Cookie wall e monetizzazione dei dati personali: un po’ di nozioni legali ed etiche

Molti siti Web utilizzano “cookie wall” e sempre più servizi offrono per remunerare le persone in cambio di informazioni personali. 

I dati come corrispettivo per un servizio…

La maggior parte dei servizi offerti su Internet sono presentati come gratuiti. Tuttavia, questa gratuità spesso è solo apparente: i dati personali degli utenti di Internet sono stati a lungo utilizzati dai web player per finanziare i servizi che offrono ricorrendo a pubblicità mirata .

Questo sfruttamento dei dati personali come corrispettivo per un servizio o un vantaggio non è un fenomeno nuovo. Da diversi anni molti brand propongono carte fedeltà che, oltre a incoraggiare il cliente a tornare presso lo stesso esercente, consentono di analizzare lo “scontrino di cassa” del cliente, per poi proporgli offerte pubblicitarie mirate. L’utilizzo di questi dati trova poi il suo corrispettivo in riduzioni o addirittura buoni acquisto.

Questo non è l’unico uso commerciale che i titolari del trattamento possono fare dei dati che raccolgono. Possono anche, a determinate condizioni, rivendere a terzi, file contenenti informazioni sui loro clienti, principalmente a fini di prospezione pubblicitaria.

Negli ultimi anni queste pratiche si sono moltiplicate per le possibilità offerte dall’universo digitale. Pertanto, il deposito di cookie e altri traccianti consente, ad esempio, di raccogliere informazioni su una persona come la sua età, il suo luogo di residenza o le sue abitudini di consumo, per poi proporgli pubblicità che hanno una forte probabilità di essere di interesse e quindi generare un acquisto. Molti siti web, compresi i media, hanno scelto di fare della vendita di spazi pubblicitari mirati, una delle loro principali fonti di guadagno. La realizzazione di queste operazioni coinvolge una moltitudine di attori ed è all’origine di un vero e proprio settore, generalmente chiamato “AdTech” (per le tecnologie pubblicitarie o tecnologie pubblicitarie).

Proprietà dei dati

Più recentemente, stiamo assistendo a un’ulteriore fase del fenomeno della “mercificazione” dei dati: oltre a fungere da corrispettivo per servizi o vantaggi, i dati personali possono essere utilizzati direttamente per guadagnare denaro. Questo si chiama “monetizzazione” dei dati. Questi dati verranno poi sfruttati in modo tale che l’azienda possa trarne reddito, ad esempio trasferendolo ad un’altra società, che invierà pubblicità mirata alla persona.

Alcuni hanno visto questa pratica come un modo per “restituire” alle persone il controllo sui propri dati arrivando al punto di proporre il riconoscimento di un diritto di proprietà delle persone sui dati che potrebbero così “vendere” o “respingere” ad alcuni terzi. 

Questo diritto di proprietà sarebbe anche una fonte di reddito per le persone in un’economia sempre più dipendente dai dati.

Questa visione è contraria alla normativa vigente e alla concezione della protezione dei dati personali come un diritto della persona, che estende il diritto al rispetto della vita privata. Se ciò non esclude l’esistenza di controparti in determinati trattamenti di dati personali, questi non possono essere assimilati a un bene immateriale, appropriabili da terzi e suscettibili di commercio indipendente. Non esiste alcun diritto di proprietà sui dati personali che implichi un potere assoluto ed esclusivo su qualcosa. Il GDPR e il Data Protection Act riconoscono i diritti delle persone sui propri dati (diritto di accesso, rettifica e opposizione in particolare), a cui non è né possibile né auspicabile poter rinunciare. La “vendita” dei dati comporterebbe infatti la rinuncia a tali diritti : gli “acquirenti” sarebbero quindi liberi di utilizzare i dati acquisiti in base al contratto di acquisto, senza che i soggetti cui si riferiscono tali dati non possano mai avere diritto per controllare questo uso.

