CONSENSO VIA POP-UP: QUALI PROBLEMI
Consenso via pop-up: quali problemi

N.  Luglio 2018
        

a cura di Emanuela Pasino
Consultant, Colin & Partners

 

La raccolta del consenso per un utilizzo a fini marketing è senza dubbio un aspetto particolarmente delicato da un punto di vista normativo, in primis, ma anche strategico. Gli utenti sono sempre meno disponibili a subire contatti indesiderati e le segnalazioni all’Autorità Garante per la protezione dei dati personali possono sfociare in provvedimenti a discapito dell’attività.

E’ il caso di una Società online che, offrendo un servizio di comparazione di offerte, aveva acquisito dati online e da società terze utilizzandolo per telefonate, Sms o e-mail promozionali indesiderati. Il Garante, sulla base di numerose segnalazioni, ha attuato una preliminare verifica sul sito rilevando che l’utente, al momento dell’accesso, vedeva comparire un pop-up indicante anche caselle di dati da inserire (nome, cognome e cellulare) e una casella di spunta con la formula “Ho letto l’informativa privacy e acconsento al trattamento dei dati”; qualora quest’ultima non fosse stata selezionata, il sito non avrebbe raccolto i dati personali inseriti.

Nell’informativa a cui si riferisce il pop-up, venivano declinate diverse finalità di trattamento compreso l’invio di comunicazioni promozionali proprie e di terzi nonché la comunicazione dei dati a terzi (anche in paesi extra UE) per fini marketing. Tuttavia non è mai stato richiesto un consenso specifico e differenziato per tali finalità. Per questo motivo l’Autorità, in collaborazione con il Nucleo Speciale Privacy, ha avviato accertamenti presso la Società in questione per verificare la correttezza dei trattamenti effettuati sia per quanto riguarda i dati raccolti sul sito, sia per quelli acquisiti a titolo oneroso da terzi che, nel caso specifico, erano una significativa maggioranza.

Sul sito il form dedicato alla raccolta dei dati con relativa informativa è risultato conforme e provvisto di richiesta di consensi specifici e differenziati per le distinte finalità di marketing e di comunicazione a terzi. Il problema principale era dunque il pop-up che, stando ai chiarimenti presentati dalla Società, raccoglieva i dati solo per dare seguito alle richieste degli interessati nell’ambito dei servizi offerti.

Altro punto critico è risultata la gestione dei dati personali acquisiti dalle società terze cedenti rispetto ai quali non si era provveduto alla richiesta di consenso per il trattamento, affidandosi semplicemente all’idea che le imprese cedenti se ne fossero correttamente occupate in precedenza come indicato nei contratti stipulati.

Sotto il profilo del rispetto della disciplina in materia di protezione dei dati personali il Garante ha considerato in modo differenziato i due tipi di trattamento. Riguardo ai dati raccolti via web, la contestazione riguarda solo il citato form pop-up che non consente agli interessati di esprimere liberamente un consenso in merito alle attività promozionali. Per quanto la questione risalga al 2017 è noto come questo aspetto resti un punto cardine anche del GDPR.

Le conseguenza, nel caso specifico ma non solo, non si esauriscono nelle sanzioni amministrative comminate dal Nucleo Speciale Privacy, ma comportano che “i dati personali raccolti mediante il detto pop-up non possono essere utilizzati per finalità diverse da quelle di esecuzione del servizio offerto dalla Società.” Per poterli raccogliere nuovamente quest’ultima dovrà riformulare il form in modo che raccolga un consenso, “oltre che informato, anche libero, specifico e chiaramente formulato con riferimento alle finalità promozionali e di comunicazione/cessione a terzi, nonché documentato”.

Riguardo infine alla commistione nel database dei dati personali acquisiti tramite soggetti terzi, non essendo stati forniti elementi atti a provarne la lecita raccolta e retention, essa è apparsa illecita ed anche il loro trattamento ulteriore vietato alla Società. A quest’ultima è stato inoltre prescritto di avvisare, i soggetti terzi ai quali ha comunicato/ceduto liste di tali dati personali, che i medesimi non possono essere utilizzati in assenza del necessario consenso specifico, oltre che libero, informato e documentato, degli interessati.