Il Regolamento UE n. 2016/679 (GDPR) prevede che il titolare del trattamento debba raccogliere il consenso per il trattamento dei dati personali ai sensi degli artt. 13 e 14 dello stesso Regolamento, prima di procedere all’invio di comunicazioni elettroniche.
Non è possibile, quindi, utilizzare dati (indirizzo mail), senza aver
ricevuto il consenso, anche se questi erano presenti su registri
pubblici e quindi accessibili da chiunque. Il problema si pone per le
aziende che hanno una mole di dati, raccolti nel corso della loro
attività, per i quali non sempre è stato raccolto il consenso, ci si
chiede quindi come agire per potersi adeguare al GDPR.
Comunemente, le aziende inviano una mail nella quale viene spiegato che la normativa privacy è cambiata e che loro continueranno a conservare il dato ed a contattarli a meno che il soggetto che ha ricevuto la mail non richieda la cancellazione del dato dai registri della società (opzione di opt out). Questo modus operandi non è sempre lecito e può rappresentare una sorta di “Harakiri” per le aziende.
Come Agire?
In primo luogo si devono dividere i dati elettronici in tre categorie:
- E-Mail raccolte da Registri pubblici, senza quindi aver avuto il consenso per l’utilizzo di questi dati;
- E-Mail e dati per i quali si è avuto un consenso pre-regolamento;
- E-Mail e dati raccolti in seguito a rapporti commerciali.
Per quanto riguarda la prima categoria di dati, le mail raccolte da
Registri Pubblici, per i quali non si è raccolto nessun tipo di
consenso, queste devono essere eliminate in quanto raccolte
illegittimamente. In questo caso, inviare la mail come indicato sopra,
potrebbe portare la società/azienda/studio ad esporsi al rischio che un
soggetto faccia una segnalazione al garante per violazione della privacy
con conseguente successivo controllo da parte dell’Autorità.
La seconda categoria di dati, raccolti tramite un consenso
pre-regolamento, è senz’altro più “sicura”. Per adeguarsi, comunque, al
nuovo regolamento è richiesto sempre il consenso al trattamento dei
dati, secondo il GDPR.
Questo processo, però, non è cosi semplice come si pensa.
L’azienda/studio/associazione avrà la possibilità di inviare una mail ai
soggetti per i quali si è avuto un consenso pre-regolamento, indicando
che a seguito del nuovo Regolamento loro continueranno a ricevere
comunicazioni da parte dell’azienda/studio/associazione, a meno che i
soggetti contattati non richiedano la cancellazione dei loro dati dai
registri della società. In allegato alla mail, si può trasmettere
l’informativa privacy che è visibile anche dal sito della società. Resta
inteso che è comunque necessario, anche in questo caso, richiedere il
consenso al trattamento dei dati ai sensi del Regolamento UE.
Dovendo trattare una quantità di dati significativa, l’adeguamento
richiederà del tempo comportando il rischio che la
società/azienda/studio sia soggetta ad un controllo ancor prima che
abbia raccolto il consenso da parte di tutti i soggetti. Il Garante
della privacy, anche sulla scorta di quanto stabilito dal d.lgs. n. 101/2018,
potrà tenere conto che la società ha avviato un processo di adeguamento
e che la raccolta dei consensi non è un processo facile e rapido.
Infine, per quanto riguarda la terza categoria di dati, ovvero i dati raccolti senza consenso, ma in seguito ad un’operazione commerciale, diversamente da quanto previsto per le categorie di dati al punto due, per le quali già era stato raccolto un consenso scritto pre-regolamento, in questo caso il “consenso” lo si può dimostrare proprio attraverso la precedente transazione conclusasi tra le parti, tenendo presente quanto stabilito dall’art. 130, comma 4 del codice della privacy rimasto immutato dopo la riforma.
Newsletter
Un caso particolare, è quello della newsletter, ovvero l’invio
telematico di comunicazioni in seguito alla richiesta dell’utente, per
la quale non è necessario un ulteriore consenso per il trattamento dei
dati personali, già richiesto durante la compilazione del modulo di
iscrizione alla newsletter. La cosa importante, in questo caso, è che
l’informativa sulla privacy sia presente e facilmente accessibile sul
sito.
I dati raccolti tramite l’iscrizione al servizio di newsletter
saranno utilizzati solo per l’invio delle comunicazioni previste dal
servizio e non per ulteriori trattamenti per i quali è richiesto il
consenso scritto che, si ricorda, deve sempre essere: specifico, libero
ed informato.
Questo servizio, può prevedere anche l’opzione di doppio opt-in. In questo modo, l’utente che si è registrato al servizio di newsletter, riceve una prima mail con il link per confermare l’iscrizione, e l’informativa privacy. In mancanza della conferma, l’utente non risulta “realmente” iscritto.
E’, inoltre, fondamentale la creazione di una modalità di cancellazione dei dati dal servizio di newsletter.
Articolo pubblicato Gianpiero Uricchio su Altalex il 13 dicembre 2018