Controllo già possibile per le persone sulle loro informazioni

L’attuale quadro normativo consente agli interessati, anche quando i loro dati sono stati trasferiti a una società, di poter controllare l’uso che ne viene fatto o di chiedere la rettifica di dati errati o di opporsi, in determinati casi, al loro successivo utilizzo.

I diritti dei titolari del trattamento sui dati personali in loro possesso non sono quindi né assoluti né esclusivi. Sia che le persone abbiano dato il consenso al loro trattamento, sia che il titolare del trattamento sia legittimo a trattarle per altri motivi, le persone fisiche mantengono sempre una qualche forma di controllo sui propri dati.

Tuttavia, la situazione attuale solleva molte questioni legali ed etiche.

Un quadro giuridico che non vieta, in linea di principio, questa pratica di “monetizzare” i dati

Quali testi regolano la monetizzazione dei dati?

Se la vendita di dati personali non è possibile, l’utilizzo dei dati a titolo di compensazione è comunque possibile a determinate condizioni. È disciplinato, in particolare, dal Codice del Consumo e dalle norme in materia di protezione dei dati personali.

Le norme sulla protezione dei dati (GDPR e Data Protection Act) sono principalmente volte a garantire alle persone il controllo sui propri dati. Per fare ciò, devono essere informati dell’uso che ne viene fatto. A volte è necessario anche il loro consenso, in particolare per determinati usi dei dati a fini pubblicitari, come il deposito di cookie o l’invio di prospezioni commerciali per via elettronica. Tali norme sono di ordine pubblico, vale a dire che non possono essere derogate contrattualmente. 

Il modello di fornitura dei dati personali come corrispettivo è sempre più riconosciuto da alcune decisioni giudiziarie o autorità di regolamentazione.

Esempio: l’Autorità garante della concorrenza italiana ha ritenuto che Facebook non potesse presentare il proprio servizio come gratuito, trattandosi di un’affermazione fuorviante poiché la società utilizza i dati dei suoi utenti per scopi commerciali, il suo servizio ha uno scopo di lucro.

Cookie wall: una pratica che va giustificata caso per caso; un diritto da precisare.

In ambito digitale, la nuova disciplina sui cookie pubblicata dal Garante nel giugno 2021 rafforza la trasparenza sui modelli economici dei siti. 

Ricordano l’obbligo per le organizzazioni che utilizzano i tracker, di informare chiaramente gli utenti di Internet degli scopi dei tracker e delle conseguenze dell’accettazione o del rifiuto dei tracker.

Cosa è un muro di biscotti

Molti siti, in merito alla regola del consenso preventivo dell’utente Internet al deposito di questi traccianti, hanno sviluppato una cookie wall policy.

L’espressione “tracer walls”, “cookie wall” in inglese, designa il fatto di condizionare l’accesso a un servizio, all’accettazione da parte dell’utente Internet del deposito di cookie sul proprio computer.

In altre parole, l’utente Internet è obbligato a fornire un compenso, in denaro o “in dati”, se desidera accedere al sito, il che di fatto rende il servizio a pagamento. Altri servizi richiedono anche la creazione di un account e l’accettazione di T&C per accedervi (si parla poi di un login wall), che costituisce anche una forma di servizio “a pagamento”.

Decisioni europee

In linea con la posizione del Comitato europeo per la protezione dei dati (GEPD), che riunisce le 27 autorità europee per la protezione dei dati, il Garante ha ritenuto che il consenso degli utenti di Internet non fosse valido in tale contesto. Tale sistema, infatti, potrebbe pregiudicare la libertà del consenso, richiesta dal GDPR.

Esempio:  il fatto per un editore di stampa online, di condizionare l’accesso ai suoi contenuti, sia all’accettazione di cookie pubblicitari che contribuiscono a remunerare il suo servizio, sia al pagamento di un importo ragionevole, non è in linea di principio vietato, se quest’ultimo consente l’accesso ad una versione del sito equivalente in termini di contenuti e totalmente priva di traccianti pubblicitari. Altri elementi, come la posizione dominante del sito,

Il futuro regolamento europeo denominato “e-privacy”, attualmente in fase di elaborazione, potrebbe contribuire a definire regole più precise in materia.

