Salta al contenuto
Novità Privacy consenso dati personali GDPR marketing WhatsApp

Garante Privacy: Consenso non valido per chat promozionale WhatsApp e visibilità dati

Garante Privacy: Consenso non valido per chat promozionale WhatsApp e visibilità dati

In sintesi

Il Garante per la Protezione dei Dati Personali ha avviato un procedimento contro Zena s.r.l.s. per aver inserito un utente in un gruppo WhatsApp con 47 membri, rendendo visibili i loro numeri di cellulare, senza un consenso valido. L'azienda aveva giustificato l'azione con un presunto "consenso ampio" derivante da un acquisto su Amazon. Il Garante ha invece riscontrato finalità prevalentemente promozionali non supportate da idonea base giuridica.

Contesto

L'Ufficio del Garante ha contestato tali argomentazioni, rilevando che la chat aveva "finalità evidentemente promozionali". Tra i messaggi pubblicati dalla Società nel gruppo figuravano esplicite promozioni come "Buongiorno!!! Vi scriviamo da Zena Padel ci sono attivi molti sconti sul nostro sito!!! www.zenapadel.com" e "Buongiorno sul sito www.zenapadel.com ci sono tutti i saldi che ovviamente su Amazon non ci sono".

Perché conta

Per un DPO o un responsabile IT, la vicenda sottolinea l'importanza di implementare procedure rigorose per la gestione dei consensi e delle informative privacy. La visibilità dei numeri di telefono di più utenti senza il loro esplicito consenso può inoltre configurare una violazione di dati personali (data breach), richiedendo un'attenta valutazione dei rischi e l'adozione di adeguate misure di sicurezza tecniche e organizzative. La Direttiva NIS2, pur non direttamente applicabile qui, rafforza il concetto di governance del rischio e di notifica delle violazioni, principi sottesi anche al GDPR.

Cosa fare

  • Ottenere sempre un consenso esplicito, specifico e informato prima di inserire utenti in gruppi di messaggistica o per finalità promozionali.
  • Assicurarsi che la base giuridica per ogni trattamento di dati personali sia chiaramente definita, documentata e valida.
  • Fornire informative sulla privacy chiare, complete e facilmente accessibili, che dettaglino le finalità del trattamento e i diritti degli interessati.
  • Implementare misure tecniche e organizzative per garantire la privacy by design e by default, minimizzando l'esposizione dei dati personali.
  • Rivedere e aggiornare periodicamente le politiche interne relative all'uso delle piattaforme di messaggistica per comunicazioni con i clienti.

Cosa evitare

  • Inserire automaticamente utenti in gruppi di chat promozionali senza aver acquisito il loro consenso specifico e inequivocabile.
  • Interpretare un acquisto generico come un "consenso ampio" valido per finalità di marketing non strettamente necessarie all'esecuzione del contratto.
  • Rendere visibili i dati personali (come i numeri di cellulare) di più utenti in un gruppo senza un'espressa autorizzazione di ciascun interessato.
  • Sottovalutare i reclami degli utenti relativi al trattamento dei dati personali e non fornire risposte esaustive e conformi.

Implicazioni pratiche

Le organizzazioni devono rafforzare la propria governance della privacy, assicurandosi che ogni attività che coinvolga dati personali sia supportata da una base giuridica solida e documentata. L'utilizzo di strumenti di comunicazione come WhatsApp per scopi commerciali o promozionali richiede un'attenta valutazione delle implicazioni sulla privacy e l'adozione di pratiche che garantiscano il pieno rispetto dei diritti degli interessati. La mancata conformità, anche per pratiche apparentemente minori, può portare a sanzioni e danni reputazionali significativi.

Azioni da fare

  • Condurre un audit interno delle procedure di acquisizione del consenso per tutte le attività di marketing e comunicazione.
  • Formare il personale sulle migliori pratiche in materia di privacy e sulla gestione dei dati personali, inclusi gli usi accettabili delle piattaforme di messaggistica.
  • Valutare l'implementazione di sistemi che traccino in modo trasparente e revocabile il consenso degli utenti per diverse finalità di trattamento.
  • Considerare alternative ai gruppi WhatsApp (es. liste broadcast, se unidirezionale e con consenso) che garantiscano maggiore controllo sulla visibilità dei dati degli utenti.

Errori da evitare

  • Presupporre che un cliente sia automaticamente disponibile a ricevere comunicazioni promozionali tramite canali non esplicitamente autorizzati.
  • Non avere una chiara documentazione che dimostri il consenso per ogni specifica finalità di trattamento dei dati.
  • Ignorare o minimizzare l'importanza dei diritti degli interessati, come il diritto di opposizione o di cancellazione.

Domande di self-assessment

  • Abbiamo ottenuto un consenso esplicito e granulare per tutte le finalità di marketing e comunicazione che coinvolgono i dati personali dei nostri clienti?
  • Come gestiamo e documentiamo i consensi degli utenti, e come è garantita la loro possibilità di revoca?
  • I dati personali dei nostri clienti sono esposti ad altri utenti in qualsiasi sistema di comunicazione di gruppo che utilizziamo, e abbiamo il consenso specifico per tale esposizione?
  • Le nostre informative privacy sono sufficientemente chiare e accessibili per informare gli utenti su come vengono trattati i loro dati e sui loro diritti?

Riferimenti

Normativa nazionale: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR) · Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) · Regolamento (UE) 2016/679 (GDPR) art. 58 par. 2 · Codice in materia di protezione dei dati personali (d.lgs. 196/2003) art. 166 comma 5 · Codice in materia di protezione dei dati personali (d.lgs. 196/2003) art. 157

Leggi l'articolo originale su garanteprivacy.it ↗

Leggi anche