Come spesso ci capita di fare, proviamo ad utilizzare un provvedimento del Garante per ricavare qualche utile insegnamento da applicare ad aziende e titolari del trattamento.
Ci soffermiamo oggi su un caso sanzionato dal Garante con una multa di ben 300mila euro ad una società che offre servizi di telemarketing e digital marketing per aver trattato in modo illecito dati personali.
Un provvedimento molto articolato che nasceva da un primo comportamento illecito del titolare riguardante le modalità di raccolta dati. Molti gli illeciti che hanno portato ad una sanzione così alta, ci si sofferma in questa sede su quelli che rappresentano pratiche molto comuni quando si pianifica un sito web, una raccolta dati o un’azione di marketing.
Indice
Il “no” ufficiale del Garante al Dark Pattern
Il termine Dark Pattern indica un’interfaccia digitale o una soluzione di web-design che induce l’utente a prendere una decisione non desiderata. Inserita in una piattaforma online o in un social media, porta l’utente a compiere scelte contro il proprio interesse o potenzialmente dannose per la propria privacy, ma spesso a vantaggio dell’azienda, come lasciare i propri dati o autorizzare l’attività di marketing.
Sono, quindi, strategie “oscure”, perché non rispettano il principio di trasparenza. Nascondendo la loro vera finalità, influenzano il comportamento dell’utente e riducono la sua capacità di proteggere i propri dati personali (per un approfondimento, vedi “Dark patterns nel web-design: il lato oscuro è più forte (della legge)?“)
Già nel 2010 il Garante aveva avuto modo di chiarire che i dark pattern sono visti, in una prospettiva di diritto dei consumatori, come un meccanismo che consente di influenzare negativamente il consenso dei consumatori stessi. Più recentemente, è stato stabilito che l’utilizzo di modelli oscuri potrebbe anche violare i principi della legge sulla protezione dei dati nelle Linee guida EDPB 03/2022 .
Oggi il Garante riprende il tema e “boccia” nel provvedimento in esame le seguenti pratiche:
– i pop-up che richiedono il consenso per il marketing all’utente dopo che lo ha già negato;
– l’utilizzo di grafiche per non accettare il trattamento dati diverse e molto nascoste rispetto alle grafiche per dare il consenso;
– la richiesta di informazioni non necessarie senza alcuna specifica per l’utente.
La decisione del Garante riprende anche quanto previsto nelle Linee guida 03/2022 sul dark pattern, nonostante l’obiezione del titolare del trattamento secondo cui le Linee Guida si rivolgono alle grandi piattaforme di social media piuttosto che alle PMI.
Il Garante ha risposto con fermezza che tutti i titolari del trattamento devono rispettare i principi sanciti dalle Linee guida, ma tali principi devono essere applicati in modo proporzionato e non interpretati restrittivamente. Occorre, quindi, trovare il giusto equilibrio tra gli interessi degli interessati e gli interessi delle imprese.
Un’ultima considerazione: le misure di garanzia adottate da un’impresa che opera nel settore del marketing sono anche una misura del livello di qualità offerto in grado di distinguere l’impresa dagli altri concorrenti. In altri termini: la corretta gestione della privacy può diventare un “plus” per caratterizzare un impresa.
Raccolta di idoneo uso e l’uso del double opt in
Sono molto interessanti le osservazioni riguardanti l’assenza in alcune interfacce utilizzate la regola del double opt in per l’acquisizione del consenso.
Il Garante ha precisato che l’utilizzo della modalità double opt-in per la raccolta del consenso non costituisce un obbligo di legge ma deve considerarsi una misura adeguata, e disponibile allo stato dell’arte, per documentare la volontà dell’interessato.
Nel caso di specie, il Garante non ha sanzionato il titolare per l’assenza del meccanismo di double opt in, ma piuttosto l’assenza di un meccanismo di registrazione del consenso e dell’omesso rispetto del diritto di opposizione dell’interessato.
I ruoli e i soggetti del trattamento dei dati
La banca dati del titolare del trattamento oggetto del provvedimento è particolarmente complessa. Infatti veniva alimentata da diverse fonti compresi alcuni database cosiddetti “in gestione”. In altre parole, i dati provenienti da tale tipologia di contratto entrano dunque a far parte del database che la Società utilizza per realizzare le campagne promozionali al pari di un database acquisito con contratto di acquisto o noleggio.
