IL CONSENSO COME FONDAMENTO DEL TRATTAMENTO PER FINALITÀ PROMOZIONALI

Per introdurre il caso “Noi Compriamo Auto”, è importante fare una premessa: il trattamento dei dati personali per finalità di marketing diretto si basa sull’art. 6, par. 1, lett. a) del Regolamento (UE) 2016/679 (il GDPR), che richiede il consenso esplicito dell’interessato quale condizione di liceità. L’art. 130 del Codice Privacy (D.lgs. 196/2003 e s.m.i.), inoltre, specifica che l’uso di sistemi automatizzati di contatto (e-mail, SMS, chiamate preregistrate) per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Ai sensi dell’art. 7 GDPR, spetta al titolare dimostrare che tale consenso sia stato prestato in modo libero, specifico, informato e inequivocabile.

LE VIOLAZIONI RILEVATE E LA SANZIONE COMMINATA

Il Garante, nel caso NCA, ha rilevato che i contatti promozionali erano stati effettuati:

1. senza un’adeguata verifica dell’identità del soggetto che aveva compilato i form online,
2. senza un riscontro effettivo della volontà dell’interessato a ricevere comunicazioni commerciali.

In mancanza di un’effettiva dimostrazione della provenienza del contatto e della conferma del consenso, la società ha violato i requisiti richiesti da GDPR e Codice, oltre al principio di responsabilizzazione (accountability) ed è stata sanzionata per un importo pari a 45 mila euro.

IL DOUBLE OPT-IN COME MISURA MINIMA DI CONFORMITÀ 

Il provvedimento in oggetto evidenzia la centralità del meccanismo del Double Opt-in (DOI) come garanzia a tutela della validità del consenso. Al riguardo, il Garante cita il DOI “tra le misure minime che i titolari del trattamento devono adottare”.

Questo sistema prevede che, a seguito della compilazione di un modulo di contatto, l’utente riceva un messaggio (via e-mail o SMS) contenente un link o codice di conferma. Solo dopo aver compiuto questa azione volontaria e tracciabile, il consenso si considera validamente acquisito. Il DOI costituisce quindi una misura di sicurezza e verifica ex post, che consente al titolare di documentare in modo inequivocabile l’intenzione dell’utente. Il DOI fornisce maggiori tutele sia per gli interessati che per i titolari.

DOI FORTE VS SOFT DOI: QUALE PREFERIRE?

In merito alle modalità di documentazione del consenso, il Garante rinvia alle indicazioni presenti nel Codice di condotta in materia di telemarketing e teleselling (provv. del 7 marzo 2024).

Il Codice distingue due varianti di Double Opt-in: una prima modalità “forte”, che richiede una conferma attiva (es. clic su link), ed il cosiddetto “Soft DOI”, che consiste nell’invio di un messaggio informativo all’utente, con possibilità di opporsi. Pur non vietando quest’ultima modalità, il Codice chiarisce che la conferma attiva è la misura preferibile per assicurare la piena validità del consenso, in particolare quando si raccolgono dati da fonti online e si avviano campagne promozionali multicanale.

IL DOI FORTE DA SOLO NON BASTA

Nel caso esaminato dal Garante, la violazione principale non è stata l’assenza di un meccanismo di Double Opt-in “forte”, ma la totale inadeguatezza dei sistemi di tracciabilità del consenso utilizzati dai fornitori terzi incaricati da NCA della generazione dei contatti promozionali (lead).

In particolare, i sistemi informativi impiegati da questi soggetti non garantivano la possibilità di risalire con certezza all’origine del dato (ad esempio, il sito o la landing page in cui era stato compilato il form), né di dimostrare in modo inequivocabile che il consenso fosse stato effettivamente prestato dall’interessato.

LE IMPLICAZIONI OPERATIVE PER LE AZIENDE: TRA CONFORMITÀ, TRACCIABILITÀ E ACCOUNTABILITY

Per le aziende che svolgono attività di lead generation, customer profiling e campagne di marketing diretto, l’adozione di un sistema di Double Opt-in non è più solo una buona prassi, ma un requisito essenziale/minimo di compliance. In assenza di un meccanismo di verifica dell’identità e della effettiva volontà dell’utente, il rischio è quello di trattare illecitamente dati personali, in violazione di GDPR e Codice Privacy.

Le organizzazioni sono quindi chiamate a garantire non solo che il consenso sia effettivamente prestato dall’interessato, ma anche che sia documentabile in ogni sua fase. Ciò comporta almeno tre presìdi fondamentali:

1. origine certa del consenso: il titolare deve essere in grado di dimostrare da dove proviene il dato, con quale modalità è stato conferito il consenso (es. form online, app, telefono), e in quale contesto informativo (quale informativa privacy è stata mostrata all’utente al momento della raccolta);
2. conservazione della coppia IP–timestamp: per dimostrare la volontarietà e la collocazione temporale del consenso, è essenziale registrare e conservare, in forma sicura, l’indirizzo IP del dispositivo utilizzato dall’utente e il relativo timestamp (data e ora esatti). Questo elemento, unito al tracciamento del percorso di conferma (es. clic su link DOI), costituisce una prova tecnica fondamentale in caso di contestazioni;
3. immodificabilità dei log: i registri che documentano la prestazione del consenso devono essere strutturati in modo da impedire alterazioni successive, anche da parte del titolare stesso. L’adozione di soluzioni tecniche come sistemi di audit trail o log a prova di manomissione rafforza il rispetto del principio di accountability e tutela il titolare da contestazioni, anche in sede ispettiva.

Il Provvedimento NCA richiama inoltre il principio della privacy by design, invitando i titolari a implementare misure tecniche e organizzative adeguate sin dalla fase di progettazione dei processi di raccolta dati. La conformità normativa, in questo contesto, diventa anche un vantaggio competitivo, garantendo affidabilità e trasparenza nei confronti degli utenti e dei partner commerciali.

UN APPROCCIO STRATEGICO ALLA COMPLIANCE

L’attuale orientamento del Garante – sempre più attento a modalità di raccolta consensi non trasparenti o non verificabili – rende imprescindibile per le aziende l’adozione di procedure rigorose e verificabili in ambito marketing. Investire nella compliance dei sistemi di tracciabilità, audit e conferma attiva non rappresenta solo un obbligo normativo, ma anche un’opportunità per costruire relazioni trasparenti e durature con gli utenti.

Labor Project supporta imprese e operatori del marketing nella progettazione di modelli di consenso realmente conformi, nella redazione di informative chiare, nella verifica dei flussi di dati tra titolari e responsabili e nell’attuazione delle indicazioni delle Autorità e dei Codici di condotta di settore.

Lavorare in conformità non significa solo evitare sanzioni, ma costruire relazioni affidabili con clienti e partner, rafforzare la reputazione aziendale e rendere più efficaci le attività promozionali. Contattaci per rendere la compliance un valore aggiunto.