Il Garante ribadisce il suo no ai consensi acchiappatutto (c.d. omnibus) sui siti web. Con il Provvedimento n. 114 del 27 febbraio 2025, il Garante per la Protezione dei Dati Personali ha inflitto una sanzione pecuniaria di € 300.000 a una società di commercializzazione in ambito energetico a causa di una errata gestione, da parte di quest’ultima, della raccolta dei consensi per finalità di telemarketing e teleselling.
Dal momento che la sanzione inflitta è rilevante e che la pratica di raccogliere consensi online per l’utilizzo di dati di contatto a fini commerciali è estremamente diffusa, riteniamo utile riassumere di seguito i punti salienti del Provvedimento, chiarendo cosa si può e cosa non si può fare quando si progetta un form di raccolta contatti online.
Chi dovrebbe leggere questo articolo? Quando?
Se sei un’azienda che sta progettando il suo sito web o offri servizi di sviluppo e gestione di siti web, app o, in generale, di strategie di presenza online, faresti meglio a leggere questo articolo, salvarlo e chiederci aiuto in caso di dubbi.
Non solo, ti preghiamo di ricordare che il momento migliore per mettere in pratica i suggerimenti che troverai è quello in cui la tua pagina web (o l’app) è in corso di progettazione (o restyling), perché per evitare le sanzioni non potrai limitarti ad utilizzare le “parole giuste” nella parte dedicata alla privacy. Dovrai ragionare su come raggiungere i tuoi obiettivi legittimi impostando gli stessi flussi (es. il design del sito e della call of action) in modo tale da non violare la normativa vigente.
Privacy non significa solo consenso (dark pattern)
Ricordiamo, infine, prima di passare al punto chiave riguardante i consensi “omnibus”, che gli aspetti di cui tenere conto nella progettazione della raccolta di dati di contatto online non si limitano alla corretta impostazione dei consensi. Infatti, ad esempio, è utile evitare di utilizzare i cosiddetti “dark pattern”, volti a manipolare l’utente in modo occulto ed indurlo a fare qualcosa che non vorrebbe. Chiaro, ovviamente, che lo scopo stesso di un sito o app è convertire potenziali utenti in lead o prospect, ma esiste un confine (a volte labile) tra un design accattivante e ben studiato e l’utilizzo di tecniche volte deliberatamente a confondere l’utente o distorcere la sua volontà. Attenzione, ad esempio, al numero di click necessari per revocare un consenso (o un’iscrizione, ad esempio ad una newsletter) che non dovrà essere sproporzionato rispetto al numero di quelli necessari per conferire il consenso (o iscriversi alla newsletter). In altri termini, “uscire” deve essere (più o meno) tanto facile quanto entrare!
Il consenso: sempre e comunque?
Venendo al punto centrale, come deve essere formulata la richiesta di consenso agli utenti? Bene, in primo luogo dobbiamo essere certi che, nel nostro caso, la richiesta di consenso sia opportuna, in base alle norme vigenti in materia di protezione dei dati personali. Infatti, forse non tutti sanno che il Reg. (UE) 216/679 (GDPR), nei suoi articoli 6, 9, e 10 prevede numerose “basi giuridiche”, ovvero condizioni che legittimano il trattamento di dati. Il consenso è solo una tra tante possibilità! Quindi, in alcuni casi, potremo trattare i dati in base ad altre basi giuridiche. Nel caso del marketing online, potrebbe essere più corretto basarsi sul legittimo interesse, ove correttamente bilanciato (cfr. Art. 6, par. 1, lett. f; Considerando 47; Linee Guida 1/2024, EDPB).
