Il GDPR richiede che le aziende dispongano di una base giuridica per il trattamento dei dati. Una di queste è il consenso, che secondo il GDPR deve essere libero, informato, specifico e revocabile. Ciò significa che il meccanismo di acquisizione del consenso deve essere inequivocabile e comportare una chiara azione positiva.
Il consenso non è necessario per attività di trattamento relative a servizi essenziali o all’adempimento di obblighi di legge, ma va richiesto quando si sta offrendo un servizio non essenziale, come ad esempio l’invio di mail di marketing e newsletter.
A seguire trovi alcuni suggerimenti ed esempi pratici per aiutarti ad ottenere il consenso nella maniera corretta.
Usa un linguaggio semplice quando spieghi i motivi per cui hai bisogno del consenso dell’utente: dì chiaramente perché ti servono quei dati e cosa intendi farne. Inoltre, non dimenticare di indicare il nome della tua azienda e di eventuali terze parti che fanno leva sulla base giuridica del consenso.
Gli utenti devono poter prestare il consenso tramite un’esplicita azione di “opt-in”. Devi quindi evitare checkbox pre-selezionate.
A proposito di opt-in: il modo più sicuro per gestire una mailing list è il doppio opt-in, un processo che prevede due fasi. Nella prima l’utente compila il form e invia la richiesta di iscrizione. Nella seconda riceve un’e-mail di conferma e fa click su un link di verifica del proprio indirizzo e-mail, che verrà quindi aggiunto alla mailing list. Questo metodo di registrazione è considerato una best practice in molti Paesi dell’Unione Europea, in particolare in Germania.
Accettare i termini e le condizioni e prestare il consenso (ad esempio) per delle attività di marketing non sono la stessa cosa: distingui chiaramente le une dalle altre separando gli opt-in.
Permetti agli utenti di prestare separatamente il consenso per attività di trattamento distinte. Aiutali ad avere il pieno controllo delle proprie autorizzazioni elencando tutte le attività che intendi effettuare.
L’utente ha il diritto di revocare il proprio consenso in qualsiasi momento, e tu – in qualità di titolare – devi indicare chiaramente come poterlo fare. Ne consegue che il consenso non può costituire una condizione necessaria per l’erogazione di un servizio.
Le checkbox sono necessarie quando si cerca di ottenere il consenso per finalità separate, ma non sono necessarie quando la finalità perseguita è indicata all’interno del form in modo inequivocabile.
Immaginiamo il caso in cui il tuo sito abbia una finestra pop-up che invita gli utenti a iscriversi alla tua newsletter utilizzando una frase esplicita, come: “Iscriviti alla nostra newsletter per accedere a buoni sconto e aggiornamenti sui nostri prodotti!”. Qui l’azione affermativa corrisponde all’inserire la propria email e quindi il consenso viene considerato valido.
In breve, il soft opt-è consentito quando un utente ha indicato il suo indirizzo email al momento dell’acquisto di un tuo prodotto o servizio.
Secondo le leggi di diversi paesi, puoi utilizzare i dettagli raccolti per inviare email di carattere promozionale senza il consenso se:
Attenzione: questa eccezione non si applica se l’utente ha già effettuato l’opt-out (quindi non è più iscritto alla tua newsletter).
Il GDPR non si limita a definire come vanno raccolti i consensi, ma richiede anche che le aziende li tengano in un registro. Ciò significa che devi dimostrare quando e come hai ottenuto il consenso, e specificare cosa è stato mostrato all’utente nel momento della raccolta.
Il nostro Consent Database semplifica questo processo aiutandoti a memorizzare e gestire la prova del consenso e le preferenze privacy dei tuoi utenti così come richiesto dal GDPR.