Le alternative di fronte alle questioni etiche

L’utilizzo dei dati come merce di scambio può comportare due rischi:

  • che le persone più vulnerabili forniscano i propri dati per accedere ai servizi gratuitamente o ricevano compensi aggiuntivi, mentre altri, che stanno meglio, potrebbero pagare un abbonamento che consenta loro di accedere a un servizio senza fornire dati personali o monetizzarli;
  • che la possibilità di preservare il proprio anonimato nei confronti di determinati terzi è riservata a pochi ed esclusa per altri.

Sebbene questo modello sia già molto diffuso, esistono alternative per rafforzare il controllo delle persone sui propri dati o per consentire il finanziamento di siti Web diversi dalla raccolta di dati.

I dati come risorsa collettiva

La gestione collettiva dei dati, per finalità di interesse generale, sotto forma di “beni comuni”, vale a dire come risorse collettive che non rientrano né nel potere pubblico né nella proprietà privata, fornirebbe, ad esempio, altre modalità di accesso ai dati.

Può assumere forme molto diverse, come la creazione di piattaforme che consentano alle persone di mettere in comune i propri dati, per consentirne l’utilizzo per scopi senza scopo di lucro, ad esempio per progetti scientifici. La recente bozza di regolamento europeo sulla governance dei dati, che introduce il concetto di “altruismo dei dati”, mira quindi a consentire questo tipo di pooling volontario.

Portafogli virtuali

Anche il finanziamento dei siti Web non è solo un’alternativa binaria tra la fornitura di dati o il pagamento di un abbonamento. Ad esempio, i “portafogli virtuali” consentono di effettuare micropagamenti per accedere a contenuti o servizi su base ad hoc, senza interruzioni e senza la necessità di salvare i dati delle carte bancarie. Infine, molti servizi e siti web, come Signal o Wikipedia, utilizzano sistemi di donazione e non si basano su alcuna raccolta di dati.

I legami intrinseci tra i dati personali e le persone che li riguardano, nonché i rischi, reali, associati alla loro mercificazione, significano che non possono essere assimilati a un semplice valore di scambio.

Cookie e traccianti: cosa dice il GDPR.

Ai sensi della Direttiva Privacy, gli utenti di Internet devono essere informati e dare il loro consenso, prima del deposito e della lettura di determinati traccianti, mentre altri sono esentati dall’ottenere tale consenso.

Cosa definiscono i termini “cookie” o “tracciante?..

I termini “cookie” o “tracciante” definiscono, ad esempio:

  • cookie HTTP,
  • cookie “flash”,
  • il risultato del calcolo di un’impronta univoca del terminale in caso di ”  impronta digitale (Fingerprinting)  (calcolo di un identificatore univoco del terminale, sulla base di elementi della sua configurazione, ai fini del tracciamento),
  • pixel invisibili o “web bug”,
  • qualsiasi altro identificatore generato dal software o da un sistema operativo (numero di serie, indirizzo MAC, identificatore univoco del terminale IDFV) o qualsiasi insieme di dati utilizzato per calcolare un’impronta digitale univoca del terminale (ad esempio tramite un metodo di “impronta digitale”).

Possono essere depositati e/o letti, ad esempio durante la consultazione di un sito web, di un’applicazione mobile, o anche durante l’installazione o l’utilizzo di software, indipendentemente dal tipo di terminale utilizzato: computer, smartphone, tablet digitale o console per videogiochi connessi a Internet.

Chi ha questo obbligo?

È vincolante per i titolari del trattamento che depositano traccianti previo consenso sulla protezione dei dati (ad esempio quando gli editori autorizzano il deposito di cookie, che vengono poi letti dalle agenzie pubblicitarie). Questi ultimi sono contitolari del trattamento in quanto determinano congiuntamente le finalità e le modalità delle operazioni di lettura e scrittura sugli apparati terminali degli utenti.

