Il nuovo regolamento in materia di privacy traccia un percorso preciso da seguire per chiunque tratti dati personali a scopi commerciali e di marketing.

Vediamo allora come raccogliere, ottenere e registrare i consensi di marketing in maniera conforme al GDPR.

1. Quando il consenso è da ritenersi valido?

Per ritenersi valido, il consenso deve essere:

• accordato liberamente dall’interessato, senza penalità in caso di rifiuto né incentivi in caso di rilascio
• dimostrabile
• specifico per ogni utilizzo previsto
• informato, esplicito e di facile comprensione per l’interessato, privo di caselle pre-spuntate, condizioni di silenzio-assenso, ecc.
• revocabile in qualsiasi momento

2. Quali sono i metodi per ottenere un consenso valido?

Il metodo più chiaro è chiedere all’interessato di spuntare una casella apposita con cui acconsente a ricevere messaggi di marketing esplicitando i canali che si andranno ad utilizzare a tal fine (posta, e-mail, telefonate, ecc.). Possono essere usati altri metodi (come ad esempio cliccare su un’icona, inviare un’e-mail di risposta, sottoscrivere un servizio), l’importante è tenere a mente che:

• l’interessato deve comprendere che sta dando il consenso e a cosa acconsente, senza nascondere dettagli importanti in clausole secondarie
• non è possibile inviare e-mail o messaggi per chiedere un primo consenso, in quanto tali messaggi si configurano come direct marketing non sollecitato e privo del necessario consenso
• occorre prevedere una modalità di recesso semplice ed evidente
• l’onere della prova ricade sempre sull’azienda

La normativa prevede che il consenso possa essere raccolto anche verbalmente, ma in caso di disputa l’azienda dovrà fornire prova di questo consenso, cosa più complessa quando il consenso è raccolto a voce.

3. Chi deve fornire la prova del consenso?

In caso di dispute sarà l’azienda a dover dimostrare di aver ottenuto un consenso secondo le modalità previste dal GDPR. La cosa migliore è tenere un registro chiaro dei consensi che indichi la data, l’oggetto, la metodologia di raccolta e le informazioni necessarie a documentarlo.

4. Ci sono regole collegate ai checkbox usati per richiedere il consenso?

I moduli utilizzati dai siti per la raccolta dei dati personali dovrebbero prevedere delle caselle spuntabili dall’utente, una per ogni finalità per la quale si raccolgono i dati, e tali caselle dovrebbero essere vuote o impostate sul “no”. Non è permesso avere delle caselle già pre-spuntate sul “sì”.