Menù Consenso sui cookie Inizia da qui

Esempi di consenso ai sensi del RGPD

Ultimo aggiornamento il 01 July 2022 di PrivacyPolicies.com Legal Writing Team
Esempi di consenso ai sensi del RGPD

Recentemente, si è assistiti a un turbinio di attività in tema di consenso: "cookie banner" sui siti web, e-mail agli utenti per la conferma della loro continua iscrizione alle mailing list e chi più ne ha più ne metta.

Questo trambusto è dovuto al Regolamento generale per la protezione dei dati dell'Unione europea (RGPD), una legge sulla privacy che prevede requisiti più severi per il consenso di quanto ci sia abituati. Ai sensi del RGPD, consenso significa realmente consenso e certi metodi usati in passato non sono più validi.

Anche la vostra azienda dovrà accertarsi di ottenere il consenso nella maniera adeguata e per le giuste ragioni e, qui di seguito, vedremo come.


Cos'è il RGPD?

Cos'è il RGPD?

Il RGPD è, senza ombra di dubbio, la legge sulla privacy più severa al mondo, ma questo elemento di 'severità' non è certo una novità nelle leggi sulla protezione dei dati e della privacy emanate dall'Unione europea. La Direttiva sulla protezione dei dati, la normativa sulla privacy precedente rimpiazzata dal RGPD, e la Direttiva ePrivacy, nota spesso come "legge sui cookie," garantivano già alla popolazione Ue un alto livello di salvaguardia della privacy.

Il RGPD ha avuto un impatto particolarmente significativo, in quanto si rivolge anche alle aziende che non hanno sede nell'Ue.

Chi deve rispettare il RGPD?

Il RGPD è applicabile alle società ubicate o meno negli Stati Ue qualora:

  • Offrano merci e servizi a residenti dell'Unione europea, a prescindere dal conseguimento o meno di utili.
  • Controllino le abitudini di utenti negli Stati membri dell'Unione europea. Attività del genere possono includere la "profilazione", ovvero la previsione di comportamenti sulla base di osservazioni precedenti, un esercizio molto comune effettuato da molti cookie pubblicitari.

Cosa riguarda il RGPD?

Se la vostra azienda tratta dati personali, è tenuta a conformarsi al RGPD. Il trattamento di dati personali è un'attività quotidiana in ambito aziendale.

Il termine "Dati personali" si riferisce a informazioni che possono servire a identificare una persona. Se non sapete con certezza quali elementi possano essere considerati dati personali, probabilmente la risposta è "tutti".

Secondo la Corte di Giustizia Ue, ad esempio, gli indirizzi IP dinamici sono dati personali poiché, in combinazione con altre informazioni, possono teoricamente identificare un individuo. Lo stesso vale con certi tipi di cookie.

"Trattamento" dei dati personali significa farne uso. Ancora una volta, se avete dubbi su cosa possa essere sottoposto a trattamento, la risposta è "tutto".

Oltre agli aspetti più ovvi, come l'ottenimento dei dati di pagamento o la compilazione di mailing list, anche la conservazione dell'indirizzo IP nei file di registro del server, ad esempio, può essere considerata "trattamento di dati personali."

Differenze nel consenso ai sensi del RGPD

Differenze nel consenso ai sensi del RGPD

Si parla di due tipi di consenso nella maggior parte di leggi sulla privacy: implicito ed espresso.

Le denominazioni, tuttavia, possono variare. Ad esempio, nella Legge anti-spam australiana del 2003, la legge che regolamentava l'invio di email commerciali, il "consenso implicito" era chiamato "consenso dedotto." E, negli Stati Uniti, la legge sulla privacy CAN-SPAM definisce il "consenso espresso" come "consenso affermativo."

La maggioranza di leggi sulla privacy riconosce entrambe le tipologie, tuttavia il consenso implicito non è contemplato nel RGPD. Rispetto ad altre leggi sulla tutela della privacy, ai sensi di tale regolamento è molto più difficile dimostrare che si è in possesso del consenso del cliente.

