Double Opt In o Single Opt In? Questo è il problema!

Il Double Opt In è una delle due modalità di iscrizione ad una newsletter. L’alternativa è quella del Single Opt In, ma qual’è la scelta che ci rende conformi alle nuove norme sulla privacy?

La creazione di una newsletter per fidelizzare i clienti, cercarne di nuovi e tenerli aggiornati sulle nostre offerte è una prassi di marketing oggi molto diffusa. Tuttavia, la gestione di una newsletter comporta sempre un trattamento di dati personali.

Il Garante Privacy ha espresso parere favorevole alla possibilità di inviare ai propri clienti delle email di c.d. soft spam. Trattasi di offerte promozionali di beni e servizi corrispondenti a quelli già acquistati dal cliente[1]. In questi casi deve sempre essere fornita un’informativa e si deve offrire la possibilità di opporsi al ricevimento di queste email. Tuttavia il consenso espresso non è necessario.

Diversamente, quando si acquisiscono i dati personali di un nuovo soggetto e si intende utilizzarli per l’invio di newsletters, occorre ottenere il suo consenso espresso.

Cos’è il Double Opt In

Per permettere l’iscrizione ad una newsletter ci sono due possibilità: il Single Opt In ed il Double Opt In.

Con il Single Opt In, l’interessato deve inserire i suoi dati personali, in genere nome, cognome ed indirizzo e-mail, e poi cliccare su un pulsante “Iscriviti”. Così facendo, chi si iscrive fornisce il consenso al trattamento dei propri dati ai fini dell’invio della newsletter. Con il click l’iscrizione può ritenersi completata e l’interessato inizierà a ricevere le e-mail della newsletter.

Il Double Opt In aggiunge un passaggio ulteriore. Dopo aver cliccato su “Iscriviti” o su un pulsante analogo, l’interessato riceve una comunicazione e-mail all’indirizzo inserito, con la richiesta di confermare l’iscrizione.Soltanto con la conferma l’iscrizione alla newsletter può dirsi perfezionata.

I vantaggi del Single Opt In e quelli del Double Opt In

Dal punto di vista del marketing, entrambi i modelli di iscrizione hanno i loro pro e contro.

Il Single Opt In garantisce senza dubbio un numero maggiore di iscrizioni. Ciò avviene perché, con la procedura di Double Opt In, non tutti i soggetti che lasciano i loro dati personali sul modulo online rispondono poi all’email di conferma. Le ragioni possono essere le più varie: pigrizia, disattenzione, perdita di interesse etc. Ciò che è certo è che la procedura di Single Opt In scongiura il rischio che alcuni dati vengano persi per la strada.

D’altro canto, il Double Opt In consente di ottenere un numero di dati inferiore ma di maggior valore. Ciò poiché le persone che hanno un reale interesse a finalizzare l’iscrizione non verranno scoraggiate da un click in più su una e-mail di conferma. Non soltanto, il Double Opt In garantisce una maggiore attendibilità del dato, che, nel linguaggio dei Big Data, rappresenta la quarta V (Volume, Velocità, Varietà, Veridicità), ovvero un elemento di valore aggiuntivo[2].

Essendo io un Avvocato e non un esperto di marketing, non mi occuperò di valutare i suddetti pro e contro. La mia valutazione sarà invece strettamente legata al rispetto delle normative sulla privacy, in particolare il Nuovo Regolamento Europeo 2016/679 (GDPR).

Privacy by Design e by Default

In base al principio di Privacy by Design, la tutela della privacy deve essere tenuta in considerazione sin dalla fase di progettazione di un nuovo trattamento. Lo scopo è quello di mettere in atto misure tecniche ed organizzative adeguate a minimizzare il trattamento ed i rischi ad esso collegati.

In base al principio di Privacy by Default, ogni tecnologia deve prevedere come impostazione predefinita il trattamento meno invasivo possibile. Ad esempio: quando ci  si iscrive ad un social network, le impostazioni della privacy preimpostate devono essere le più protettive possibili; i consensi privacy non devono essere preimpostati etc. In sostanza, l’utente non deve mai essere costretto ad un comportamento attivo per innalzare il livello di protezione della privacy, ma semmai per abbassarlo.

La scelta del Double Opt In per essere in regola con il GDPR

Esaminati i suddetti principi, in che modo il Single Opt In è in contrasto con essi? Se scrivessi su un modulo di iscrizione online che prevede il Single Opt In il vostro indirizzo e-mail, non vi iscriverei forse alla newsletter senza il vostro consenso?