L’obbligo di acquisire il consenso può quindi essere imposto, in particolare:

  • editori di siti Web e applicazioni mobili;
  • alle agenzie pubblicitarie;
  • ai social network che forniscono moduli di condivisione sui social network.

In generale, i redattori di siti o applicazioni mobili, a causa del contatto diretto con l’utente, sono spesso nella posizione migliore per informare quest’ultimo delle informazioni sui tracker depositati e per raccoglierne il consenso.

Quali cookie richiedono il preventivo consenso degli utenti?

Tutti i cookie che non hanno l’esclusiva finalità di consentire o agevolare la comunicazione con mezzi elettronici o non sono strettamente necessari alla fornitura di un servizio di comunicazione online su espressa richiesta dell’utente, richiedono il preventivo consenso dell’utente internet. Tra i cookie che richiedono la preventiva informativa e la preventiva raccolta del consenso dell’utente, si possono citare in particolare:

  • cookie relativi ad operazioni relative alla pubblicità personalizzata;
  • cookie dei social network, in particolare generati dai loro pulsanti di condivisione.

Per quanto riguarda i traccianti non soggetti a consenso, possiamo citare:

  1. i traccianti conservando la scelta espressa dagli utenti sul deposito dei traccianti;
  2. traccianti destinati all’autenticazione con un servizio, compresi quelli destinati a garantire la sicurezza del meccanismo di autenticazione, ad esempio limitando i tentativi di accesso robotici o imprevisti;
  3. traccianti destinati a memorizzare il contenuto di un carrello su un sito di un commerciante o a fatturare all’utente il/i prodotto/i e/o il/i servizio/i acquistato/i;
  4. traccianti di personalizzazione dell’interfaccia utente (ad esempio, per la scelta della lingua o per la presentazione di un servizio), quando tale personalizzazione costituisce un elemento intrinseco e previsto del servizio;
  5. traccianti per bilanciare il carico di apparecchiature che contribuiscono ad un servizio di comunicazione;
  6. traccianti che consentono ai siti a pagamento di limitare il libero accesso a un campione di contenuti richiesto dagli utenti (quantità predefinita e/o per un periodo limitato);
  7. determinati tracker di misurazione dell’audience purché soddisfino determinate condizioni.

Come ottenere un consenso valido?

Il consenso deve manifestarsi con un atto positivo della persona preventivamente informata, in particolare, delle conseguenze della sua scelta e dotata dei mezzi per accettare, rifiutare e revocare il suo consenso. 

Occorre pertanto predisporre adeguati sistemi di raccolta del consenso secondo modalità pratiche che consentano agli utenti di Internet di beneficiare di soluzioni di facile utilizzo.

L’accettazione delle condizioni generali di utilizzo non può costituire una valida modalità di acquisizione del consenso.

Il consenso deve essere antecedente al deposito e/o alla lettura dei cookie.

  • Finché l’interessato non ha prestato il proprio consenso, i cookie non possono essere inseriti o letti sul suo terminale.
  • Deve essere richiesto ogni volta che alle finalità inizialmente previste, si aggiunge una nuova finalità che richiede il consenso.

Il consenso è una manifestazione di volontà, libera, specifica, inequivocabile e informata. La validità del consenso è quindi particolarmente legata alla qualità delle informazioni ricevute.

  • Deve essere visibile, evidenziato e completo.
  • Deve essere scritto in termini semplici che possano essere compresi da qualsiasi utente.
  • Deve consentire agli utenti di Internet di essere perfettamente informati, in particolare per quanto riguarda le diverse finalità dei cookie e l’identità dei responsabili del trattamento.
  1. Al fine di conciliare concisione e precisione delle informazioni, è possibile disporre di due livelli di informazione: ad esempio, un primo livello può descrivere sinteticamente ciascuna finalità del trattamento, mentre un secondo livello fornirebbe maggiori dettagli su tali finalità e sull’elenco dei titolari del trattamento.

Il consenso è valido solo se la persona fa una scelta reale.

