Il 27 febbraio 2025, l’Autorità Garante per la protezione dei dati personali (“Garante”) ha emesso un’importante decisione in materia di consenso per finalità di marketing di terzi. La decisione si concentra sulla necessità di garantire che il consenso dell’utente sia libero, specifico e granulare, in linea con i principi del GDPR.
Il caso
Il provvedimento trae origine da 82 reclami riguardanti chiamate indesiderate effettuate senza un’adeguata base giuridica da parte di una società che è stata successivamente sanzionata. Tale società aveva ricevuto dati personali da altri titolari che, al momento della raccolta, avevano ottenuto un consenso generico per la comunicazione a terzi per finalità di marketing.
Al centro della decisione c’è la questione della validità del consenso per la cessione dei dati a terzi. Il Garante ha valutato se le modalità di acquisizione del consenso fossero conformi ai principi di libertà, specificità e granularità del consenso previsti dal GDPR, evidenziando criticità nel processo adottato.
Le osservazioni del Garante sul consenso granulare
Il Garante ha chiarito che non può essere considerato valido un consenso troppo generico per la condivisione di dati personali a terzi per finalità di marketing. In particolare, ha sottolineato che la modalità utilizzata per ottenere il consenso non consentiva agli interessati di scegliere quali specifici destinatari terzi potessero ricevere i loro dati. La formula utilizzata faceva riferimento a una gamma ampia e indistinta di destinatari appartenenti a settori molto diversi, con più di venti macrocategorie elencate.
Per quanto riguarda i canali utilizzati per l’invio di comunicazioni promozionali, il Garante ha inoltre sottolineato che agli interessati non è stata data la possibilità di esprimere una preferenza chiara. Gli utenti sono stati di fatto costretti ad accettare un unico consenso indiscriminato, senza la possibilità di scegliere se ricevere offerte relative a specifiche categorie di prodotti o di selezionare i canali di comunicazione preferiti.
Il Garante ha inoltre ribadito che l’utilizzo di formule generiche per ottenere il consenso impedisce agli individui di esprimere una volontà consapevole e inequivocabile. Di conseguenza, il consenso sembrava essere forzato e non rispettava il principio di autodeterminazione, in quanto gli utenti si trovavano di fronte a una scelta binaria: accettare la comunicazione dei propri dati a un numero indefinito di destinatari o rifiutare del tutto il consenso.
Secondo il GDPR, gli utenti devono poter esprimere un consenso libero, granulare e specifico. Per il Garante ciò significa che gli utenti devono poter selezionare macrocategorie di prodotti o servizi per i quali desiderano ricevere comunicazioni promozionali ed esprimere facilmente le proprie preferenze in merito ai canali di comunicazione preferiti.
Per quanto riguarda i canali di comunicazione, il Garante ha stabilito che agli utenti deve essere data la possibilità di ricevere comunicazioni promozionali solo attraverso mezzi specifici, come i metodi di contatto tradizionali. Questa opzione deve essere esplicitamente indicata nell’informativa sulla privacy e deve essere facilmente esercitabile dagli utenti senza costi aggiuntivi o procedure complesse.
Conclusioni
Alla luce delle disposizioni del Garante, sarà quindi necessario adeguarsi prevedendo consensi separati per la cessione dei dati a terzi per finalità di marketing, fornendo moduli che consentano la selezione di macrocategorie di destinatari e il canale di comunicazione attraverso il quale inviarli.
Riteniamo tuttavia che ciò non implichi l’obbligo di ottenere un consenso separato per ogni soggetto a cui il titolare del trattamento intende comunicare i dati. Il numero di consensi necessari dovrà essere determinato caso per caso, considerando fattori quali il numero di destinatari, la dimensione e la rilevanza delle categorie di prodotti coinvolte rispetto all’attività del titolare del trattamento, nonché qualsiasi altra circostanza utile a garantire che l’interessato possa esprimere liberamente la propria volontà e mantenere il controllo sui relativi dati.
Sarà quindi necessario valutare la necessità di
- modificare i moduli di acquisizione del consenso, adottando soluzioni che consentano agli utenti di esprimere scelte più dettagliate e selettive con riferimento alle macro-categorie di soggetti ai quali i dati vengono ceduti per finalità di marketing;
- modificare le informative privacy al fine di indicare la possibilità per l’interessato di richiedere di ricevere comunicazioni di marketing solo attraverso modalità tradizionali di contatto, e rendere più agevole l’espressione di una preferenza in merito al canale di comunicazione preferito per la ricezione di comunicazioni commerciali e modificare i propri processi al fine di garantire effettivamente tale possibilità;
- verificare se tali modifiche sussistono anche in relazione ai dati acquisiti presso terzi.
Su un argomento simile può essere d’interesse l’articolo: “Recenti provvedimenti sanzionatori del Garante Privacy in ambito telemarketing per telefonate senza consenso e attivazione di contratti non richiesti“