I soggetti terzi coinvolti, tuttavia, nominavano la Società Responsabile del trattamento con la conseguenza che l’esercizio dei diritti degli interessati non veniva correttamente registrata e gestita anche da Ediscom. Esistevano poi altre tipologie di rapporti con dei terzi “affiliati” i cui dati non pare confluissero nel data base del titolare del trattamento.
Indipendentemente dal caso specifico e delle critiche mosse al titolare del trattamento, interessanti sono i principi richiamati dal Garante. Innanzitutto è evidente come la corretta qualificazione dei ruoli nel trattamento dei dati resta uno dei punti più critici e delicate dell’applicazione del GDPR. Il Garante, non perde poi l’occasione di precisare e puntualizzare importanti elementi.
Innanzitutto non è il possesso o l’origine del dato a determinare l’effettivo ruolo svolto da un soggetto coinvolto nel trattamento e la Società, a seconda dell’effettiva attività svolta può qualificarsi come titolare o come responsabile ma, avendo comunque un ruolo nel trattamento. Per semplificare se un soggetto ha il possesso del dato in nessun caso si potrà identificare come “nessun ruolo” nel trattamento.
E’ chi decide la finalità del trattamento che si qualifica come Titolare del trattamento.
Conclusioni
La raccolta dati su pagine web o piattaforme on line è uno dei principali strumenti di marketing. Acquisire una base dati solida, profilata e con i consensi per il marketing è un’attività strategica in un qualsiasi modello di business.
Ma, ahimè, se il dato è raccolto in maniera difforme ai principi del GDPR non serve a nulla. Ecco alcune semplici regole:
- utilizza form di raccolta dati semplici, richiedendo solo i dati strettamente necessario o, quantomeno, distinguendo i dati obbligatorio dai facoltativi;
- non usare grafiche o moduli o pop-up che forzano l’utente a dare i propri dati o il proprio consenso alla profilazione o al marketing;
- inserisci sempre un’informativa privacy chiara, completa, ma comprensibile per l’interessato;
- se la base giuridica per il trattamento è il consenso (come per il marketing) identifica una misura che consenta di documentare la volontà dell’interessato, una possibile opzione è il double opt in;
- implementare una procedura di gestione dei diritti degli interessati efficace.
Infine, se ci sono più soggetti coinvolti nel trattamento dati è fondamentale identificare chi è il “titolare del trattamento”.
CODICE PER IL TELEMARKETING E TELESELLING
Un periodo pieno di novità in tema di marketing in questo periodo, il Garante ha approvato il Codice di condotta per le attività di telemarketing e teleselling.
Il Codice regola le attività di telemarketing (= attività di contatto telefonico con operatore effettuate per finalità promozionale attraverso chiamate dirette a numerazioni fisse e mobili nazionali) e teleselling (=attività di contatto telefonico con operatore effettuate per finalità di vendita diretta attraverso chiamate destinate a numerazioni fisse e mobili nazionali).
Il testo approvato acquisterà efficacia una volta conclusa la fase di accreditamento dell’Organismo di monitoraggio (Odm) e la successiva pubblicazione in Gazzetta Ufficiale.
Per assicurare il rispetto della normativa privacy e contrastare il telemarketing selvaggio le società che aderiranno al Codice, si impegneranno ad adottare misure specifiche per garantire la correttezza e la legittimità dei trattamenti di dati svolti lungo tutta la “filiera” del telemarketing.
Gli aderenti dovranno:
- raccogliere consensi specifici per le singole finalità (marketing, profilazione, ecc.);
- informare in maniera precisa le persone contattate sulle finalità per le quali vengono usati i loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati).
Un aspetto interessante del codice sono le regole introdotte per contrastare il fenomeno del “sottobosco” dei call-center abusivi: nei contratti stipulati dall’operatore con l’affidatario del servizio dovrà essere prevista una penale o la mancata corresponsione della provvigione per ogni vendita di servizi realizzata a seguito di contatto promozionale senza consenso.
Infine, le società saranno tenute ad effettuare una valutazione di impatto nel caso svolgessero trattamenti automatizzati, compresa la profilazione, che comportano un’analisi sistematica e globale di informazioni personali.