Una delle tante domande che, a seguito dell’approvazione del GDPR, si stanno ponendo le aziende che attualmente trattano dati personali è se dal 25 maggio 2018 debbano fornire agli interessati una nuova informativa privacy conforme agli artt. 13 e 14 del GDPR e, soprattutto, se debbano raccogliere un nuovo consenso. Insomma cosa si dovrà fare in tema informativa e consenso al trattamento dei dati personali?
Informativa e consenso al trattamento dei dati personali: quale la procedura corretta?
Al fine di dissipare gli equivoci e avere chiarimenti interpretativi, P4I-Partner4Innovation ha deciso di partecipare alla consultazione pubblica sulle recenti Linee Guida sulla trasparenza ed il consenso emesse dall’Article 29 Data Protection Working Party (di seguito, “WP29”, organo consultivo indipendente istituito in conformità all’articolo 29 della Direttiva 95/46/CE sulla protezione dei dati personali).
Per quanto riguarda il consenso, nel considerando 171 del GDPR, è previsto: “qualora il trattamento si basi sul consenso a norma della direttiva 95/46, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare possa proseguire il trattamento…”.
Da notare che il consenso può ritenersi espresso secondo modalità conformi alle condizioni del regolamento, se è:
- informato;
- specifico per ciascuna finalità del trattamento;
- libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi (l’esecuzione di un contratto, compresa la prestazione di un servizio, non deve essere subordinata ad un consenso non necessario per tale esecuzione);
- inequivocabile: deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile, la richiesta di consenso, laddove inserita nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere chiaramente distinguibile dalle altre materie; non è ammesso il consenso tacito o presunto e non costituiscono valido consenso caselle pre-spuntate su un modulo.
Il titolare del trattamento deve informare l’interessato della sua facoltà di revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha accordato e dimostrare che il consenso al trattamento dei dati personali sia stato prestato.
L’Autorità per la protezione dei dati, nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali”, ha precisato che un consenso “raccolto precedentemente al 25 maggio 2018”, se ha tutti i requisiti sopra indicati (che appaiono sostanzialmente analoghi a quelli richiesti dal Garante nei suoi vari provvedimenti sul tema [1]), “resta valido” con il GDPR. “In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica [2]..”.
Anche il WP29, nel draft delle “Guidelines on Consent under Regulation 2016/679” (WP259), precisa che i titolari che stanno attualmente trattando i dati sulla base di consensi raccolti in conformità alle normative privacy nazionali non devono automaticamente rinnovarli in vista del GDPR: “Consent which has been obtained to date continues to be valid in so far as it is in line with the conditions laid down in the GDPR”.
Il consenso non deve quindi essere rinnovato, ad esempio, se sono disponibili meccanismi che consentano agli interessati di revocarlo facilmente e se è stato chiaramente espresso dall’interessato. Deve essere invece nuovamente richiesto se era tacito o implicito, come nel caso di caselle preselezionate, o se i titolati non sono in grado di dimostrare che un valido consenso è stato ottenuto e di aver informato gli interessati sulle modalità di revoca dello stesso.
Inoltre, secondo il WP29, il consenso deve ritenersi valido anche se nella sua clausola non sono riportate tutte le informazioni di cui agli articoli 13 e 14 del GDPR, che devono essere invece menzionate nell’informativa privacy [3].
In virtù di quanto sopra, sembra potersi ritenere – e su questo abbiamo chiesto esplicita conferma al WP29 partecipando alla consultazione pubblica – che, laddove le aziende abbiano acquisito i consensi degli interessati al trattamento dei loro dati personali in conformità al Codice Privacy e ai vari provvedimenti del Garante (che hanno sostanzialmente “anticipato” le previsioni del GDPR), non sarebbero tenute a raccoglierli nuovamente.
Non sembra potersi giungere invece ad analoga conclusione per quanto riguarda le informative privacy redatte ai sensi dell’art. 13 del Codice Privacy.
Difatti nel draft delle “Guidelines on transparency under Regulation 2016/679” (WP260), è indicato: “In accordance with Recital 171 of the GDPR, where processing which is already under way prior to 25 May 2018, a data controller should ensure that it is compliant with its transparency obligations as of 25 May 2018 (along with all other obligations under the GDPR). This means that prior to 25 May 2018, data controllers should revisit all information provided to data subjects on processing of their personal data (for example in privacy statements/ notices etc.) to ensure that they adhere to the requirements in relation to transparency which are discussed in these guidelines”.
Sembra quindi che, per i trattamenti iniziati prima del 25 maggio, sia necessario informare nuovamente gli interessati fornendo tutte le informazioni di cui agli artt. 13 e 14 del GDPR, ivi inclusi la base giuridica e il periodo di conservazione dei dati, non richiesti dall’art. 13 del Codice Privacy.
Dati gli oneri che una tale interpretazione comporterebbe per le aziende, abbiamo chiesto al WP29 anche chiarimenti sull’effettiva necessità di fornire nuovamente l’informativa privacy agli interessati per i trattamenti iniziati prima del 25 maggio 2018.
