Newsletter, richieste di contatto e consenso privacy

Diciamo pure che tra le motivazioni principali che mi hanno convinta a seguire un corso di 80 ore sul GDPR c’era proprio questa domanda: volevo una risposta certa e inequivocabile a un dubbio che mi assillava da quasi due decenni

Quando va richiesto il consenso per il trattamento dei dati personali nei moduli presenti nei siti internet? E c’è un modo giuridicamente (s)corretto per farlo?

Dico subito che non è stato facilissimo: un informatico (come mi chiamavano i miei compagni di banco) che si immerge nel mondo della giurisprudenza non ha vita semplice, soprattutto all’inizio. Ma aggiungo anche che con un po’ di buona volontà si può fare e che io, che di buona volontà ne ho un bagaglio inesauribile, ci sono riuscita. Con un livello di soddisfazione che mi fa pensare solo a Pensiero Profondo quando finalmente fornì la risposta alla Domanda fondamentale sulla vita, sull’universo e tutto quanto (che per chi non lo sapesse è 42 ed è tutto raccontato nella Guida Galattica per autostoppisti).

Le basi giuridiche

Non puoi capire le regole del gioco se prima non comprendi alcuni concetti base che regolano l’intero GDPR: mi riferisco in particolare alle basi giuridiche, che per definizione sono 6 (il consenso, il contratto, gli obblighi di legge, gli interessi vitali dell’interessato scusate-il-gioco-di-parole, il legittimo interesse e l’esercizio di pubblici poteri). La base giuridica, sempre per definizione, è il fondamento che giustifica il trattamento, e che quindi permette che il dato personale venga acquisito e – se necessario – conservato.

Nel caso specifico dei moduli di contatto (ovvero di form per l’iscrizione alla newsletter), le possibili basi giuridiche che legittimano il trattamento di dati personali sono 2:

  • il consenso: quella, appunto, che lascia all’utente piena facoltà di decidere, posto che lo si sia adeguatamente informato
  • il contratto: quella, invece, che non chiede alcun permesso all’utente perchè il trattamento è condizione necessaria all’esecuzione di un contratto di cui l’interessato è parte

Di fatto, nella stragrande maggioranza dei casi in esame, nonostante la credenza comune il consenso risulta inutile o addirittura non conforme alla normativa perchè molti moduli di contatto fondano il trattamento proprio sulla seconda base giuridica: il contratto. Il consenso va infatti richiesto esclusivamente quando un modulo costruito per un determinato scopo (o finalità, volendo usare il termine giuridico corretto) viene integrato con opzioni alternative come, ad esempio, l’opzione di iscrizione alla newsletter presente in un modulo di richiesta informazioni.

In tutti gli altri casi, quando cioè un modulo viene pubblicato con una sola finalità, è sufficiente esporre il link all’informativa (senza chiedere di confermarne la presa visione) ed evitare l’aggiunta di flag inutili.

L'eccesso di zelo non ti ripara dalle sanzioni. Anzi.

Purtroppo, non è infrequente trovare in giro situazioni tipo quella riportata in figura 1,  né è infrequente che, di fronte all’obiezione attenzione che tutti quei consensi sono inutili o addirittura inadeguati al Regolamento la risposta sia abbiamo consulenti preparati.

Il punto è che no: non avete consulenti preparati. Avete consulenti affezionati all’eccesso di zelo che non tengono in considerazione quattro elementi fondamentali:

figura 1

Libera circolazione

Oltre alla protezione dei dati personali, il Regolamento nasce per garantire la libera circolazione dei dati stessi. Non definirei la richiesta casuale di consensi un punto a nostro favore, in caso di controllo.

Accountability

Chiedere il consenso quando la base giuridica è il contratto ci mette nella posizione non comodissima di ammettere pubblicamente che stiamo formalmente chiedendo ad altri di assumersi una nostra responsabilità. Così, a occhio, non dà l’idea di essere un comportamento in linea con il principio di accountability.

Tasso di conversione

Ogni campo aggiunto ad un modulo di contatto riduce matematicamente il tasso di conversione. Vogliamo davvero perdere potenziali contatti per due spunte che non servono?

Coerenza

Ci rendiamo conto che chiedere all’utente di accettare di ricevere e-mail in un modulo intitolato RICEVI LA NOSTRA NEWSLETTER è quantomeno curioso?

Concludendo, queste sono le indicazioni per una corretta gestione dei più frequenti moduli di contatto presenti nei siti web:

Richiesta informazioni senza iscrizione alla newsletter

Inserisci un link alla pagina della privacy (qualcosa tipo se vuoi approfondire le nostre politiche sul trattamento dei dati personali clicca qui) vicino al pulsante di invio e non richiedere nessun consenso

Richiesta informazioni con iscrizione alla newsletter

Inserisci un link alla pagina della privacy (qualcosa tipo se vuoi approfondire le nostre politiche sul trattamento dei dati personali clicca qui) vicino al pulsante di invio e un pulsante di opzione non pre-selezionato che richieda esplicitamente il consenso alla newsletter, avendo cura di evidenziare che la mancata iscrizione alla stessa non precluderà in alcun modo la richiesta di informazioni (per i testi precisi rivolgiti al tuo legale di fiducia perchè il terreno è delicato e il fai da te non è mai consigliato, nel mondo della giurisprudenza)

Modulo di iscrizione alla newsletter

Se il modulo ha l’unico scopo di far iscrivere l’utente alla newsletter, inserisci un link alla pagina della privacy (qualcosa tipo se vuoi approfondire le nostre politiche sul trattamento dei dati personali clicca qui) vicino al pulsante di invio e lascia perdere la richiesta di consenso, o di presa visione dell’informativa.