Le più recenti sanzioni erogate dall’Autorità Garante per la protezione dei dati personali mostrano un livello di esigenza sempre maggiore, giustificato e giustificabile sia dal fatto che ormai il GDPR è in vigore da quasi sette anni che dal fatto che si sono susseguiti molteplici provvedimenti che hanno stigmatizzato di volta in comportamenti pressoché identici tra di loro.
Vogliamo qui soffermarci su un aspetto di conformità molto peculiare: l’accountability in ordine alla raccolta del consenso al trattamento di dati personali.
Indice degli argomenti
Cosa serve per poter dimostrare correttamente la genuinità di un consenso
In parole più semplici: cosa serve per poter dimostrare correttamente la genuinità di un consenso?
Attenzione, in questa sede vogliamo andare oltre le caratteristiche di trasparenza, libertà, specificità, consapevolezza, inequivocabilità che un consenso deve possedere per essere conforme alle previsioni del GDPR. Vogliamo andare anche oltre il fatto che il consenso deve essere costituito da una manifestazione di volontà che sia resa mediante una dichiarazione o una azione positiva inequivocabile, per quanto forse un richiamo a ciò è comunque utile, dati gli accenni che si vedono ultimamente a fattispecie di dubbia estrazione e dubbia fondatezza (o indubbia infondatezza, più prosaicamente parlando) quali il “consenso implicito”.
Vogliamo soffermarci, invece, in modo specifico sul come adempiere al dovere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
Finalità della raccolta del consenso
Per farlo, scegliamo la strada degli esempi concreti.
Per quali finalità, nella maggior parte dei casi, si raccoglie un consenso?
Per fortuna, quella del consenso si sta riducendo sempre di più ad una base di legittimazione residuale, in piena aderenza con quella che è l’impostazione del GDPR, che offre pari dignità a tutte le basi giuridiche.
Il consenso rimane però la base di elezione per i contatti non sollecitati con finalità promozionale (per brevità e in modo consapevolmente non del tutto corretto: “marketing”), per il trasferimento a terzi con finalità promozionale (marketing di terzi), per i cookies non tecnici e per la profilazione, dato che per quest’ultima (purtroppo, oseremmo dire) la base del legittimo interesse è sempre più osteggiata da parte delle Autorità di Controllo, anche a livello Europeo.
Ed è a queste casistiche che intendiamo rivolgere la nostra analisi.
Per capire come impostare (by design) o reimpostare un processo di raccolta dei consensi in modo accountable (che ci permetta, pertanto, di poter rendicontare in modo efficace) occorre analizzare, un per uno, i canali più utilizzati per la cosiddetta “lead generation”.
Per strano che possa sembrare, il canale “fiere ed eventi” è ancora molto utilizzato, ma è anche un canale che può comportare grandi criticità. La maggior parte dei commerciali si affida ancora a moduli cartacei o, peggio, alla mera raccolta di biglietti da visita. Rispetto a tali modalità “preistoriche”, non resta che consigliare vivamente l’utilizzo di token digitali o applicazioni per la raccolta dei consensi e suggerire caldamente l’abbandono del cartaceo e della pratica – del tutto ingestibile dal punto di vista dell’accountability – della raccolta di biglietti da visita.
Sfide nella raccolta del consenso digitale
Il canale digitale è forse il più ampio, perché raccoglie in sé la lead generation fatta direttamente sui siti web dei titolari del trattamento, quella effettuata tramite le cosiddette carte fedeltà e i consensi ottenuti tramite canali esterni (ad esempio comparatori o, in generale, auto-procacciatori e list providers).
Ma come si fa, quindi, a provare che quello specifico interessato ha concesso il proprio assenso al trattamento dei suoi dati personali su quella specifica pagina web e in quello specifico momento?
Sino a oggi il sistema più utilizzato è quello di conservare l’indirizzo IP e la data e ora della registrazione dell’utente allo specifico sito web o piattaforma (time stamp), per poi produrli a richiesta dell’interessato o dell’Autorità di Controllo.
Tutto questo, nonostante l’Autorità Garante per la protezione dei dati personali abbia più volte sottolineato come queste informazioni, se non supportate da ulteriori accorgimenti organizzativi o tecnologici, non sono idonei a comprovare la genuinità del consenso. Esse mancano infatti sia del requisito di dover essere attribuibili senza dubbio ad uno specifico interessato sia, spesso, del requisito di non modificabilità in ordine al supporto sulle quali sono state salvate per poi essere prodotte a richiesta.
