Ai sensi del GDPR il consenso rilasciato dall’interessato deve essere inequivocabile, specifico, libero ed informato. Quattro termini che non possono essere considerati in maniera disgiunta nel predisporre la policy privacy di un’azienda che operi non solo sul mercato on line, ma anche in caso abbia un semplice sito web tramite il quale tenere aggiornata la propria clientela sulle iniziative commerciali poste in essere. Viene infatti specificato all’art. 4.11, che si ritiene opportuno riportare integralmente, che il consenso consiste in "qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento". La norma, ed un’interpretazione sempre più rigorosa da parte del Garante, impone pertanto agli operatori di rivedere le modalità con cui viene richiesta la manifestazione del consenso ai loro clienti.

La decisione del Garante, risalente al Giugno 2019, con la quale veniva imposto alla Pampers di modificare sui siti aziendali le modalità di raccolta del consenso per i concorsi a punti, sembra non essere stata ben compresa alla luce di quanto ancora si può leggere in rete. In quel caso il Garante aveva imposto provvedimento correttivi in quanto l’azienda non solo chiedeva dati eccedenti e non pertinenti per consentire agli utenti la raccolta punti, ma aveva reso obbligatorio per partecipare a detta raccolta, il consenso per finalità di comunicazioni promozionali.

E’ stato detto da più parti, ed ormai è assodato, che il consenso ai fini del GDPR deve essere granulare, vale a dire specifico per ciascuna forma di trattamento. No quindi ad un consenso generico per le classiche finalità che trovavamo nella vigenza del D. Lgs. 196/2003, per cui con una semplice accettazione, magari un click obbligatorio per procedere sulla navigazione di un sito, si accettava che i nostri dati venissero utilizzati per l’invio di offerte speciali, newsletter, magazine aziendali, ceduti ad aziende partner e ovviamente profilati ad ulteriori fini di marketing. Non solo non è più possibile una simile dicitura o altre analoghe, ma sono ormai anche inutilizzabili i consensi ottenuti con questi sistemi, mancando la specificità e, ovviamente, la possibilità per l’interessato di poter esprimere liberamente il consenso e formarlo liberamente.

La disciplina imposta dal GDPR, di fatto, genera tra le parti un rapporto di natura contrattuale ed è in tal senso che viene chiesto al proponente di permettere all’altra parte di conoscere i termini dell’accordo che viene concluso. In altri provvedimenti, in particolare nella vicenda che ha visto contrapposti Facebook e CasaPound, il Tribunale di Roma ha accertato che il rapporto Facebook – utente è un contratto atipico che si perfeziona sulla base delle regole dei contratti per adesione, ma anche in altro provvedimento nei confronti dello stesso Social è stato ribadito dal Garante per la Concorrenza come i dati dell’utenza rappresentino una controprestazione contrattuale.

In sintesi per ogni singola attività di marketing o promozionale, ogni azienda dovrà predisporre privacy policy e informative che prevedano la possibilità per l’utenza di formarsi ed esprimere un consenso non generico ma specifico per ogni singola possibilità. Ciò vuol dire che anche il marketing selvaggio potrebbe subire un forte ridimensionamento.