Il recente provvedimento del Garante Privacy ha ribadito e chiarito un principio fondamentale del GDPR che riguarda tutti i titolari del trattamento, non soltanto le aziende che si occupano di telemarketing: la necessità imprescindibile della granularità del consenso.
Cosa è stato stabilito?
Con il provvedimento del 27 febbraio 2025, l’Autorità Garante ha confermato che il consenso acquisito dagli interessati deve necessariamente essere:
- Libero, cioè prestato senza alcun tipo di costrizione o condizionamento;
- Specifico, cioè espresso in modo chiaro e distinto per ciascuna finalità del trattamento;
- Granulare, cioè tale da consentire all’interessato di scegliere separatamente e chiaramente sia le diverse finalità del trattamento sia le modalità con cui ricevere comunicazioni (ad esempio, email, sms, telefono).
L’Autorità ha sottolineato che formule generiche, ambigue o indistinte, che non consentano all’interessato una scelta effettiva e consapevole, non soddisfano i requisiti previsti dagli artt. 4, punto 11; 6 e 7 del GDPR e dalle Linee guida 5/2020. Ciò vale per qualunque trattamento, indipendentemente dal settore e dalla modalità utilizzata.
Cosa bisogna fare?
In base a quanto stabilito, tutti i titolari del trattamento devono verificare le modalità con cui acquisiscono i consensi e, se necessario, apportare modifiche per garantirne la piena conformità:
- Rivedere i moduli e le informative privacy: assicurarsi che siano formulati in modo tale da consentire una scelta realmente libera, specifica e granulare, evitando consensi pre-selezionati o formule troppo generiche.
- Consentire scelte specifiche e distinte: permettere agli interessati di selezionare chiaramente ciascuna finalità del trattamento e ciascun canale di comunicazione, fornendo un controllo reale e agevole sui propri dati.
- Svolgere verifiche periodiche: implementare audit regolari per controllare che tutti i consensi siano raccolti correttamente e in maniera documentabile, assicurando la loro validità nel tempo.
- Formare il personale in maniera costante e specifica: organizzare sessioni di formazione periodica per dipendenti e collaboratori, al fine di garantire una comprensione approfondita del principio della granularità del consenso e dei relativi obblighi normativi.
- Gestire le richieste degli interessati con tempestività e trasparenza: stabilire procedure interne chiare e precise per rispondere rapidamente alle richieste degli interessati e assicurare una gestione efficace dei consensi prestati.
Questo provvedimento rappresenta un’importante conferma del fatto che la compliance privacy non può essere considerata un adempimento formale, ma deve diventare una parte integrante e sostanziale di qualsiasi trattamento di dati personali.
Come sempre, conoscere profondamente una materia consente di affrontarla con semplicità, trasparenza e rigore, proteggendo davvero i diritti di chi ci affida i propri dati.