  • L’utente deve poter accettare o rifiutare il deposito e/o la lettura dei cookie con lo stesso grado di semplicità.
  • Secondo il considerando 42 del GDPR, che chiarisce il requisito della libertà di consenso di cui al suo articolo 4, “il consenso non dovrebbe considerarsi liberamente, se l’interessato non dispone di una reale libertà di scelta o non è in grado di rifiutare o revocare il consenso senza pregiudizio”.  
  • Inoltre, si raccomanda che tale scelta venga effettuata su ciascuno dei siti o applicazioni interessati dal tracciamento della navigazione.

Il consenso deve poter essere revocato in modo semplice ed in qualsiasi momento dall’utente.

  • Revocare il consenso dovrebbe essere facile come darlo.
  • Le soluzioni che consentono agli utenti di revocare il proprio consenso devono essere messe a disposizione dell’utente. Devono essere accessibili in ogni momento.

Come si dimostra che è stato ottenuto il consenso?

Ogni Società che richiede il consenso deve essere in grado di fornirne prova. A tale scopo può utilizzare i seguenti metodi non esclusivi:

  • Sequestro presso una terza parte del codice informatico utilizzato dall’ente che ottiene il consenso, per le diverse versioni del proprio sito o della propria applicazione mobile, o anche semplicemente mediante la pubblicazione timbrata su piattaforma pubblica di un digest (o “hash) del presente codice, per poterne provare a posteriori l’autenticità;
  • Per ogni versione del sito o dell’applicazione è possibile conservare, in modalità timestamp, uno screenshot del rendering visivo visualizzato su un terminale mobile o fisso;
  • Audit periodici dei meccanismi di raccolta del consenso implementati dai siti o dalle applicazioni da cui è raccolto, possono essere attuati da terzi incaricati a tal fine;
  • Le informazioni relative agli strumenti implementati e alle loro successive configurazioni (come le soluzioni per la raccolta dei consensi, note anche come “Piattaforma di gestione del consenso”) di CMP possono essere conservate, con modalità cronologica, dalle terze parti che pubblicano tali soluzioni.

GDPR: come raccogliere il consenso?

Il consenso è una delle basi giuridiche previste dal GDPR su cui può fondarsi il trattamento dei dati personali. Il GDPR richiede che tale consenso sia libero, specifico, informato e inequivocabile. Le condizioni applicabili al consenso sono definite negli artt. 4 e 7 del GDPR.

Il consenso era già sancito dalla legge sulla protezione dei dati, rafforzato dal GDPR, ne sono specificate le condizioni per la sua raccolta.

Fornisce agli interessati un forte controllo sui propri dati, consentendo loro di:

  • per capire come verranno trattati i suoi dati;
  • di scegliere senza vincolo se accettare o meno tale trattamento;
  • per cambiare idea liberamente.

La raccolta del consenso delle persone autorizza al trattamento dei loro dati da parte dei Titolari del trattamento.

Spesso proposto in fase di sottoscrizione e fruizione dei servizi, in particolare online, deve essere raccolto a condizioni specifiche che ne garantiscano la validità.

Cos’è il consenso?

Cosa dice il GDPR:

Per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l’interessato accetta, con una dichiarazione o con un atto palesemente positivo, che i dati personali che lo riguardano siano oggetto di trattamento”.

Il consenso non è un concetto nuovo, poiché era già incluso nella legge sulla protezione dei dati. Il GDPR ne completa comunque la definizione e chiarisce tale nozione in alcuni aspetti, al fine di consentire agli interessati di esercitare un controllo reale ed effettivo sul trattamento dei propri dati. 

Il consenso è una delle 6 basi giuridiche previste dal GDPR che autorizza l’attuazione del trattamento dei dati personali.

Il Titolare del trattamento deve essere in grado di dimostrare la validità dell’uso di questa base giuridica.

Qualsiasi modifica significativa delle condizioni di attuazione del trattamento (finalità, dati, periodi di conservazione, ecc.) è tale da incidere sulla validità della base giuridica conservata: la procedura di valutazione di tale validità deve pertanto, in tal caso, essere ripetuto.

