Il Regolamento UE n. 2016/679 (GDPR) prevede che il titolare del trattamento debba raccogliere il consenso per il trattamento dei dati personali ai sensi degli artt. 13 e 14 dello stesso Regolamento, prima di procedere all’invio di comunicazioni elettroniche.

Non è possibile, quindi, utilizzare dati (indirizzo mail), senza aver ricevuto il consenso, anche se questi erano presenti su registri pubblici e quindi accessibili da chiunque. Il problema si pone per le aziende che hanno una mole di dati, raccolti nel corso della loro attività, per i quali non sempre è stato raccolto il consenso, ci si chiede quindi come agire per potersi adeguare al GDPR. 

Comunemente, le aziende inviano una mail nella quale viene spiegato che la normativa privacy è cambiata e che loro continueranno a conservare il dato ed a contattarli a meno che il soggetto che ha ricevuto la mail non richieda la cancellazione del dato dai registri della società (opzione di opt out). Questo modus operandi non è sempre lecito e può rappresentare una sorta di “Harakiri” per le aziende.

Come Agire?

In primo luogo si devono dividere i dati elettronici in tre categorie: 

  1. E-Mail raccolte da Registri pubblici, senza quindi aver avuto il consenso per l’utilizzo di questi dati;
  2. E-Mail e dati per i quali si è avuto un consenso pre-regolamento;
  3. E-Mail e dati raccolti in seguito a rapporti commerciali.

Per quanto riguarda la prima categoria di dati, le mail raccolte da Registri Pubblici, per i quali non si è raccolto nessun tipo di consenso, queste devono essere eliminate in quanto raccolte illegittimamente. In questo caso, inviare la mail come indicato sopra, potrebbe portare la società/azienda/studio ad esporsi al rischio che un soggetto faccia una segnalazione al garante per violazione della privacy con conseguente successivo controllo da parte dell’Autorità. 

La seconda categoria di dati, raccolti tramite un consenso pre-regolamento, è senz’altro più “sicura”. Per adeguarsi, comunque, al nuovo regolamento è richiesto sempre il consenso al trattamento dei dati, secondo il GDPR. 

Questo processo, però, non è cosi semplice come si pensa. L’azienda/studio/associazione avrà la possibilità di inviare una mail ai soggetti per i quali si è avuto un consenso pre-regolamento, indicando che a seguito del nuovo Regolamento loro continueranno a ricevere comunicazioni da parte dell’azienda/studio/associazione, a meno che i soggetti contattati non richiedano la cancellazione dei loro dati dai registri della società. In allegato alla mail, si può trasmettere l’informativa privacy che è visibile anche dal sito della società. Resta inteso che è comunque necessario, anche in questo caso, richiedere il consenso al trattamento dei dati ai sensi del Regolamento UE.

Dovendo trattare una quantità di dati significativa, l’adeguamento richiederà del tempo comportando il rischio che la società/azienda/studio sia soggetta ad un controllo ancor prima che abbia raccolto il consenso da parte di tutti i soggetti. Il Garante della privacy, anche sulla scorta di quanto stabilito dal d.lgs. n. 101/2018, potrà tenere conto che la società ha avviato un processo di adeguamento e che la raccolta dei consensi non è un processo facile e rapido.

Infine, per quanto riguarda la terza categoria di dati, ovvero i dati raccolti senza consenso, ma in seguito ad un’operazione commerciale, diversamente da quanto previsto per le categorie di dati al punto due, per le quali già era stato raccolto un consenso scritto pre-regolamento, in questo caso il “consenso” lo si può dimostrare proprio attraverso la precedente transazione conclusasi tra le parti, tenendo presente quanto stabilito dall’art. 130, comma 4 del codice della privacy rimasto immutato dopo la riforma.

Newsletter

Un caso particolare, è quello della newsletter, ovvero l’invio telematico di comunicazioni in seguito alla richiesta dell’utente, per la quale non è necessario un ulteriore consenso per il trattamento dei dati personali, già richiesto durante la compilazione del modulo di iscrizione alla newsletter. La cosa importante, in questo caso, è che l’informativa sulla privacy sia presente e facilmente accessibile sul sito.

I dati raccolti tramite l’iscrizione al servizio di newsletter saranno utilizzati solo per l’invio delle comunicazioni previste dal servizio e non per ulteriori trattamenti per i quali è richiesto il consenso scritto che, si ricorda, deve sempre essere: specifico, libero ed informato.

Questo servizio, può prevedere anche l’opzione di doppio opt-in. In questo modo, l’utente che si è registrato al servizio di newsletter, riceve una prima mail con il link per confermare l’iscrizione, e l’informativa privacy. In mancanza della conferma, l’utente non risulta “realmente” iscritto.

E’, inoltre, fondamentale la creazione di una modalità di cancellazione dei dati dal servizio di newsletter.

Articolo pubblicato Gianpiero Uricchio su Altalex il 13 dicembre 2018

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *