In quest'articolo spieghiamo la differenza tra single opt-in e double opt-in nel consenso marketing in un'ottica di compliance al GDPR.
Per effettuare atttività di Marketing presso Società o Persone fisiche è necessario, salvo casi particolari, il consenso espresso delle stesse alla ricezione di materiale volto alla promozione di attività o iniziative commerciali.
Il consenso dell’interessato è una delle sei basi giuridiche, previste all’ articolo 6 del GDPR, su cui trova fondamento ogni legittimo trattamento dei dati personali. In particolare, l’articolo 4 definisce il consenso come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile,che i dati personali che lo riguardano siano oggetto di trattamento
Ai sensi del GDPR, per poter essere una valida ed efficace base giuridica del trattamento, il trattamento
deve essere:
a. libero,
b. specifico,
c. informato,
d. inequivocabile,
e. esplicito,
f. verificabile,
g. revocabile.
IN PARTICOLARE
d) Il consenso deve essere inequivocabile
L’ articolo 4 DEL GDPR prevede che il consenso al trattamento dei dati sia espresso tramite dichiarazione o azione positiva inequivocabile. Questo requisito vale non solo la dichiarazione scritta ma anche quella resa attraverso mezzi alternativi, quali strumenti elettronici o mediante la selezione di un’apposita casella in un sito web (si veda anche il Considerando 42).
Non è, pertanto, più necessario che il consenso sia documentato per iscritto (sebbene questa sia la modalità normalmente più sicura ai fini della prova circa l’esistenza del consenso e della sua natura inequivocabile), ma si richiede che sia manifestato tramite una qualsiasi dichiarazione o altro comportamento da cui si possa desumere chiaramente e inequivocabilmente l’intenzione dell'interessato di accettare il trattamento proposto. Alla luce di quanto sopra, il GDPR precisa che non configurano valido consenso il silenzio, l’inattività o la preselezione di caselle.
e) Il consenso deve essere esplicito
Il GDPR ha previsto che il consenso debba essere esplicito, manifestato attraverso, per esempio, una espressa e formale dichiarazione scritta (firmata dall’interessato). Altre modalità per ottenere un consenso esplicito, in particolare nel contesto elettronico, possono essere:
- la compilazione da parte dell’interessato di un modulo elettronico;
- l’invio di una mail;
- il caricamento di un documento scansionato con la relativa firma;
- l’adozione da parte del titolare di un processo di autenticazione a due fasi (double opt-in) (come un’e-mail seguita da un messaggio SMS contenente un codice di verifica).
SINGLE OPT-IN o DOUBLE OPT-IN : differenze
Con il “single opt-in” viene richiesto all’utente solamente di inserire le informazioni necessarie per essere aggiunti alla mailing list.
Con il “double opt-in” invece, si richiede uno step aggiuntivo, gli utenti devono validare il proprio indirizzo email prima di essere aggiunti.
La validazione avviene quando l’utente fa click su uno specifico link contenuto in un messaggio di “conferma” inviato al suo indirizzo email.
Solamente con il metodo del double opt-in si ha una prova forte che garantisce che l’indirizzo email che riceve la comunicazione appartenga effettivamente alla persona che ha prestato il consenso nel form.
Questo metodo di registrazione è considerato una best practice in molti Paesi dell’Unione Europea.
Il Garante della Privacy italiano nella relazione del 2017 ha suggerito la procedura di double opt-in come miglior metodo di registrazione del consenso.
Ciò detto, non esiste un espresso obbligo normativo a riguardo che imponga una soluzione rispetto ad un'altra, nel Regolamento Europeo in materia di protezione dei dati vengono dati dei principi da seguire per autoresponsabilizzare il Titolare del trattamento.
L’articolo 25 del GDPR ha, infatti, introdotto i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, la cosiddetta privacy by design e by default.
Sarà quindi onere del Titolare dover effettuare una analisi preventiva del trattamento per cui è richiesto il consenso dell’utente, e valutare se una procedura di conferma del consenso meno forte possa essere ritenuta sufficiente per lo specifico tipo di trattamento posto in essere.