Il consenso delle persone può essere raccolto sistematicamente

No :  il consenso è una delle 6 basi giuridiche previste dal GDPR che autorizzano l’attuazione del trattamento dei dati personali.

I titolari del trattamento possono effettuare trattamenti sulla base di un’altra base giuridica, come l’esecuzione di un contratto o il loro legittimo interesse. La base giuridica deve essere determinata dal titolare del trattamento in modo adeguato alla situazione e al tipo di trattamento in questione.

Per alcune operazioni di trattamento, invece, può essere sistematicamente richiesto il consenso dell’interessato, se disciplinato da specifiche disposizioni di legge: ad esempio, per effettuare prospezioni commerciali tramite posta elettronica.

Quali sono i criteri per un consenso valido

4 criteri cumulativi devono essere soddisfatti per ottenere validamente il consenso, che deve essere:

  • Libero: il consenso non deve essere forzato o influenzato. Alla persona deve essere offerta una scelta leale, senza dover subire conseguenze negative in caso di rifiuto.

La natura libera del consenso deve essere oggetto di particolare attenzione nel caso di esecuzione di un contratto, anche per la fornitura di un servizio: il rifiuto del consenso al trattamento che non è necessario all’esecuzione del contratto, non deve avere alcuna conseguenza sulla sua esecuzione o sulla prestazione del servizio.

Ad esempio, un operatore di telefonia mobile raccoglie il consenso dei propri clienti per l’utilizzo dei loro dati da parte dei partner, a fini di elaborazioni commerciale. Il consenso si considera libero a condizione che il rifiuto del cliente non pregiudichi l’erogazione del servizio di telefonia mobile.

  • Specifico: il consenso deve corrispondere ad un unico trattamento, per una specifica finalità.

Pertanto, per il trattamento che ha più finalità, le persone fisiche devono poter esprimere il proprio consenso in modo autonomo per l’una o l’altra di tali finalità. Devono poter scegliere liberamente le finalità per le quali acconsentono al trattamento dei propri dati.

Ad esempio, un organizzatore di eventi culturali desidera raccogliere il consenso degli spettatori per due tipi di servizi: la conservazione dei loro dati di pagamento (carta di credito) al fine di facilitare le loro future prenotazioni; raccogliendo il loro indirizzo e-mail per inviare loro e-mail sulle prossime esibizioni. Affinché il consenso sia valido, i telespettatori devono poter acconsentire liberamente e separatamente per ciascuna di queste due operazioni di trattamento: la memorizzazione delle coordinate bancarie e l’utilizzo del proprio indirizzo email.

  • Informato: per essere valido, il consenso deve essere accompagnato da una certa quantità di informazioni comunicate all’interessato prima del consenso.

Al di là degli obblighi relativi alla trasparenza, il titolare del trattamento dovrebbe fornire le seguenti informazioni agli interessati per ottenere il loro consenso informato:

  • l’identità del responsabile del trattamento;
  • le finalità perseguite;
  • le categorie di dati raccolti;
  • l’esistenza di un diritto di revoca del consenso;
  • a seconda dei casi: il fatto che i dati saranno utilizzati nell’ambito di decisioni individuali automatizzate o che saranno trasferiti in un Paese al di fuori dell’Unione Europea.
  • Inequivocabile: il consenso deve essere dato da una dichiarazione o da qualsiasi altro atto chiaramente positivo. Nessuna ambiguità sull’espressione del consenso può rimanere.

Le seguenti modalità di acquisizione del consenso non possono essere considerate univoche:

  • caselle preselezionate o preattivate
  • consensi “raggruppati” (quando è richiesto un unico consenso per più trattamenti distinti)
  • inazione (ad esempio, mancata risposta a un’e-mail di richiesta del consenso)

Cosa cambia il GDPR?