Il consenso: senza informativa è carta straccia
Poi, dovremo accertarci di aver predisposto e reso disponibile l’informativa relativa ai trattamenti di dati svolti attraverso il nostro sito o la nostra app (Privacy Policy). Predisporre correttamente un’informativa significa concepire un documento completo, chiaro e specifico per i nostri trattamenti. Tutti i copia-incolla o le formulette vaghe e generiche portano dritti a sanzioni dolorosissime, infatti! Rendere l’informativa disponibile, invece, significa prevedere un’apposita sezione Privacy, raggiungibile dal footer del sito, e, nel touchpoint in cui raccogliamo i dati (es. Form contatti) aver inserito un’informativa breve (anche una riga) che rimandi, per chi lo desideri, tramite link ipertestuale, alla Privacy Policy completa (se molto lunga, possibilmente alla sezione della Privacy Policy inerente ai trattamenti per finalità di marketing). Questo punto è fondamentale, perché ancora troppo spesso aziende e sviluppatori di siti confondono il consenso con l’informativa!
Il consenso: deve essere libero e, quindi, specifico
Infine, la richiesta di consenso vera e propria, di cui parla il Provvedimento citato ad inizio articolo. Tale richiesta deve essere formulata in maniera tale da garantire all’utente un livello adeguato di libertà nella scelta di conferire o meno il consenso. Infatti, agli artt. 4, punto n. 11), 6 e 7 del GDPR e 130 del Codice Privacy, sono previste alcune caratteristiche fondamentali affinché il consenso sia valido e, tra queste, ci sono specificità e libertà. In altre parole, non potremo mai richiedere, come ha fatto la società sanzionata, un consenso troppo ampio. Ma in che senso? Certamente non potremo chiedere un unico consenso per finalità di marketing per conto nostro, profilazione e cessione dei dati a terzi per finalità di marketing. Questa prassi, per quanto più funzionale a massimizzare l’interesse a valorizzare le visite sul nostro sito, è ormai vietata da un orientamento consolidato. Un conto, infatti, è chiedere all’utente di accettare che noi possiamo inviare contenuti promozionali, un conto è chiedergli di essere profilato a tal fine e un conto è chiedergli se possiamo cedere a terzi i suoi dati per le stesse finalità. Possiamo ben immaginare che un utente voglia una cosa e non l’altra e, impedendogli di operare questa scelta, lo forziamo a cedere il consenso rendendolo, dunque, non libero.
Il consenso: deve essere granulare.
Ma c’è di più, come insegna il Provvedimento citato ad inizio articolo. Il consenso deve essere anche “granulare”, ovvero formulato in modo tale che l’utente possa scegliere, tra i terzi, a quali desidera siano ceduti i suoi dati. Ovviamente, dovendo bilanciare gli interessi degli utenti – interessati (scopo della normativa vigente) con quelli del proprietario del sito o dell’app, il Garante non pretende che si chieda un consenso per ogni singolo terzo. Tuttavia, la soluzione utilizzata dalla società sanzionata di chiedere un unico consenso per un insieme vastissimo di terzi, appartenenti a categorie merceologiche molto differenti tra loro e di accomunare, sotto lo stesso consenso, la possibilità di ricevere contenuti tramite diversi canali, è stata ritenuta illecita. Potremo quindi, ad esempio, chiedere un consenso separato per ogni categoria merceologica di terzi e, allo stesso modo, un consenso diverso per la condivisione di contenuti via mail o via SMS, telefonata e così via.
Conclusioni
Quando progettiamo un sito web o un’app che non siano una mera vetrina, dobbiamo porci già in fase di progettazione il problema di far collimare l’esigenza di massimizzare la nostra efficacia commerciale con il rispetto delle norme sulla protezione dei dati personali, altrimenti incapperemo in sanzioni anche molto elevate. Laddove decidiamo di trattare dati per finalità commerciali e individueremo nel consenso, non basta affidarsi al template del sito e lasciare una formuletta “privacy” generica, ma dobbiamo avviare un vero e proprio processo di assesment (anche semplice, in alcuni casi) e domandarci cosa davvero stiamo chiedendo all’utente, per stabilire quali e quanti consensi debbano effettivamente essere richiesti, predisporre le informative necessarie e valutare quali trattamenti di dati siano per noi davvero necessari. Non sempre è facile farlo: per questo, se sei un’azienda che sta progettando il suo sito o la sua app e hai bisogno di supporto consulenziale specializzato o sei uno sviluppatore e cerchi un partner capace con cui sviluppare sinergie a tutela dei tuoi clienti, contattaci subito!
