E’ stata recentemente pubblicata sul sito del Garante Privacy l’ordinanza ingiunzione doc. web n. 4243173, del 11 Giugno 2015, ed è una lettura utile, poiché, ribaltandone la prospettiva, offre un sunto delle principali regole che presiedono alla raccolta dei dati personali sul web, con particolare attenzione alla strutturazione dei form di consenso quando questo sia raccolto attraverso caselle in cui apporre i flag.
In realtà il provvedimento non dice nulla di nuovo agli addetti ai lavori, ma illustra analiticamente e in modo molto sintetico tutti gli step che dovrebbero presiedere alla corretta acquisizione dei dati degli utenti destinati ad essere utilizzati per finalità di marketing. La vicenda era già stata oggetto di altri provvedimenti del Garante, e proprio il fatto di potersi limitare a richiamare solo i tratti salienti dei rilievi già mossi, rende il provvedimento una sorta di “bignamino” delle raccolte dei dati personali sul web.
L’obbligo di esprimere il consenso per completare la registrazione
Non sfugga, data la sintesi che contraddistingue l’ordinanza ingiunzione, come una delle prime censure mosse dal Garante si appunti proprio sulla diversa finalità che muove l’utente nella fase di iscrizione ad un sito, rispetto allo scopo che si prefigge, invece, il titolare; infatti, il Garante osserva che, sebbene gli utenti si iscrivessero al sito per candidarsi a posizioni lavorative, non era possibile completare la registrazione (seppure gratuita) al sito, se non si acconsentiva al trattamento dei dati per finalità di marketing.
In particolare, per poter perfezionare la procedura di registrazione, era obbligatorio prestare i consensi riferiti alla profilazione e al ricevimento di comunicazioni commerciali da parte di aziende terze, e ciò, come rileva il Garante, in violazione di quanto previsto dall’art. 23 del Codice della Privacy.
I flag pre-impostati
Inoltre il form di registrazione appariva così strutturato:
gli utenti/interessati trovavano pre-impostati, mediante appositi flag, tre distinti consensi al trattamento con specifico riferimento alle finalità di:
- invio di informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, analisi statistiche e sondaggi di opinione da parte del titolare;
- attività di analisi e miglioramento dell’offerta e dei servizi del sito in linea con le preferenze e gli interessi dell’utente/interessato;
- invio di informazioni promozionali mediante posta, telefono, posta elettronica, sms, mms, analisi statistiche e sondaggi di opinione da parte di aziende terze.
Il Garante ha contestato tale strutturazione, non solo perché l’acquisizione del consenso non era preceduta da idonea informativa, ma anche perché ha ritenuto che il flag pre-impostato condizionasse l’utente e non gli consentisse di esprimere un consenso libero.
Pertanto è anche l’aver pre-impostato il flag nelle caselle a viziare di per sé la registrazione del consenso e non solo il fatto che alcuni trattamenti dovessero necessariamente essere accettati per completare la procedura di registrazione.
Il procedimento sanzionatorio
In ragione di ciò, al titolare veniva contestata la violazione amministrativa prevista dall’art. 162, comma 2-bis del Codice della Privacy, in relazione all’art. 23 del medesimo Codice (che presiede alla corretta acquisizione del consenso).
Oltre a ciò il Garante dà atto anche che era stato accertato che il Titolare aveva reso una informativa inidonea perché carente degli elementi tassativamente previsti dall’articolo 13 del Codice della Privacy e in ragione di ciò gli era stata contestata la violazione amministrativa prevista dall’art. 161 del Codice, ma il trasgressore aveva effettuato il pagamento in misura ridotta (come previsto dall’art. 16 della legge 24 novembre 1981, n. 689) estinguendo così il relativo procedimento sanzionatorio: pertanto gli aspetti relativi a tale sanzione non vengono ulteriormente approfonditi.
In ordine alla sanzione amministrativa relativa all’articolo 162 comma 2 bis, invece, il titolare decideva di non procedere al pagamento in misura ridotta, ma dispiegava le proprie difese, evidenziando, da una parte, come il sito fosse stato realizzato da una società esterna, che aveva provveduto ad impostare i flag, e, dall’altra, come le comunicazioni inviate fossero rappresentate da e-mail con cui l’operatore si limitava a richiedere il consenso per il successivo inoltro di comunicazioni commerciali, indicando a tal fine esclusivamente i propri dati identificativi e ragionevolmente, entro limiti rigorosi, anche il proprio settore di attività; il Titolare da ciò deduceva come esse non rientrassero in alcun modo nella previsione di cui all’art. 130 co. 1 e 2 del Codice sulla Privacy, e non fossero in contrasto con gli artt. 23 co. 3, 162 co. 2 e 167 D.Lgs. 196/2003.