Il GDPR non ha modificato sostanzialmente la nozione di consenso. D’altra parte ne ha chiarito la definizione e l’ha rafforzata, aggiungendo alcuni diritti e garanzie:

  • Diritto di recesso: la persona deve poter revocare il proprio consenso in qualsiasi momento, attraverso una modalità semplice equivalente a quella utilizzata per raccogliere il consenso (ad esempio, se la raccolta è stata effettuata online, deve poter essere revocata anche online).
  • Prova del consenso: il titolare del trattamento deve essere in grado di dimostrare in qualsiasi momento che la persona ha acconsentito, a condizioni valide.

Per fare ciò, i titolari del trattamento devono documentare le condizioni per l’ottenimento del consenso. La documentazione deve consentire di dimostrare:

  • l’attuazione di meccanismi che consentano di non collegare la raccolta del consenso, in particolare all’esecuzione di un contratto (consenso “libero”)
  • la chiara ed intellegibile separazione delle diverse finalità di trattamento (consenso “specifico” o “granularità del consenso”)
  • corretta informativa alle persone (consenso “informato”)
  • il carattere positivo dell’espressione della scelta dell’interessato (consenso (consenso inequivocabile)

In particolare, i titolari del trattamento possono tenere un registro dei consensi, che può essere inserito nel registro dei trattamenti.

Il GDPR prevede specifiche condizioni di consenso per determinate situazioni:

  • Consenso dei minori: per i servizi della società dell’informazione (social network, piattaforme, newsletter, ecc.), il trattamento dei dati personali di un minore basato sul consenso è lecito, in linea di principio, solo se il minore ha almeno 15 anni.

Se il minore ha meno di 14 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale sul minore. 

In Italia, l’età utilizzata è 14 anni: i minori di età pari o superiore a 14 anni possono acconsentire al trattamento dei propri dati sulla base del consenso nell’ambito dei servizi della società dell’informazione. 

 Consenso espresso: in alcuni casi, il consenso deve essere esplicito. Questa caratteristica si riferisce alla modalità di espressione del consenso: è necessaria una dichiarazione espressa dell’interessato, che richiede particolare attenzione e l’attuazione di meccanismi ad hoc da parte del responsabile del trattamento.

Si tratta di casi in cui esiste un grave rischio per la protezione dei dati e che richiedono un più elevato grado di controllo da parte dell’individuo: è ad esempio necessario per il trattamento di dati sensibili o per consentire la completa automatizzazione del processo decisionale.

Per garantire il consenso esplicito, il titolare può, ad esempio:

  • fornire una casella di raccolta del consenso specificamente dedicata al trattamento dei dati sensibili
  • richiedere una dichiarazione scritta e firmata dall’interessato o l’invio di una e-mail indicando che l’interessato accetta espressamente il trattamento di determinate categorie di dati
  • raccogliere il consenso in due passaggi: inviare una mail all’interessato che dovrà poi confermare la sua prima azione di consenso

Il consenso deve essere nuovamente raccolto con il GDPR?

Il consenso ottenuto e raccolto entro il 25 maggio 2018 può rimanere valido, purché rispetti le disposizioni ora previste dal GDPR. Questa situazione può benissimo verificarsi, nella misura in cui questo nuovo quadro giuridico è vicino al quadro precedente.

In caso negativo, i titolari del trattamento devono “aggiornare” o integrare i consensi raccolti dai soggetti affinché siano ritenuti validi e conformi ai requisiti GDPR.

Opposizione alla comunicazione commerciale: la creazione di liste per non duplicare le richieste di consenso.

Una persona che si sia opposta a ricevere comunicazione da un’organizzazione, non deve essere nuovamente sollecitata da quest’ultima. La creazione di un “file” permette di tenere conto di tale opposizione nel tempo, qualunque sia la fonte dei dati utilizzati.

  • Gli individui hanno il diritto assoluto di opporsi, in modo semplice e gratuito, alla comunicazione commerciale;
  • La costituzione di una lista di opposizioni, è uno dei meccanismi che consentono di tenere conto nel tempo di tale rifiuto;
  • Questo elenco non può in nessun caso essere utilizzato per altri scopi.

