Ciao a tutti i malati di consenso,
Immaginate di essere in giro a fare shopping in città e di trovare improvvisamente il paio di scarpe perfetto. Entrate nel negozio, pronti a spendere soldi. Ma la commessa vi dice che può chiedervi il numero di scarpe solo dopo che avete letto e accettato l'informativa sulla privacy (DSE).
COSA? DAVVERO, ADESSO?! - Certo che no!
Entrando nel negozio, avete fatto una dichiarazione di intenti per l'eventuale avvio di un negozio legale. Nelle transazioni legali, questo è noto anche come "comportamento implicito".
Wikipedia scrive:
"L'azione conclusiva o implicita (latino concludere, "trarre una conclusione") (anche comportamento conclusivo, dichiarazione tacita di intenti o azione implicita) esiste nelle transazioni legali se qualcuno esprime la propria volontà attraverso un comportamento non verbale e il destinatario onesto può dedurne l'intenzione di essere legalmente vincolato, in modo che un contratto possa essere concluso anche senza una dichiarazione esplicita di intenti".
Entrate nel negozio per acquistare delle scarpe, quindi siete disposti ad avviare una transazione e a concludere un contratto corrispondente. E per garantire che le scarpe vadano bene, vi rendete conto fin dall'inizio che il vostro numero di scarpe è un dato personale richiesto. È logico, non è vero?
Perché in molti siti web esistono moduli di contatto con caselle di controllo obbligatorie? Potete inviare la richiesta solo se attivate la casella di controllo e quindi confermate che
- acconsente al trattamento dei suoi dati per rispondere alla richiesta di informazioni oppure
- ha letto il DSE e lo accetta o lo condivide.
Qual è il punto? Forse i gestori dei siti web o le agenzie decidono a favore del consenso per ignoranza o per paura di avvertimenti. Potrebbero semplicemente ritenere che questo sia il modo più semplice e sicuro.
Ma attenzione, ci si può sbagliare. Perché il consenso è una cosa complicata. Da un lato, è necessario documentare che il consenso è stato ottenuto legalmente. Dall'altro, gli interessati hanno il diritto di revocare il consenso in qualsiasi momento.
I processi devono quindi essere tracciati e documentati e, in caso di cancellazione, i dati devono essere cancellati immediatamente in conformità al GDPR (sistemi attivi, backup, ecc.). Ciò che sembra così seducentemente semplice presenta in realtà una serie di insidie e comporta un notevole impegno.
Cosa dice il GDPR?
L'articolo 6 del GDPR prevede tutta una serie di "condizioni di autorizzazione" in base alle quali è consentito il trattamento dei dati personali. Gli articoli rilevanti per il nostro modulo di contatto sono
Art. 6, par. 1, lett. a: Consenso dell'interessato
Art. 6, par. 1, lett. b: adempimento di un contratto o attuazione di misure precontrattuali
Art. 6, par. 1, lett. f: Legittimo interesse del titolare del trattamento
Art. 6, par. 1, lett. a: Consenso dell'interessato
Esistono trattamenti per i quali è necessario ottenere il consenso. Si tratta, ad esempio, dell'utilizzo di determinati strumenti di marketing o di tracciamento/analisi, ecc. Secondo l'autorità bavarese di controllo della protezione dei dati, "il consenso è necessario per i moduli di contatto se vengono trattate categorie speciali di dati personali ai sensi dell'art. 9 par. 1 GDPR. Ciò può avvenire, ad esempio, se il modulo viene utilizzato per richiedere dati sanitari per appuntamenti con un medico, se il modulo di contatto viene utilizzato per iscriversi a un'organizzazione religiosa o a un partito politico o se l'utente può caricare allegati che consentono di trarre conclusioni sulla religione, l'origine etnica, l'orientamento sessuale, ecc.
[1] Estratto dal rapporto di attività 2017/2018 dell'ADL Baviera del marzo 2019 -.
Ciò non vale nel caso di un modulo di contatto che non contenga dati particolarmente sensibili. L'utilizzo di un modulo di contatto può quindi basarsi su altre basi giuridiche per la maggior parte delle applicazioni.
Art. 6, par. 1, lett. b: adempimento di un contratto o attuazione di misure precontrattuali
Art. 6, comma 1, lettera f: legittimo interesse del titolare del trattamento.
L'altra opzione è quella di basare l'uso di un modulo di contatto sul legittimo interesse del gestore del sito web. È ovvio che il gestore del sito web ha un interesse evidente e giustificato a rispondere a una richiesta di informazioni inviatagli.
Il legislatore stabilisce che, in caso di trattamento dei dati basato su questo motivo giuridico, è necessario effettuare un bilanciamento degli interessi. Quando si utilizza un modulo di contatto, tuttavia, è logico supporre che gli interessi delle parti coinvolte coincidano: Una parte fa una richiesta e si aspetta una risposta, l'altra desidera rispondere alla richiesta.
