Professione e Mercato

Marketing, quanto dura il consenso al trattamento dei dati personali?

Nel GDPR (come affermato nelle Linee guida 5/2020) non è specificato alcun termine: la durata dipenderà, dunque, dal contesto, dalla portata del consenso originale e dalle aspettative dell'interessato

di Riccardo Ajassa*

Tra le basi giuridiche previste dal GDPR all'art. 6 fa capolino anche il consenso, un termine ormai entrato nel linguaggio d'uso quotidiano di molti ma che, tuttavia, spesso viene abusato rispetto al suo significato originale, o quantomeno rispetto a quello indicato sul Regolamento UE.

Il Regolamento, in effetti, , definisce il "consenso" come "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento" (art. 4 n. 11).

Questo significa che il consenso è obbligatorio? No! La richiesta del consenso, così come la sua concessione da parte dell'utente, trova senso per una o più specifiche finalità. Va da sé che, in conseguenza della richiesta, il titolare del trattamento (ossia colui che prende le decisioni in merito alle modalità del trattamento) dovrà specificare le finalità per le quali si sta prestando il consenso.

MARKETING: GLI ELEMENTI DEL CONSENSO

L'articolo 4 n. 11 del Regolamento UE specifica quali siano gli elementi essenziali del consenso, i quali andranno analizzati singolarmente.

Libertà di consenso: l'interessato deve avere un'effettiva possibilità di scelta e di controllo sui propri dati, quindi se questa non è data (es. negando il servizio) il consenso non sarà valido.

Specificità: il consenso dell'interessato può essere dato in relazione ad una o più specifiche finalità (art. 6 lett. a)), ciò vuol dire dare la possibilità di scegliere liberamente tra le diverse finalità cui prestare il consenso. È sbagliato richiedere un solo consenso per più finalità diverse.

Informazione: il consenso deve essere informato, quindi l'interessato deve essere messo a conoscenza delle modalità del trattamento (per un approfondimento in merito si rinvia al paragrafo 3.3.1 delle linee guida EDPB).

Inequivocabile manifestazione di volontà: il consenso deve essere prestato tramite una dichiarazione o azione positiva inequivocabile da parte dell'interessato. Ciò vuol dire che l'interessato deve acconsentire tramite una dichiarazione verbale, che può essere registrata con mezzi elettronici, o con un'altra modalità attiva (come l'apposizione di una "X" e la firma di accettazione) tramite la quale non vi possano essere dubbi sul consenso stesso. Di conseguenza per un acquisto online non si potrà richiedere l'accettazione dei termini e le condizioni del servizio e l'invio di materiale pubblicitario (marketing) con lo stesso checkbox, ma dovranno essere fatte due richieste separate.

QUALI SONO LE ATTIVITÀ DI MARKETING?


Con attività di marketing si fa riferimento a tutte quelle azioni che sono volte alla pubblicizzazione di prodotti o servizi. Queste attività possono essere poste in essere tramite invio di email (come la newsletter) o tramite altri canali di comunicazione (sms, telefonate, etc).
Anche le pubblicità (i banner pubblicitari) presenti nei siti web potenzialmente possono rientrare nella categoria delle azioni di marketing per le quali è necessario il consenso, in particolare ciò avviene quando vi è una profilazione dell'utente, ossia quando vengono raccolte informazioni sulle preferenze, sugli acquisti, e altri dati tramite i quali creare un profilo dell'utente in modo da avere una pubblicità mirata. In questo caso il consenso è necessario, mentre nel caso opposto (ossia pubblicità "casuale" come quella nella televisione) non sarà necessario.

QUANTO DURA IL CONSENSO?

Ma una volta concesso il consenso, quanto dura?
Le " Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679 ", adottate dall'EDPB, al punto 110 affermano che "Il regolamento non specifica alcun termine per la durata del consenso."

Di conseguenza la sua durata "dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell'interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso". Al punto seguente, il comitato raccomanda la prassi di aggiornamento del consenso a intervalli regolari, così da garantire all'interessato il continuo aggiornamento sulle modalità e finalità del trattamento dei suoi dati e sulla possibilità di esercizio dei suoi diritti.

La questione ha interessato anche il Garante per la privacy, che a seguito di un reclamo relativo all'attività pubblicitaria tramite l'invio di sms, ha affermato che "il semplice decorso del tempo non è un parametro sufficiente per valutare l'idoneità della base giuridica" (Provvedimento del Garante del 15 ottobre 2020), in quanto il consenso (in particolare per le attività promozionali) "deve ritenersi separato e non condizionato dall'esistenza di un rapporto contrattuale ", quindi deve ritenersi valido a prescindere dal decorso del tempo (e in ogni caso fino alla revoca). Quanto detto vale a condizione che il consenso:

1. Sia stato correttamente acquisito in origine;
2. Sia ancora valido alla luce delle norme applicabili al momento del trattamento;
3. Sia ancora valido alla luce dei tempi di conservazione stabiliti dal titolare (indicati nell'informativa).

COME STABILIRE I TEMPI DI DURATA?

Come può un titolare stabilire i tempi di durata del consenso? La scelta non può essere fatta in base a motivazioni arbitrarie, ma devono basarsi su una valutazione fatta tenendo conto dei fattori per i quali è stato concesso il consenso. Oltre a questo possono essere stabilite delle tempistiche fisse per il suo rinnovo, per esempio ogni 2 anni o 5 anni in base alla tipologia di prodotto e all'interazione che si ha con l'interessato.

Es. un buon modo per stabilire la validità del consenso può essere il ciclo di vita del prodotto, oppure il fatto che l'interessato abitualmente acquista determinati prodotti.

Altre vie per stabilire i tempi di durata del consenso.
Un altro modo per stabilire la durata del consenso è il riferimento alle finalità, ossia se queste o le modalità del trattamento dei dati personali venissero modificate nel tempo (come il passaggio dalla e-mail all'sms o WhatsApp) sarà necessario richiedere nuovamente il consenso all'interessato tramite la comunicazione della nuova informativa.

A questo punto può sorgere un dubbio, "Come faccio a richiedere un nuovo consenso se non ho l'interessato di fronte a me?". Tale richiesta, se era già stato prestato il consenso, potrebbe essere basata sul legittimo interesse del titolare a conoscere la volontà di rinnovo o meno del consenso da parte dell'interessato e potrà essere fatta tramite (es.) l'invio di una mail.

____

*A cura di Riccardo Ajassa, Consulente privacy presso Nimble

Per saperne di piùRiproduzione riservata ©