Il diritto di opposizione nella comunicazione commerciale

 Costruisci una lista

Per essere effettivo, il diritto di opposizione delle persone deve essere tenuto in considerazione nel tempo.

È quindi possibile creare una push list. Ciò consente di evitare di aggiungere, inavvertitamente, persone che si sono già opposte alla comunicazione, a un elenco di persone da consultare.

Esempio: elenco compilato utilizzando dati di una terza parte, ad esempio un “data broker ”.

Una push-back list è uno dei meccanismi che consentono di escludere definitivamente da qualsiasi nuova operazione di comunicazione, le persone contrarie a tali sollecitazioni.

Tali dati non possono in nessun caso essere utilizzati per finalità diverse dalla gestione del diritto di opposizione e devono essere conservati solo i dati necessari.

Si raccomanda che le informazioni che consentono di prendere in considerazione l’opposizione di una persona, siano conservate per un minimo di 3 anni .

Importante

Nel contesto della comunicazione telefonica, è obbligatorio tenere costantemente conto degli elenchi di opposizione, come il Registro delle opposizioni.

Come posso minimizzare al meglio i dati dalla push list?

Per rispettare al meglio il principio di minimizzazione del GDPR , devono essere conservati solo i dati necessari, per questo, è possibile assicurarsi di non tenere push list nominative, ma di conservare solo le impronte dell’indirizzo o del numero utilizzato per la comunicazione.

Definizione

Chiamiamo “impronta digitale” o “hash” il risultato ottenuto dopo un’operazione matematica (crittografica), chiamata “funzione hash”, su un file. Questa operazione trasforma, ad esempio, un indirizzo di posta elettronica in una serie di numeri privi di significato. Se questa operazione viene eseguita correttamente, è impossibile trovare l’indirizzo originale dall’impronta digitale. D’altra parte, la stessa operazione di hashing degli stessi dati darà sempre lo stesso risultato.

Ciò consente di tenere conto nel tempo dell’opposizione senza conservare alcun dato direttamente identificativo.

Mantenere la push list in forma hash migliora anche la sicurezza dei dati personali trattati.  La divulgazione, o la perdita accidentale di un tale elenco, a un aggressore avrebbe un impatto potenziale molto minore sui diritti e sulle libertà delle persone, rispetto alla violazione di un elenco di indirizzi non crittografato.

Nota: questi dati sottoposti a hash rimangono dati personali e devono quindi essere al sicuro.

Per eseguire l’hashing di un indirizzo email o di un numero di telefono, è consigliabile utilizzare algoritmi sicuri e robusti. Successivamente, in caso di ricezione di un nuovo elenco di prospect, sarà possibile eseguire l’hashing delle informazioni e confrontare i risultati ottenuti con l’elenco delle impronte che costituiscono l’elenco di opposizione: le impronte presenti nei due elenchi sono gli indirizzi delle persone che si sono già opposti alla comunicazione commerciale e che non dovrebbero essere nuovamente sollecitati.

Come evitare errori utilizzando una push list di indirizzi postali?

Per quanto riguarda gli indirizzi postali, la forma libera di un campo indirizzo consente molte formulazioni diverse che potrebbero portare a impronte diverse (esempio: “avenue” essendo scritto “av.”, “Av” o addirittura “Avenue” scritto in modo errato). Essendo distinti i digest calcolati su formati diversi dello stesso indirizzo, è quindi difficile costituire una lista di push-back affidabile.

Per ovviare a questo problema, puoi utilizzare tecniche per armonizzare la formattazione del tuo file di indirizzi o utilizzare tecniche di geo codifica . Con questi strumenti è possibile offrire alle persone che inseriscono il proprio indirizzo sul tuo sito un’interfaccia interattiva per l’inserimento dell’indirizzo, al fine di validare un indirizzo esatto e in un formato standardizzato ( esempio: per auto completamento dai primi caratteri dell’indirizzo). Sarà quindi possibile utilizzare le impronte digitali di questi indirizzi confermati in modo da costituire un elenco di push-back affidabile.