Il Garante ha rigettato entrambe le argomentazioni:
- quanto alla riconducibilità delle comunicazioni elettroniche al perimetro dell’articolo 130 del Codice della Privacy ha richiamato il proprio provvedimento n. 262 del 20 settembre 2012 (doc. web n. 2094932) che evidenziava la necessità di acquisire il preventivo consenso informato;
- quanto all’aver reso l’espressione del consenso obbligatoria per poter completare la procedura di iscrizione al sito e l’aver pre-impostato i flag in senso positivo (acconsento), ha evidenziato che dette circostanze configuravano una violazione dell’art. 23 del Codice.
Per il Garante, “Il fatto, non contestato, che la manifestazione del consenso fosse predisposta mediante la pre-impostazione del “flag” sulla dicitura “Acconsento”, era idoneo a condizionare la volontà dell’interessato, così come peraltro più volte asserito dall’Autorità in diversi provvedimenti (già con provv. 10 maggio 2006 doc. web n. 1298709 e più di recente, tra gli altri, con provvedimento del 4 luglio 2013 doc. web n. 2542348 recante Linee guida in materia di attività promozionale e contrasto allo spam)” . Sulla scorta dei tali deduzioni ha quindi ingiunto al trasgressore il pagamento della somma di Euro 40.000,00.
Le linee guida in materia di attività promozionale e contrasto allo spam
L’accertamento compiuto nei confronti del destinatario della sanzione in commento risale al 2012. E le difese dispiegate dal titolare, seppure rigettate, ponevano l’accento su aspetti che, probabilmente, non erano del tutto chiari a chi non fosse più che esperto della materia; infatti dette indicazioni si traevano per lo più da provvedimenti sanzionatori o da indicazioni provenienti dal Gruppo di lavoro ex art. 29: il Garante stesso, trovandosi a citare un proprio precedente, richiama un provvedimento sanzionatorio del 2006.
Dopo le linee guida emanate il 4 luglio 2013, invece, non resta spazio residuo per i dubbi:
Al punto 2.6, sotto la rubrica “I requisiti di validità del consenso per la finalità di invio di comunicazioni promozionali” si legge chiaramente:
“non è corretta la predisposizione di moduli in cui la casella (c.d. “check-box”) di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag) (v. provv. “Consenso al trattamento in Internet e utilizzo dei dati per finalità promozionali”, 10 maggio 2006, doc. web n. 1298709)”.
E anche in ordine alla necessità di acquisire il consenso non resta molto spazio per manifestare dubbi in ordine al contenuto delle comunicazioni:
Al punto 2.5 rubricato “L’obbligo del consenso preventivo (c.d. opt-in)” il Garante chiarisce che:
“Ai trattamenti effettuati ai fini promozionali tramite strumenti automatizzati o a questi equiparati si applica l’art. 130, commi 1 e 2, del Codice, in base al quale l’utilizzo di tali strumenti per le finalità di marketing è consentito solo con il consenso preventivo del contraente o utente (c.d. opt-in).
Quindi, ai fini della legittimità della comunicazione promozionale effettuata, non è lecito, con la medesima, avvisare della possibilità di opporsi a ulteriori invii, né è lecito chiedere, con tale primo messaggio promozionale, il consenso al trattamento dati per finalità promozionali.”
Per completezza va aggiunto che accanto alle linee guida sopra indicate il Garante ha emanato anche un provvedimento volto a regolare l’acquisizione del consenso, che appare imprescindibile se si vogliono trattare dati per finalità di marketing con le modalità indicate dall’art. 130 del Codice della Privacy (Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto – 15 maggio 2013 [doc. web. 2543820]).
Nonostante, pertanto, ormai l’orientamento dell’Autorità appaia più che limpido non è infrequente imbattersi in moduli di registrazione con richieste di consenso non specifiche e accompagnate da caselle con flag pre-impostati.
Come impostare i flag?
Innanzi tutto occorre prendere atto che, se si vogliono raccogliere dati personali per finalità di marketing, il rispetto della normativa in tema di dati personali è imprescindibile.
Le sanzioni amministrative irrogate per la violazione dell’articolo 23 del Codice della Privacy possono subire anche aumenti significativi, ai sensi dell’articolo 164 bis del medesimo Codice, e per di più concorrono con le norme penali (cfr art. 167 del D.Lgs. 196/03) che puniscono la medesima condotta. Per evitare di incorrere in spiacevoli sorprese, pertanto, sarà bene impostare i flag avendo bene a mente le normativa di riferimento. A parere di chi scrive, per impostare bene i moduli di consenso on line, è bene seguire alcuni semplici step:
- La prima cosa da fare, è individuare e distinguere le finalità del trattamento: se vi è discrepanza tra la finalità perseguita dall’utente e quella perseguita dal titolare del trattamento (l’esempio più classico: l’utente vuole usufruire di un servizio, il titolare costituire una banca dati per finalità di marketing) il consenso non può essere acquisito validamente; l’utente non deve mai essere costretto ad accettare un trattamento ulteriore rispetto a quello necessario per usufruire del servizio che richiede, soprattutto quando il trattamento che gli si vuol fare acconsentire risponda a finalità proprie del solo titolare. Anche se “preflaggare” i consensi può apparire al titolare come una modalità più agevole ed efficace per reperire l’assenso ai trattamenti, è bene aver ben chiaro che questa modalità condurrà inesorabilmente al popolamento di una banca dati inutilizzabile, esponendo il titolare stesso alle relative sanzioni.
- Una volta individuate correttamente le finalità e i trattamenti correlati o subordinati al servizio richiesto (che non richiedono di essere acconsentiti), il titolare dovrà illustrare chiaramente le modalità attraverso cui i dati saranno trattati e i soggetti ai quali verranno comunicati e indicare le ulteriori finalità per le quali vuole acquisire i dati personali. In altre parole egli dovrà rendere l’informativa per tutti i trattamenti che si prefigge (anche per quelli che non necessitano di consenso): l’informativa, per essere idonea, deve contenere tutti gli elementi previsti sia dall’articolo 13 del Codice della Privacy, sia dai provvedimenti a carattere generale emessi dall’Autorità Garante sulle materie oggetto di trattamento. E’ importante che il momento in cui viene resa l’informativa preceda sempre quello dell’acquisizione del consenso (o il trattamento, nelle ipotesi in cui non è necessario acquisire il consenso).
- Solo una volta che l’utente abbia ricevuto l’informativa, il titolare potrà procedere alla registrazione del consenso dell’interessato (o alla sua acquisizione in forma scritta nel caso in cui il trattamento riguardi dati sensibili). Se ciò avviene tramite flag, affinché il consenso sia liberamente prestato, occorre che sia l’interessato a barrare le caselle, che non potranno mai essere “preflaggate” dal Titolare. In altre parole occorre un comportamento attivo e inequivocabile dell’interessato: non è sufficiente un atteggiamento passivo e inerte, anzi, per il Garante, come si è visto, costringere l’interessato a “deflaggare” una casella per negare il consenso equivale a condizionarne le scelte.
- Accanto ad ogni casella vanno indicate sinteticamente le finalità per cui il consenso viene prestato: la regola generale è che ad ogni finalità corrisponde un consenso, salvo che sia diversamente previsto dalla legge o dai provvedimenti generali del Garante (in senso più o meno restrittivo). Ad esempio, nel caso delle finalità di marketing non è sufficiente un solo consenso, ma occorre che il consenso venga prestato in maniera “granulare”, tenendo conto delle specifiche modalità attraverso cui i dati saranno trattati, salvo le semplificazioni previste dal Garante stesso nel provvedimento generale del 2013.
- Tali adempimenti non esauriscono di per sé tutti gli oneri che gravano sul titolare: ad esempio, se il titolare profila gli utenti del sito dovrà anche provvedere a notificare il trattamento, se utilizza dei cookie, dovrà rispettare anche le regole dettate per tali strumenti.
Solo rispettando la normativa e le prescrizioni dell’Autorità Garante per la protezione dei dati personali sarà possibile per l’interessato prestare un valido consenso, e per il titolare disporre di una banca dati per finalità di marketing correttamente formata.
Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.