Consenso implicito

Sostanzialmente, "consenso implicito" significa che si ha motivo di credere che una persona concederebbe il suo consenso se le venisse richiesto.

Il consenso implicito potrebbe esistere in un rapporto tra cliente e azienda. Se qualcuno acquista abitualmente prodotti da un'azienda, questa può credere ragionevolmente che il cliente abbia acconsentito a ricevere comunicazioni di marketing. L'azienda dovrà offrire quasi sempre la possibilità di "opt-out" da tali comunicazioni mediante un metodo di annullamento dell'iscrizione.

Ad esempio, nella CASL, la legge anti-spam canadese che tutela la privacy, il consenso implicito viene applicato automaticamente in presenza di certe condizioni. Il governo canadese spiega tale concetto sul suo sito web:

FAQ sulla CASL del Governo del Canada: Cos'è il consenso implicito?

Consenso espresso

Il consenso espresso è il significato di "consenso" adottato dal RGPD: si richiede il consenso di qualcuno, questi comprende la domanda e le relative implicazioni e fa una scelta effettiva.

La legge anti-spam 2007 sui messaggi elettronici indesiderati della Nuova Zelanda riconosce sia il consenso espresso che implicito. Ecco come il Dipartimento degli Affari Interni neozelandese caratterizza il consenso espresso all'invio di posta elettronica commerciale:

Dipartimento degli Affari Interni della Nuova Zelanda: esempi di consenso espresso

Cinque elementi di consenso secondo il RGPD

L'Art. 4 del RGPD definisce il consenso come "qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile ..." con la quale una persona manifesta il proprio assenso, mediante "una chiara azione positiva", che i dati personali che la riguardano siano oggetto di trattamento.

Questa definizione può essere suddivisa in cinque elementi:

  1. Dato liberamente - l'interessato non deve essere costretto a concedere il suo consenso né subire pregiudizi in caso di rifiuto.
  2. Specifico - all'interessato deve essere richiesto di acconsentire a certi tipi di trattamento dei dati.
  3. Informato - l'interessato deve essere posto in condizioni di conoscere quali dati sono trattati.
  4. Inequivocabile - il linguaggio usato deve essere chiaro e comprensibile.
  5. Chiara azione positiva - l'interessato deve acconsentire espressamente tramite una dichiarazione o un atto inequivocabile.

Secondo il RGPD, in assenza di uno di questi elementi, il consenso non esiste.

Quando è necessario il consenso?

Uno dei miti che circola sul RGPD è che richiede il consenso per ogni tipo di trattamento di dati. Questo non è vero.

Il consenso è solo una delle sei basi giuridiche per il trattamento di dati personali previsto dal RGPD, ivi riassunte dall'Ufficio del Commissario per l'Informazione (ICO- autorità britannica dedita alla protezione dei dati):

Elenco dell'ICO delle basi giuridiche per il trattamento

In linea generale, non si dovrebbe chiedere il consenso se:

  • Si esternalizza un servizio di base (si può ricorrere a un contratto al suo posto).
  • Il trattamento dei dati personali è richiesto dalla legge (obbligo legale).
  • Si sottopongono a trattamento dati personali a beneficio dell'azienda o di altri in una maniera che sia ragionevolmente prevedibile, con rischio e impatto minimi sugli interessati (legittimi interessi).

È necessario richiedere il consenso se si offre una scelta effettiva in relazione a un servizio non essenziale. Tra gli esempi figurano:

  • Uso di cookie di tracciamento/pubblicitari
  • Invio di comunicazioni di marketing o newsletter
  • Condivisione di dati personali con altre aziende per scopi commerciali

Come ottenere il consenso ai sensi del RGPD

Come ottenere il consenso ai sensi del RGPD

Ogni volta che si chiede il consenso degli utenti, devono sussistere i cinque elementi di consenso.

Sin dall'introduzione del RGPD, i cookie banner sono diventati d'uso comune. Molti sarebbero validi in un sistema che permette il consenso "implicito", ma come sappiamo bene, il RGPD riconosce solamente il consenso espresso.

Here's how you can use our Cookie Consent to implement a cookie management solution for your website.