Metodi avanzati di prova del consenso
Il vero scoglio è quindi il seguente: come si fa a garantire che le informazioni offerte a titolo di accountability sono reali e non artefatte e, soprattutto, attribuibili ad uno specifico interessato?
Certo non può essere considerato conforme un foglio Excel o un formato html su cui sia meramente riportata la coppia di dati sopra descritta, perché chiunque potrebbe crearla e chiunque potrebbe modificarla.
In recentissimi provvedimenti del Garante Privacy si legge:
“(…) i file Excel nei quali sarebbero stati registrati i dettagli degli asseriti consensi rilasciati dagli interessati sono risultati modificabili e, in quanto tali, inidonei a comprovare, in modo inequivocabile, la volontà espressa dai medesimi in relazione al trattamento dei loro dati personali. Per quanto riguarda il requisito dell’immodificabilità del documento così formato, elemento essenziale per attestare pienamente l’espressione del consenso degli interessati, si richiamano le disposizioni, applicabili anche al settore privato, contenute nel CAD” e, ancora, “… la documentazione prodotta …, non attiene a record direttamente estratti dai sistemi informatici aziendali ma consiste in una mera trasposizione in formato Excel dei dati ivi contenuti; di conseguenza tale documentazione non può essere valutata sul piano probatorio in quanto privata delle caratteristiche di oggettività, integrità e immodificabilità“.
L’acquisizione del consenso in base al Codice di Condotta in materia di telemarketing e teleselling
Il Codice di Condotta in materia di telemarketing e teleselling approvato dal Garante Privacy considera come correttamente acquisito un consenso che risulti adeguatamente documentato tenendo traccia con modalità informatiche che ne garantiscano l’immodificabilità della data e dell’origine.
Il medesimo Codice di Condotta suggerisce, a titolo di esempio, due possibili strade:
- la conservazione sia della coppia IP-timestamp del soggetto che ha fornito il consenso on line selezionando le apposite caselle, sia dell’invio allo stesso soggetto di un messaggio di notifica della registrazione del consenso (ad esempio, SMS) o, in alternativa,
- meccanismi cosiddetti double opt-in dove il consenso acquisito on line viene successivamente confermato dall’interessato rispondendo ad un messaggio di conferma.
Questo approccio mitiga anche la criticità che più comunemente viene evidenziata quando si ragiona in termini di comprova: come posso essere sicuro che dietro a quello schermo ci fosse proprio quello specifico interessato, quando è stato rilasciato il consenso attestato dall’indirizzo IP e dal timestamp?
L’invio di un messaggio di conferma (con magari l’indicazione chiara di dove si possa gestire l’eventuale revoca) all’utenza dell’interessato o di una e-mail all’account che esso stesso ha rilasciato in sede di compilazione del form, possono sicuramente aiutare a dimostrare la ragionevole attribuzione di un consenso ad uno specifico interessato.
Prova del consenso in assenza di contatti diretti
Ma come si opera in situazioni in cui non è presente alcun dato di contatto, ad esempio quando si raccolgono consensi per l’installazione di cookies analitici o altri strumenti di tracciamento o, ancora, quando si richiede un consenso per la profilazione?
Come si fa, in tali casi, a considerare il consenso come adeguatamente documentato?
Di nuovo, la privacy by design arriva in aiuto di chi intende essere per quanto possibile a riparo da possibili censure, che possono arrivare sino alla inutilizzabilità di interi data base (prospettiva forse ancora peggiore della sanzione amministrativa pecuniaria e della sanzione accessoria della pubblicazione del provvedimento).
Si può mutuare dall’esperienza dell’acquisizione forense di elementi probatori su base informatica secondo i dettami della scienza della “Digital Forensic” che disciplina, appunto, la gestione, l’utilizzo il trattamento conservazione dei dati digitali.
Ed infatti, la prova digitale sia diventata un elemento centrale nell’ambito della protezione dei dati personali e della regolamentazione del trattamento delle informazioni online. Le pratiche aziendali di raccolta e utilizzo dei dati, nonché la capacità di documentare in modo preciso e trasparente tali operazioni, sono cruciali per garantire la conformità alle normative e per tutelare i diritti degli utenti. In questo contesto, le tecniche di analisi forense e l’utilizzo di strumenti avanzati di tracciamento e certificazione digitale si rivelano essenziali rappresentando un pilastro fondamentale della compliance alle leggi sulla privacy e della protezione dei diritti individuali.
