Con una recente decisione, il Garante per la protezione dei dati personali (Garante) ha ribadito ancora una volta un principio che si sta sempre più consolidando nella sua prassi: il meccanismo del double opt-in rappresenta lo stato dell’arte per l’ottenimento del consenso a fini di marketing.
La decisione, adottata nei confronti di una nota società operante nel settore energetico, si inserisce in una più ampia linea di precedenti azioni di contrasto e conferma una posizione normativa ormai chiara in materia di consenso.
Il caso riguardava una società che aveva implementato pratiche di marketing non conformi al Regolamento generale sulla protezione dei dati (GDPR). Tra le principali criticità individuate figurava la mancata adozione di misure tecniche adeguate in grado di verificare in modo efficace e dimostrabile che il consenso fosse stato validamente prestato dagli interessati.
In particolare, l’azienda si limitava a raccogliere il consenso attraverso metodi non sufficientemente affidabili dal punto di vista della responsabilità e della prova, senza implementare sistemi in grado di verificarne l’autenticità. Questo approccio è stato ritenuto inadeguato dal Garante, in quanto non garantisce che il consenso sia stato effettivamente prestato dall’interessato.
Il ruolo del double opt-in
Nella sua decisione, il Garante sottolinea la necessità di adottare strumenti che garantiscano la piena tracciabilità del consenso e la sua effettiva attribuzione all’interessato.
In questo contesto, il meccanismo del double opt-in svolge un ruolo fondamentale. Si tratta di un processo in due fasi: un’espressione iniziale del consenso (ad esempio, tramite un modulo online) seguita da una fase di conferma, tipicamente effettuata tramite un link inviato via e-mail o un codice inviato via SMS. Solo dopo questa seconda azione il consenso può essere considerato validamente ottenuto.
Questo sistema non solo consente di verificare l’esattezza dei dati di contatto forniti, ma permette anche di dimostrare in modo più solido che il consenso sia stato effettivamente espresso dall’interessato.
Il Garante rileva che, sebbene anche altre soluzioni tecniche possano garantire livelli adeguati di tracciabilità e sicurezza, il double opt-in rappresenta attualmente il metodo che offre le garanzie più solide in termini di prova del consenso. Per questo motivo, anche se non è espressamente richiesto dal GDPR o dal Codice della Privacy italiano, è considerato lo stato dell’arte nella raccolta del consenso per finalità di marketing e telemarketing.
Secondo il Garante, tale meccanismo costituisce il modo più efficace per accertare la reale intenzione dell’utente, riducendo il rischio di un consenso non informato, fraudolento o comunque non valido.
Conclusioni
Dalla decisione emerge chiaramente che l’approccio del Garante si sta orientando sempre più verso il trattamento del double opt-in come requisito di fatto nelle attività di trattamento relative al marketing.
Infatti, questa decisione fa parte di una linea di applicazione già consolidata e rafforza ulteriormente il ruolo centrale di questo meccanismo all’interno del quadro della protezione dei dati.
Per le aziende, ciò implica la necessità di rivedere i propri processi di raccolta del consenso e di implementare soluzioni tecniche in grado di garantire validità, tracciabilità e responsabilità a lungo termine.
In definitiva, il double opt-in non è più solo una best practice, ma un elemento sempre più essenziale per operare in conformità con la normativa sulla protezione dei dati.