Riteniamo che il GDPR rappresenti un deciso passo avanti sotto diversi profili e potrebbe rappresentare un vero punto di svolta su tutte le tematiche della data privacy e della data protection. È auspicabile che, riguardo all’informativa e consenso al trattamento dei dati personali, non si arrivi a pretendere che lo stesso comporti la riproposizione di milioni di informative in tutta Europa con costi assurdi e con altrettanta inutile burocrazia.
Trattamento dei dati personali, GDPR e Direct Marketing: il consenso dell’interessato è ancora necessario?
Una delle novità del GDPR è la possibilità (contemplata nel considerando 47) di considerare “interesse legittimo” del titolare il trattamento dei dati personali per finalità di marketing diretto.
Ma cosa è il legittimo interesse?
È una delle sei condizioni che legittimano il trattamento e cioè:
- il consenso dell’interessato
- l’esecuzione di un contratto con l’interessato o di misure precontrattuali adottate su sua richiesta;
- l’adempimento di un obbligo legale;
- la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- l’esecuzione di un compito di interesse pubblico;
- il legittimo interesse del titolare o di terzi.
Il Titolare del trattamento può però ricorrere al legittimo interesse quale base giuridica solo se non prevalgono gli interessi o i diritti e le libertà fondamentali dell’interessato: deve quindi effettuare un bilanciamento fra l’interesse legittimo (suo o di terzi) e gli interessi e i diritti dell’interessato. Il risultato del test di bilanciamento determinerà se può basare o meno il trattamento su tale.
Si tratta di un concetto del tutto nuovo per l’ordinamento italiano. Nell’impianto normativo del Codice Privacy, infatti, l’effettuazione del test di bilanciamento di interessi viene demandata all’Autorità Garante, a cui spetta valutare la sussistenza o meno di un legittimo interesse sulla base dei principi sanciti dalla legge, mentre il GDPR, in ossequio al principio di accountability, l’attribuisce al titolare.
Direct Marketing come interesse legittimo
Cosa comporta il fatto che il trattamento dei dati personali per finalità di marketing diretto possa essere considerato “interesse legittimo” del titolare?
Che il consenso degli interessati non sarebbe più necessario per effettuare attività di direct marketing.
Invero, come messo in rilievo da autorevole dottrina, la considerazione del marketing diretto come legittimo interesse potrebbe essere anche compatibile con il nuovo contesto normativo, alla luce delle disposizioni del GDPR circa la “ragionevole aspettativa” degli interessati sull’ulteriore uso dei loro dati, nonché degli obblighi di accountability del titolare e dei principi di privacy by design e by default.
Ma, trattandosi di un principio del tutto rivoluzionario rispetto agli orientamenti sinora prevalenti in ambito nazionale ed europeo in materia di pubblicità commerciale ed essendo comunque contenuto solo in un considerando e in forma di mera possibilità, impone grande cautela agli interpreti.
Infatti, non si può non considerare che, ai sensi dell’art. 13 e 5.3 della Direttiva 2002/58/CE (cd. Direttiva ePrivacy) – che (allo stato e fin quando non sarà approvato il Regolamento destinato a sostituirla [4]) disciplina specificamente il trattamento dei dati personali nel settore delle comunicazioni elettroniche – il consenso è sempre la regola per le attività di marketing più intrusive, come «email direct marketing» e «automated called machines», nonché per effettuare «Behavioural advertising» basato su tecniche di tracciamento come i cookie. Solo come eccezione, relativamente alle esistenti relazioni con i clienti in cui un titolare pubblicizza propri prodotti o servizi ‘simili’, è sufficiente fornire solo un “an (unconditional) opportunity to ‘opt-out’ without justification” [5]. Specularmente, il nostro Codice Privacy, in attuazione della Direttiva e-Privacy, prevede, quale eccezione alla regola generale dell’obbligo dell’acquisizione preventiva del consenso per l’invio di comunicazioni promozionali con gli strumenti automatizzati (telefonate pre-registate, e-mail, fax, sms) di cui all’art. 130, co. 1 e 2, il cd. “soft spam” di cui al 4° comma dello stesso articolo per promuovere via posta elettronica prodotti o servizi analoghi a quelli già acquistati, purché in ogni comunicazione il cliente sia informato della possibilità di opporsi in qualunque momento al trattamento in maniera agevole e gratuitamente [6].
Secondo il Data Protection Working Party Article 29 (“WP29”) [7], il consenso è «quasi sempre» necessario anche quando un’organizzazione intende analizzare o prevedere le abitudini, i comportamenti e le preferenze personali dei clienti al fine di assumere «misure e decisioni» su di loro [8]; monitorarne le attività on-line or off-line, combinare grandi quantità di loro dati, creare – e, tramite l’intermediazione di data brokers, anche commercializzare – complessi profili delle personalità e delle preferenze dei clienti stessi.
