In questi mesi abbiamo ravvisato la necessità di fermarci per un breve ragionamento su un aspetto della normativa sulla protezione dei dati personali che potrebbe sembrare banale, ma sul quale abbiamo notato molta confusione: il consenso al trattamento dei dati personali. Prima dell’entrata in vigore del Regolamento generale sulla protezione dei dati personali, nel decreto legislativo 196/03 (Codice della Privacy), il consenso era posto al centro dell’analisi della liceità del trattamento, apparendo come condizione basilare di liceità.
Privacy International, l'ente londinese che si batte per una maggiore privacy degli utenti, ha scoperto che molte applicazioni per cellulari, che usano il sistema operativo Android, inviano i dati personali a Facebook senza il permesso degli utenti. Non un fatto da poco.
Quando un’azienda decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati che spesso si limitano a proporle come “conformi al GDPR” senza farsi troppi scrupoli, è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, altrimenti si rischia di andare incontro a sanzioni salate. Lo ha imparato a sue spese la EDF, che in Francia è la prima azienda di energia elettrica.
Caricare foto sui profili social senza consenso espone a rischio di sanzioni privacy. È quanto desumibile da una sentenza olandese, i cui principi valgono in Italia e in tutti i paesi dell'Ue in cui si applica il Regolamento sulla protezione dei dati n. 2016/679 (Gdpr). La pronuncia della corte olandese di Gederland del 13 maggio 2020, resa nel giudizio C/05/368427, accogliendo il ricorso della mamma di un minore di 16 anni, ha ordinato a una nonna di rimuovere le foto di quest'ultimo da Facebook e da Pinterest, fissando una penale giornaliera (50 euro fino a un massimo di mille) in caso di ritardo nella cancellazione.
Sarà probabilmente capitato almeno una volta anche a voi di essere aggiunti a un gruppo di WhatsApp senza che nessuno ve ne chieda il permesso, e non sempre l’amministratore che vi include vi fa una gradita sorpresa. D’altra parte l’app di messaggistica di Facebook neanche vi facilita nell’evitare tali ingerenze nella vostra sfera privata che talvolta possono risultare pure fastidiose, perché per impostazione predefinita chiunque possieda il vostro numero di telefono può aggiungervi in un gruppo da questo amministrato. Ma in certi casi chi vi inserisce nel proprio gruppo senza chiedervi il consenso può essere sanzionato per violazione della privacy.
Una compagnia di assicurazioni tedesca aveva organizzato dei concorsi a premi, ma ai partecipanti non aveva chiesto solo i loro dati personali di contatto, ma anche altre informazioni come i dettagli della loro assicurazione sanitaria con lo scopo di utilizzarli a fini pubblicitari, senza però aver ottenuto un regolare consenso dagli interessati.
I due concetti di "consenso informato" di tipo sanitario e "consenso al trattamento dei dati personali" (cd. "consenso privacy") fanno entrambi riferimento a espresse manifestazioni di volontà del soggetto dichiarante, tuttavia rappresentano due istituti giuridici nettamente differenti.
Un contratto di fornitura di servizi di telecomunicazione non può dimostrare che il cliente abbia implicitamente prestato il suo consenso alla conservazione dei dati personali della sua carta d'identità, se la casella della clausola per l'autorizzazione è stata preselezionata dal responsabile del trattamento, prima della sottoscrizione del contratto. Lo ha stabilito la Corte di Giustizia Ue con una sentenza nella causa C-61/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell'articolo 267 TFUE, dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania), con decisione del 14 novembre 2018, pervenuta in cancelleria il 29 gennaio 2019, nel procedimento Orange România SA contro il Garante per la privacy rumeno (ANSPDCP).
Nelle linee guida dei garanti europei (WP29) si danno queste indicazioni operative. Il titolare del trattamento potrebbe seguire questi passaggi. In primo luogo chiede all'utente di dichiarare se sono minori di 16 anni (o età inferiore a quella prevista dai singoli stati per il consenso digitale; se l'utente dichiara al sua minore età la piattaforma informa che è necessario il consenso del genitore.
Il tema delle attività di marketing svolte dalle aziende, costantemente alla ricerca di nuovi clienti, è ricorrente nei miei incontri con gli imprenditori o i responsabili del marketing aziendale. Il loro obiettivo è massimizzare i contatti con i potenziali clienti contattandoli massivamente con i metodi elettronici che sono i meno costosi (tendenzialmente e-mail, ma anche sms, whatsapp, …). Una lettura affrettata dell’ultimo capoverso del Considerando 47: “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, ha portato molti a considerare ammissibile qualsiasi comunicazione anche in assenza del consenso del destinatario.