  1. Start building your Cookie Consent by choosing your compliance preference on step 1:

    2. PrivacyPolicies.com: Cookies Consent - Choose your compliance preference - Step 1

  2. On step 2 customize your Cookie Consent - choose banner type and pick color palette:

    3. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  3. Continue with customizing your Cookie Consent widget to best fit your website.

    4. PrivacyPolicies.com: Cookies Consent - Customize your Cookie Consent widget - Step 2

  4. You can also group your JavaScript automatically using our builder page on step 3. Pass all your JavaScript through here so that we can include the necessary cookie consent level:

    5. PrivacyPolicies.com: Cookies Consent - Add your JavaScript scripts - Step 3

  5. And you're done! Now just copy your Cookie Consent code and append it to your website page before the closing of the </body> tag.

    PrivacyPolicies.com: Cookies Consent - Copy your Cookie Consent code - Step 4

    For more info you can check Cookie Consent levels that are available in Cookie Consent.

Altri cookie banner richiedono il consenso a malapena, ma senza successo, come mostra questo esempio del Southbank Centre:

Informativa sui cookie del Southbank Centre

In questo caso, il consenso non viene affatto richiesto e i cookie sono installati automaticamente. Gli utenti sono invitati a leggere ulteriori informazioni, che spiegano come rinunciare all'uso di cookie.

Tuttavia, non bisogna dimenticare i cinque elementi: il consenso non è dato liberamente in base a tale approccio, non è inequivocabile e non viene espresso attraverso una chiara azione positiva.

La Banca centrale europea offre un esempio migliore:

Informativa sui cookie della Banca centrale europea

I cinque elementi sono tutti presenti. Il consenso è:

  1. Dato liberamente - l'enfasi non è posta né su "Accetto" né su "Non accetto."
  2. Informato - all'utente viene comunicato il motivo alla base del trattamento, invitandolo a leggere ulteriori ragguagli.
  3. Inequivocabile - il linguaggio è chiaro e comprensibile.
  4. Specifico - l'utente è invitato ad acconsentire solo a un tipo di trattamento dei dati.
  5. Ottenuto mediante un'azione chiara e positiva - l'utente deve fare clic su "Comprendo e accetto."

Come si può notare, non è necessaria una casella di spunta "Acconsento" addizionale, ma basta un solo click per richiesta.

Questo è un caso molto semplice, dal momento che il sito web della Banca centrale europea utilizza solo cookie molto basilari. Experian adotta un altro approccio per richiedere un consenso specifico per vari tipi di cookie:

Schermata delle impostazioni del Centro Preferenze Privacy di Experian

L'Informativa sulla privacy (o la Politica sui cookie) deve informare gli utenti in merito all'uso di cookie. Makermet spiega i vari tipi utilizzati:

Politica sui cookie di Makermet: grafico Nome e funzione dei cookie

Va sottolineato che il consenso non si esterna solo con le parole, ma soprattutto con le azioni. Si consiglia di non impostare i cookie a fini pubblicitari se l'utente non ha acconsentito al loro uso.

Consenso per l'invio di materiale di marketing

Il RGPD dovrebbe segnare la fine delle caselle pre-spuntate, una tattica impiegata dalle aziende per molti anni nella speranza di indurre gli abbonati a iscriversi alla loro mailing list senza volerlo.

Si potrebbe avere l'impressione che esista solo una piccola distinzione tra chiedere di selezionare una casella o di deselezionarla. Tuttavia, "la mancata deselezione" non fa parte dei cinque elementi di consenso previsti dal RGPD e, pertanto, non può essere usata per dimostrare che si è in possesso del consenso dell'interessato.

È facile attuare i cinque elementi di consenso del RGPD quando si chiede agli utenti di iscriversi a una mailing list. Dynastar lo dimostra:

Modulo di iscrizione alla newsletter via e-mail di Dynastar

Come si rapporta ai cinque elementi?