Attenzione alla miscelazione con basi contrattuali
Quindi siamo chiari: una "casella di controllo obbligatoria" non è necessaria per la maggior parte dei moduli di contatto. Con il DSE, stiamo semplicemente adempiendo al nostro dovere di fornire informazioni in conformità al GDPR. Nessun interessato o cliente è obbligato a leggere effettivamente l'informativa e certamente non ad accettarla o accettarla.
Tuttavia, c'è un'altra ragione - non legata alla protezione dei dati - per non utilizzare queste caselle di controllo:
La definizione di un campo obbligatorio per il riconoscimento e l'accettazione del DSE può dare l'impressione che il DSE sia parte integrante del contratto, come le CGC. Ma non è così!
Nel dicembre 2018, la Corte d'appello di Berlino ha ascoltato il caso di un negozio online che richiedeva il consenso del cliente all'"accordo sulla protezione dei dati" del fornitore tramite una casella di controllo durante il processo di ordinazione. La Corte d'appello ha stabilito (riferimento al caso 23 U 196/13) che gran parte delle disposizioni sulla protezione dei dati violava la legge sulle condizioni generali di contratto perché incompatibile con le idee fondamentali del GDPR.
La Corte d'Appello ha stabilito che la distinzione tra termini e condizioni contrattuali generalmente vincolanti e informazioni non vincolanti deve basarsi sulla comprensione del "cliente medio senza alcuna formazione giuridica precedente". A causa della formulazione dei termini e delle condizioni del fornitore e dell'"accordo sulla protezione dei dati" da accettare separatamente, il cliente medio vedrebbe i termini e le condizioni del fornitore e l'obbligo di consenso come "termini e condizioni contrattuali" che dovrebbe accettare se vuole effettuare un ordine. Il tribunale ha quindi sottoposto l'intero testo a un esame delle CGC.
È quindi consigliabile mantenere una chiara distinzione tra le componenti puramente informative e quelle contrattuali, per evitare spiacevoli incontri con avvocati e tribunali.
Conclusione
La cosa importante è che:
- La crittografia HTTPS, secondo l'attuale stato dell'arte, è un prerequisito assoluto per l'utilizzo di un modulo di contatto.
- Per ridurre al minimo i dati, nel modulo di contatto devono essere definiti come obbligatori solo i campi veramente rilevanti. Quali siano questi campi deve essere considerato caso per caso. Per un rivenditore online di frigoriferi, ad esempio, l'età del richiedente non è un dato rilevante. Per un negozio di sigarette elettroniche, invece, potrebbe esserlo. Secondo il motto "Il più possibile, il meno possibile". solo le voci da definire come campi obbligatori che sono effettivamente necessarie per rispondere alla richiesta.
- Dovreste anche inserire un link al DSE nel modulo di contatto, in modo che gli interessati possano accedere facilmente alle informazioni desiderate. Qualcosa del genere: "Potete trovare ulteriori informazioni sul trattamento dei dati personali nella nostra politica sulla privacy".
- Nel DSE stesso, al modulo di contatto deve essere aggiunta una nota corrispondente, che fornisca informazioni su quali dati vengono trattati per quale scopo da chi, su quale base giuridica e per quanto tempo vengono conservati.
Ulteriori link e informazioni
Ulteriori informazioni e assistenza sono disponibili in Art. 6, par. 1, GDPR e nel Recital 47 del GDPR. Nel frattempo, nella letteratura specializzata si trovano anche pubblicazioni abbastanza comprensibili e pratiche. L'Ufficio statale bavarese per il controllo della protezione dei dati fa riferimento a una pubblicazione in un comunicato stampa al seguente indirizzo https://www.lda.bayern.de/media/pm2018_15.pdf. Sulla pagina del guru della protezione dei dati si può trovare un (ancora attuale) piuttosto divertente Podcast. Oppure potete semplicemente chiedere al vostro esperto di fiducia in materia di protezione dei dati.
Informazioni legali
Le informazioni contenute in questo saggio sono state redatte al meglio delle mie conoscenze e convinzioni e includono il mio giudizio. Pur avendo fatto ogni sforzo per assicurare che tutte le informazioni siano aggiornate, non garantisco la completezza o l'accuratezza delle informazioni.
I contenuti hanno uno scopo puramente informativo e non sono vincolanti. Non costituisce espressamente una consulenza legale ai sensi della legge tedesca sulla consulenza legale (RBerG) e non sostituisce pertanto la consulenza di un avvocato. Non mi assumo alcuna responsabilità per errori od omissioni e non sarò responsabile per eventuali danni contrattuali, extracontrattuali o di altra natura derivanti dall'uso o dall'affidamento a queste informazioni o da azioni o decisioni prese in seguito all'uso di queste informazioni.