Il legittimo interesse potrebbe invece rappresentare una condizione di legittimità adeguata per il direct marketing meno invasivo (soggetto in ogni caso ad adeguate misure di sicurezza e all’esito del test di bilanciamento), ad esempio nelle ipotesi in cui i dati siano stati raccolti in un contesto e nell’ambito di una relazione in cui l’interessato potrebbe “ragionevolmente aspettarsi” che i dati verranno utilizzati anche per finalità di marketing diretto, al fine di offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti sia online che offline. A tale proposito, nell’“Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”, il Gruppo dei Garanti Europei ha previsto espressamente che i titolari possono avere un interesse legittimo a conoscere le preferenze dei loro clienti per poter personalizzare meglio le loro offerte e, in definitiva, offrire prodotti e servizi in grado di soddisfare meglio le esigenze e i desideri dei clienti stessi.
L’interesse legittimo può quindi secondo il WP29 costituire un fondamento giuridico adeguato da utilizzare per alcuni tipi di attività di marketing, sia online che offline, purché sussistano adeguate garanzie (compreso, fra l’altro, un meccanismo efficace che permetta di opporsi a tale trattamento).
Il punto è: fino a dove può spingersi l’interesse legittimo del titolare nel conoscere le preferenze dei suoi clienti per poter meglio indirizzare la pubblicità sui propri beni e servizi o personalizzare le proprie offerte creando beni e servizi che meglio soddisfano le loro necessità? Quali sono invece le pratiche di marketing più sofisticate e intrusive che richiedono uno specifico consenso degli interessati ai sensi dell’art. 6.1, (a) of the GDPR?
Il problema si pone, in particolare, in relazione a quelle pratiche di marketing più nuove (“targeted behavioural advertisements on smart phones and computer screens”; “advertisement … embedded in smart objects linked within the internet of things”), che consentono di tracciare sempre più frequentemente le attività dei consumatori online e offline ed analizzarle con sistemi automatizzati più sofisticati.
Ed è lo stesso Gruppo dei Garanti Europei, nell’Opinion 06/2014 sul legittimo interesse sopra citata [9], a statuire che sarebbe desiderabile avere indicazioni in proposito.
Pertanto, P4I-Partner4Innovation ha chiesto proprio al WP29, partecipando alla consultazione pubblica da quest’ultimo indetta sulle recenti Linee Guida sulla trasparenza e il consenso, di esprimersi chiaramente – in attesa e in vista dell’approvazione del Regolamento ePrivacy – sui casi in cui il Titolare può ricorrere, per effettuare attività di marketing, all’interesse legittimo, comunque soggetto al test di bilanciamento di interessi, esemplificando le ipotesi di marketing più invasive che richiedono invece il consenso degli interessati.
Aggiornamento 2020
Secondo le linee guida recentemente stabilite dal WP29 (o più correttamente dallo European Data Protection Board – Edpb che ha sostituito il Working Party 29) il titolare ha la responsabilità di analizzare ogni trattamento per fare la valutazione dei rischi e quanto il rischio stesso sia elevato.
Sono, di fatto, distinte due valutazioni d’impatto una a monte e l’altra quando si sta facendo trattamento dei dati, il tutto in un processo continuo nel tempo.
[1] Si vedano anche, ex multis, il Provvedimento sullo Spamming del 29 maggio 2003 [29840], le «Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013», doc web n.2542348; provv. 11 ottobre 2012, doc. web n. 2089777; provv. 19 maggio 2011, doc. web n. 1823148; provv. 12 maggio 2011, doc. web n. 1813953; provv. 7 ottobre 2010, doc. web n. 1763037; provv. 15 luglio 2010, doc. web n. 1741998; ‘Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – 24 febbraio 2005, doc. web n. 1103045.
[2] “In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2)”
[3] Così si legge nelle Linee Guida in commento pag. 15, par. 3.3.2.: «…. valid “informed” consent can exist, even when not all elements of Articles 13 and/or 14 are mentioned in the process of obtaining consent (these points should of course be mentioned in other places, such as the privacy notice of a company) ».
[4] Il Regolamento e-Privacy, attualmente all’esame delle istituzioni europee, dovrebbe sostituire la Direttiva al fine di “assicurarne la coerenza con il GDPR” (come previsto nel considerando 173 di quest’ultimo).
[5] Così, il WP29, nell’“Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”, III. 3.6., pag. 46.
[6] Il titolare del trattamento può utilizzare, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato stesso nel contesto di una precedente vendita di un prodotto o di un servizio, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso (v. punto 2.7, delle Linee Guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013” (doc. web. 2542348)).
[7] nell’Opinion 03/2013 on purpose limitation, III.3.1. pag. 25-26.
[8] Poiché tali finalità sono incompatibili con la finalità iniziale della raccolta e comportano una rilevante intrusione nella “privacy” dei clienti, gli interessi e i diritti degli interessati prevalgono sull’interesse del titolare.
[9] Cfr. sezione III.3.6, pag. 46/47, laddove in relazione alle nuove prtaiche di marketing precisa “it would be desirable to have guidance on which situations require Article 7(a) consent, and for which situations a balance under Article 7(f) is achieved, including an opportunity to opt-out”.