  1. Dato liberamente - l'utente si trova di fronte a una scelta ovvia, nel senso che può decidere di fornire o meno il suo indirizzo e-mail.
  2. Informato - all'utente viene comunicato il motivo del trattamento, anche se il termine "marketing" è a caratteri piccoli. L'utente viene invitato a leggere l'Informativa sulla privacy di Dynastar.
  3. Inequivocabile - il linguaggio è chiaro e comprensibile.
  4. Specifico - il fatto che la newsletter è una sorta di attività di marketing potrebbe essere spiegato in termini più chiari, ma si tratta di una questione secondaria.
  5. Ottenuto mediante un'azione chiara e positiva - l'immissione dell'indirizzo e-mail e l'azione di cliccare su "Iscriviti alla newsletter" sono atti chiari e positivi.

È decisamente un ottimo esempio di un meccanismo di iscrizione a una mailing list.

Un altro esempio è fornito da Cooper Vision, che spiega innanzitutto all'utente a cosa si sta iscrivendo:

Disclaimer del modulo di Cooper Vision per l'iscrizione alla ricezione di aggiornamenti marketing

Poi gli vengono offerte varie opzioni di ricezione delle informazioni:

Modulo di iscrizione alle mail di marketing di Cooper Vision con opzioni

La richiesta di consenso di Cooper Vision soddisfa egregiamente i requisiti del RGPD.

Spesso, il consenso all'invio di materiale di marketing viene ottenuto quando l'utente si iscrive a qualche altro servizio o interagisce con l'azienda secondo altre modalità. L'esempio di Protect Your Gadget lo dimostra. Qui, l'utente sta per accettare di ricevere un preventivo assicurativo:

Modulo di iscrizione alla ricezione di mail di Protect your Gadget

Fintantoché è chiaro che si tratta di un'opzione separata e che la risposta predefinita è "no," non sussiste alcun problema. Il problema viene a crearsi se un utente accetta la ricezione del materiale di marketing senza accorgersene o senza averlo fatto esplicitamente.

A questo proposito, è buona prassi implementare un "doppio opt-in", un processo che chiede agli utenti di confermare la loro adesione tramite una mail di convalida. Ecco l'esempio di Textbroker:

Email di conferma dell'iscrizione alla newsletter di Textbroker

Consenso per marketing di terze parti

Esistono due metodi per invogliare gli utenti ad accettare le comunicazioni di marketing da altre aziende: inviando direttamente il materiale di terzi oppure condividendo i loro dati di contatto con le terze parti.

Il RGPD non vieta l'uso di nessuno dei due casi, ammesso che si sia chiari e trasparenti in ogni aspetto del trattamento dei dati. Il consenso per tali scopi è quasi sempre necessario.

Si sconsiglia di raggruppare la richiesta di consenso per la condivisione dei dati personali con richieste per altre finalità. Date uno sguardo all'esempio di Escapio:

Modulo di iscrizione alla ricezione della newsletter di Escapio tramite email

Agli utenti viene comunicato che si stanno iscrivendo ai "nostri di Escapio suggerimenti e offerte," ma scorrendo lungo la pagina si viene a scoprire di più:

Informazioni sul contenuto della newsletter via email di Escapio

L'utente riceverà comunicazioni di marketing da terze parti, consigli su alberghi e concorsi, quindi molto più di semplici "suggerimenti e offerte" di Escapio. Il consenso per tutti questi elementi è raggruppato in una sola richiesta, venendo a mancare al requisito di un consenso "specifico."

Steam Railway utilizza una richiesta di consenso in forma disaggregata:

Caselle di spunta del modulo di adesione alla ricezione di email da parte di Steam Railway

L'indirizzo e-mail dell'utente verrà utilizzato per tre scopi diversi, pertanto è opportuno richiedere il consenso in tre modi distinti usando tre caselle di spunta separate.

Anche Alfa Romeo non raggruppa le sue richieste di consenso:

Modulo di Alfa Romeo per il consenso alla ricezione di comunicazioni di marketing, di profilazione e di terze parti

Questo è un ottimo esempio di consenso dato liberamente, informato, specifico, inequivocabile e concesso mediante un'azione chiara e positiva.

Il sesto elemento del consenso: semplice modalità di ritiro

Il RGPD prevede un sesto elemento: deve essere possibile ritirare facilmente il consenso.