Il Single Opt In non garantisce che il consenso all’invio delle newsletter sia stato effettivamente dato dal titolare dell’indirizzo email comunicato. E’ vero, dopo l’invio della prima newsletter, il destinatario può sempre cancellare l’iscrizione. In tal modo però viene costretto a compiere un’azione. Ciò, come abbiamo visto, contrasta con il principio di privacy by default. Pensate se con un sistema automatico inserissi il vostro indirizzo email in cento newsletter diverse. La vostra casella sarebbe infestata da email indesiderate e dovreste perdere un sacco di tempo per cancellarvi.

Il GDPR obbliga chiunque tratti dati personali a minimizzare l’impatto del trattamento. Ecco perché il Double Opt In è l’unica soluzione che, a mio parere, può ritenersi in regola con le nuove norme sulla privacy.

Studio Legale Cappellini Carlesi

Garanti Ue, varate le Linee guida sulla valutazione di impatto privacy

Adottate dalle Autorità  di protezione dati europee riunite nel Gruppo di lavoro ex art.29 le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità  e  facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. La DPIA è uno strumento importante:  aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l´adozione di misure idonee a garantirne il rispetto. In altri termini, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme.  Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". È possibile utilizzare un´unica DPIA per valutare più trattamenti che presentino delle analogie (ad es. un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza). E una analisi  di impatto privacy può essere utile anche per valutare l´effetto di un nuovo dispositivo tecnologico. In ogni caso, a prescindere dalla sua obbligatorietà, la DPIA rappresenta sempre una buona prassi per Pa e imprese.

Per assicurare un´interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri  in vista dell´elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).

L´inosservanza degli obblighi concernenti la DPIA può comportare l´imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell´analisi (quando il trattamento è soggetto a tale valutazione),  lo svolgimento non corretto o la mancata consultazione dell´Autorità di controllo competente ove ciò sia necessario, possono comportare l´applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro  e, se si tratta di un´impresa, fino al 2% del fatturato globale annuo.

Regolamento privacy, come scegliere il responsabile della protezione dei dati

Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l´iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  - introdotta dal Regolamento UE 2016/679 -  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

Nella nota  inviata a un´azienda ospedaliera l´Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali - spesso indicati con l´acronimo inglese DPO (Data Protection Officer) – dovranno avere un´approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L´Autorità ha inoltre chiarito che la normativa attuale non prevede l´obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all´esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina ma, tuttavia, non equivalgono a una "abilitazione" allo svolgimento del ruolo del RPD. La normativa attuale, tra l´altro, non prevede l´istituzione di un albo dei "Responsabili della protezione dei dati" che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all´esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell´ambito di specifici incontri che l´Autorità ha in corso con imprese e Pubblica Amministrazione.

Sì al Gps sui mezzi per raccolta rifiuti, ma senza controllo continuativo

La localizzazione dei veicoli aziendali non può realizzare un monitoraggio costante dei lavoratori. Questa la decisione del Garante della privacy in merito alla richiesta di verifica preliminare, presentata da un´azienda che si occupa di raccolta dei rifiuti, relativa ad un sistema Gps installato su automezzi e apparati mobili in dotazione  ad autisti ed operai [doc. web n.6495708]. Scopo del sistema, quello di assicurare il migliore impiego delle risorse, il coordinamento dei mezzi, la sicurezza del personale e tutelare il patrimonio aziendale. In quest´ottica la società ha correttamente provveduto ad acquisire la specifica autorizzazione da parte della Direzione territoriale del lavoro, nel rispetto della disciplina in materia di controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act. I dati concernenti la  posizione geografica dei dispositivi radiomobili assegnati alle squadre a piedi, non verranno  memorizzati, diversamente da quelli  dei dispositivi installati sui mezzi di raccolta "porta a porta" che saranno invece registrati.

Nell´esaminare il progetto, il Garante ha sottolineato che i dati delle coordinate geografiche, contrariamente a quanto sostenuto dalla società, non possono considerarsi anonimi, in quanto, sebbene il sistema di geolocalizzazione non li associ direttamente ai singoli operatori, l´incrocio con i dati del "sistema turni", preordinati da uno specifico software, consente di risalire all´identità del dipendente a cui sia stato assegnato uno specifico dispositivo.

Per evitare il controllo continuativo a distanza dei lavoratori l´Autorità ha dunque proposto una rilevazione cosiddetta  "ad eventi", che dovrà avvenire nel momento in cui l´automezzo giunga in prossimità di un punto di raccolta già precedentemente georeferenziato.

