ricevere chiamate promozionali.
In estrema sintesi, non è sufficiente che si regoli contrattualmente il rapporto con il terzo, ma devono essere previste anche procedure di “pulizia” e “raffronto” delle liste dei contattabili non solo in relazione agli aspetti connessi al pubblico registro delle opposizioni e legge 5/2018, ma anche in relazione alle liste di opposizione del titolare del trattamento.
Tali liste dovrebbero essere aggiornate secondo le volontà comunicate dai soggetti interessati che hanno espresso specificamente la volontà di non essere contattati per prodotti/servizi di quel titolare del trattamento. In sostanza il diniego specifico deve essere considerato “maggiormente significativo” rispetto ad un consenso generico.
Il provvedimento ha interessato anche altri aspetti di sicuro interesse tra cui la corretta gestione dei diritti dei soggetti interessati.
Nel caso di specie, in diverse richieste di opposizione al trattamento dati per finalità di marketing venivano richiesti elementi aggiuntivi ai soggetti interessati, tra cui la richiesta di documenti di identità, rendendo più complesso l’esercizio del diritto di opposizione.
In sostanza, l’Autorità è intervenuta verificando le procedure di gestione dei diritti degli interessati rimarcando come processi eccessivamente complessi possono ledere il diritto del soggetto interessato ad avere una gestione “agevole” delle proprie richieste.
In particolare, nel caso concreto si è data evidenza di come da un lato sia una facoltà del titolare quella di predisporre procedure per la verifica dei soggetti richiedenti, ma dall’altro un’applicazione rigida di tale azione possa essere un “blocco” alla gestione fluida delle istanze degli interessati.
In modo ancor più puntuale Il Garante evidenzia che l’art. 12, par. 6 del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta.
Tale parametro della ragionevolezza è richiamato anche dal considerando 64, che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità dei richiedenti. Ciò al fine di evitare richieste sovrabbondanti volte a scoraggiare l’esercizio dei diritti ma anche al fine di evitare la raccolta e la conservazione di dati non necessari. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza.
In relazione alle tematiche connesse all’esercizio del diritto di opposizione ad azioni di marketing, l’Autorità evidenzia che è possibile operare una diversa quantificazione del rischio connesso alla revoca del consenso per finalità commerciali rispetto a quello derivante dall’esercizio di altri diritti (come, ad esempio, rettifica, cancellazione, portabilità, accesso).
In sostanza viene indicato che la valutazione del rischio deve essere effettuata in relazione ad ogni processo di trattamento e, nel caso concreto, devono essere prese in considerazione le conseguenze che la revoca del consenso per finalità commerciali possono avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti.
Viene riportato nel provvedimento anche un processo di ragionamento deduttivo basato su una logica concreta: una richiesta di revoca del consenso o di opposizione per finalità di marketing può verosimilmente ritenersi riconducibile al soggetto che la propone, essendo residuali gli interessi di terzi in tal senso (a differenza di quanto invece potrebbe accadere con l’esercizio di altri diritti).
Marco Trombadore – Consulente Privacy e DPO