Le comunicazioni di marketing, quindi, devono includere un'opzione di annullamento dell'iscrizione. Hermes adotta questo approccio:

Email di Hermes con opzione di annullamento dell'iscrizione

Altre modalità di ritiro del consenso devono essere spiegate chiaramente nell'Informativa sulla privacy. Bauer Publishing usa la seguente clausola:

Informativa sulla privacy di Bauer Publishing: clausola Consenso

Spesso, i cookie sono gestiti attraverso un "cookie manager." Questo è l'esempio di Onedox:

Screenshot del cookie manager di Onedox

Come si può notare, molte di queste impostazioni sono automaticamente su "off".

Consenso su un'app mobile

I principi sul consenso per le applicazioni mobili sono pari a quelli applicabili agli altri mezzi.

Questa è la richiesta di consenso dell'app di Swiftkey:

Schermata di installazione dell'app Android di Swiftkey con l'opzione di accettazione dei Termini di servizio e dell'Informativa sulla privacy evidenziata

Swiftkey afferma di ottenere il consenso dell'utente al momento dell'installazione dell'app. L'installazione non è opinabilmente un atto inequivocabile o chiaro e positivo che mostra necessariamente il contenuto.

Ciò non rappresenta un problema se l'app non raccoglie dati che saranno utilizzati per inviare pubblicità mirata (che richiede un consenso specifico). Una breve occhiata all'Informativa sulla privacy di Swiftkey (gestita da Microsoft) rivela che il consenso specifico è necessario, dal momento che i dati raccolti sono usati per pubblicità mirata.

Informativa sulla privacy di Microsoft: clausola Come utilizziamo i dati personali con la sezione su pubblicità e marketing evidenziata

Sulle app mobili è normale raccogliere dati per servizi non essenziali, come quelli di localizzazione, su cui però si dovrà concedere un certo livello di controllo agli utenti. Un ottimo esempio di consenso informato è fornito da Google:

Schermata di richiesta del consenso dell'app Android Google Drive

Sintesi - Il consenso ai sensi del RGPD

Affinché il consenso sia significativo secondo i principi del RGPD, deve essere:

  • Dato liberamente - non provate a "ingannare" gli utenti a concedere il loro consenso e non ritirate altri servizi se decidono di non fornirlo.
  • Specifico - per elaborare il consenso di un interessato per più finalità, è necessario richiederlo per ciascun tipo di trattamento.
  • Informato - spiegate chiaramente gli aspetti a cui l'utente dà il suo consenso, indicando come adoperarsi qualora cambi idea.
  • Inequivocabile - esprimetevi con un linguaggio chiaro e comprensibile e offrite una scelta semplice.
  • Effettuato mediante un'azione chiara e positiva - non date mai per scontato di avere il consenso di qualcuno fino a quando non lo esprime esplicitamente.

E infine, una volta ottenuto il consenso dell'interessato, offrite opzioni semplici per il ritiro.

PrivacyPolicies.com Legal Writing Team

Ultimo aggiornamento il 01 July 2022

Informazioni legali, modelli legali e politiche legali non costituiscono consulenza legale. Si prega di leggere la dichiarazione di non responsabilità.

Inizia da qui

Articoli correlati

Modello campione Politica sui cookie

Modello campione Politica sui cookie

Se la vostra azienda fa uso di cookie o altre forme di file per raccogliere e memorizzare informazioni sugli utenti, è assolutamente necessario che pubblichiate una Politica sui cookie sul...

Informativa sulla privacy conforme al RGPD

Informativa sulla privacy conforme al RGPD

Il Regolamento generale sulla protezione dei dati (RGPD) è una legislazione emanata dall'Unione europea per concedere ai residenti degli Stati membri maggior controllo sui dati che li riguardano. Secondo questa...

Modello campione di Informativa sulla privacy

Modello campione di Informativa sulla privacy

Il mondo degli affari odierno dipende fortemente dai dati e dalle informazioni che essi rivelano. I dati sono di importanza critica per le aziende che elaborano tali informazioni per fornire servizi...