Il Garante ha ammesso il trattamento dei dati raccolti nei due distinti sistemi (geolocalizzazione e predisposizione dei turni) per l´ulteriore finalità di individuazione e gestione di eventuali anomalie nello svolgimento del servizio, in conformità alla vigente disciplina del lavoro sui controlli a distanza, purché nel rispetto delle previste garanzie a tutela e protezione dei dati degli interessati e con modalità proporzionate. In tal senso, il Garante  ha precisato che la consultazione di questi dati potrà esser effettuata  (a cura degli incaricati, dotati di credenziali di accesso personalizzate, e registrata in appositi file di log) solo in presenza della concreta ricorrenza di anomalie (es. gravi irregolarità nel servizio) che siano state predeterminate e rese note ai lavoratori insieme alle modalità  per l´eventuale trattamento dei dati.

Tra le misure previste in generale dal Garante, la necessità di trattare solo i dati necessari, pertinenti e non eccedenti entro limiti temporali congrui rispetto alle finalità perseguite. Trascorso il termine di conservazione dei dati, questi potranno essere storicizzati solo in forma anonima. Il trattamento dei dati personali dovrà essere notificato all´Autorità e dovranno essere adottate idonee misure di sicurezza a protezione degli stessi.

Il Garante lancia un video per celebrare i 20 anni di privacy in Italia

Per celebrare i vent´anni dall´introduzione nel nostro ordinamento del diritto fondamentale alla protezione dei dati personali, il Garante per la privacy ha realizzato un video che ripercorre le tappe più significative della sua attività e i cambiamenti intervenuti nella nostra società.

Nel corso di questi anni, l´Italia si è potuta avvalere di strumenti giuridici e dell´impegno costante da parte dell´Autorità Garante per tutelare le persone e assicurare che la raccolta, l´uso e la conservazione dei dati avvenissero nel rispetto dei diritti fondamentali: primo fra tutti i diritti costituzionali a vedere salvaguardata la propria libertà e dignità. La stessa normativa si è evoluta con l´adozione del Codice privacy del 2003 per far fronte al mutato scenario del nuovo millennio.

In questi due decenni sì è fatta strada una nuova consapevolezza sull´importanza cruciale della protezione dei dati in un mondo dove sono le informazioni personali sono diventate la nuova fonte di "energia" e dove la sicurezza delle banche dati, la qualità delle informazioni raccolte ed elaborate, la sicurezza delle reti di trasmissione sono diventati obiettivi prioritari e strategici.

Il Garante per la privacy ha svolto un ruolo centrale nella costruzione di questa consapevolezza, definendo regole per il corretto uso dei dati personali, verificando l´applicazione delle norme, sanzionando le violazioni, portando avanti una costante azione di sensibilizzazione.

Alla vigilia di uno storico cambiamento che vedrà da maggio 2018 l´applicazione in tutti i Paesi dell´Unione europea di ununico sistema di regole in materia di protezione dati - l´Italia celebra una ricorrenza importante della sua storia sociale, culturale e giuridica.

Il video è disponibile sul sito del Garante www.garanteprivacy.it/, oltre che sui profili istituzionali attivati sui social media Linkedin (https://www.linkedin.com/company/autorit-garante-per-la-protezione-dei-dati-personali), Google+ (https://plus.google.com/u/1/+GarantedatipersonaliGP) e Youtube (https://www.youtube.com/user/videogaranteprivacy).

Roma, 12 maggio 2017

Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Per i sistemi di geolocalizzazione rimane necessario l´accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.

Questa la decisione del Garante della privacy [doc. web n. 6275314] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete. In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come l´ottimizzazione delle richieste di intervento o delle emergenze, l´innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti, la corretta manutenzione dei veicoli, la tutela del patrimonio aziendale, il calcolo del tempo di lavoro effettivo oppure la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell´istruttoria l´Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori. Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l´autorizzazione all´Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita. Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni. I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione. Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati. Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l´accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo aver effettuato la notificazione al Garante e aver fornito un´informativa completa ai dipendenti.

Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali

Il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.

È un comportamento illecito. Lo ha ribadito il Garante della privacy vietando a una multinazionale l´ulteriore utilizzo dei dati personali trattati in violazione di legge [doc. web n. 5958296]. La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria.

Nel disporre il divieto l´Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare l´esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa. La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell´attività del lavoratore.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.

La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo  trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Dai riscontri effettuati dall´Autorità sono effettivamente emerse numerose irregolarità. La società, ad esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Aveva poi configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. E´ inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell´istruttoria è stato accertato inoltre, che  il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell´attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l´apertura di un autonomo procedimento per verificare l´applicazione di eventuali sanzioni amministrative.