{"id":20114,"date":"2025-07-16T12:15:40","date_gmt":"2025-07-16T10:15:40","guid":{"rendered":"https:\/\/www.albeeassociati.it\/?p=20114"},"modified":"2025-07-16T12:15:42","modified_gmt":"2025-07-16T10:15:42","slug":"marketing-il-double-opt-in-quale-misura-di-sicurezza","status":"publish","type":"post","link":"https:\/\/www.albeeassociati.it\/en\/marketing-il-double-opt-in-quale-misura-di-sicurezza\/","title":{"rendered":"Marketing: il double opt-in quale misura di sicurezza"},"content":{"rendered":"\n<p>Con <a rel=\"noreferrer noopener\" href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/10143278\" target=\"_blank\">provvedimento<\/a> n. 330 dello scorso 04.06 il Garante per la protezione dei dati personali si \u00e8 nuovamente espresso in tema di trattamento dei dati personali finalizzato allo svolgimento di attivit\u00e0 di marketing.<\/p>\n\n\n\n<p>Il provvedimento trae origine dal reclamo presentato da un cliente di una societ\u00e0 di rivendita di auto online, che ha lamentato la ricezione di numerose e-mail indesiderate e il mancato riscontro alle richieste di esercizio dei diritti avanzate ai sensi del Regolamento UE 2016\/679 (di seguito \u201c<strong>GDPR<\/strong>\u201d).<\/p>\n\n\n\n<p>Nello specifico, il cliente si \u00e8 trovato ad essere destinatario di svariate comunicazioni di posta elettronica inviate da indirizzi sempre differenti e facenti capo a partner promozionali della societ\u00e0 di rivendita, di cui il cliente non conoscenza l\u2019esistenza e a cui non aveva manifestato il proprio consenso al trattamento dei dati personali. Al riguardo, si rammenta che il consenso \u00e8 la condizione di liceit\u00e0 necessaria affinch\u00e9 il trattamento dei dati personali per finalit\u00e0 di marketing possa essere attuato.<\/p>\n\n\n\n<p>All\u2019esito dell\u2019istruttoria svolta, il Garante per la protezione dei dati personali ha evidenziato che la societ\u00e0 di rivendita di auto online non aveva:<\/p>\n\n\n\n<ul>\n<li>correttamente disciplinato i <strong>rapporti privacy con i partner promozionali<\/strong>, che avrebbero dovuto essere nominati <strong>responsabili del trattamento ai sensi dell\u2019art. 28 del GDPR<\/strong>. Ci\u00f2, in considerazione del fatto che le comunicazioni inoltrate al cliente avevano lo scopo di promuovere i prodotti della societ\u00e0 di rivendita e non dei partner;<\/li>\n\n\n\n<li>realizzato alcuna <strong>attivit\u00e0 di verifica dei partner promozionali<\/strong> nel corso della loro fase di selezione e di quella successiva di svolgimento delle attivit\u00e0 contrattualmente pattuite, che avrebbero consentito di evitare il compimento di condotte contrarie al GDPR. Stante l\u2019assenza delle predette verifiche, la societ\u00e0 di rivendita non ha, ad esempio, potuto appurare che le modalit\u00e0 di documentazione del consenso del cliente attuate dai partner non fossero adeguate e rispettose dei principi sanciti dal GDPR. Al riguardo, infatti, il Garante ha ritento che la documentazione fornita dai partner e a sua volta dalla societ\u00e0 di rivendita &#8211; attestante i log dell\u2019iscrizione e contenente l\u2019indirizzo IP con data e ora di acquisizione &#8211; non potesse considerarsi sufficiente a dimostrare l\u2019effettiva volont\u00e0 del cliente, in quando descrittiva e priva di specifiche rispetto al fatto che la registrazione potesse riguardare la mera iscrizione al servizio o il consenso del cliente. Il Garante ha, poi, proseguito sostenendo che tale prova, invece, sarebbe stata possibile nel caso in cui fosse stata inviata una e-mail di conferma all\u2019indirizzo registrato (cd. <strong>double opt-in<\/strong>), rappresentando questa una <strong>misura minima di protezione per l\u2019interessato e per lo stesso titolare<\/strong> <strong>chiamato a comprovare la liceit\u00e0 del trattamento<\/strong>;<\/li>\n<\/ul>\n\n\n\n<ul>\n<li>dimostrato l\u2019assenso del cliente alla comunicazione dei suoi dati personali a terzi;<\/li>\n\n\n\n<li>riscontrato le richieste di esercizio dei diritti avanzate dal cliente, a causa dell\u2019errata qualificazione dei ruoli che ha, di fatto, vanificato l\u2019opposizione manifestata dal cliente stesso. Infatti, l\u2019inserimento in black list effettuato dalla societ\u00e0 di rivendita non ha sortito alcun effetto sui partner, che hanno continuato ad inviare le comunicazioni promozionali, in virt\u00f9 di un consenso asseritamente acquisito in maniera autonoma.<\/li>\n<\/ul>\n\n\n\n<p>Numerosi, quindi, gli illeciti accertati dal Garante per la protezione dei dati personali, che lo hanno portato ad emettere una sanzione pecuniaria dell\u2019importo di \u20ac 45.000,00 nei confronti della societ\u00e0 di rivendita online.<\/p>\n\n\n\n<p>Nelle ultime settimane il provvedimento \u00e8 stato oggetto di molti commenti e di alcune interpretazioni non del tutto corrette. Infatti, sebbene il Garante per la protezione dei dati personali abbia espressamente sostenuto che la documentazione del consenso in modalit\u00e0 double opt-in <strong>possa<\/strong> essere considerata una \u201c<strong><em>misura<\/em> <em>minima di protezione<\/em><\/strong><em> per l\u2019interessato, ma anche per lo stesso titolare, tenuto a comprovare la liceit\u00e0 del trattamento<\/em>\u201d, questa non deve assolutamente essere considerata una misura univoca, diventando l\u2019unica regola applicabile.<\/p>\n\n\n\n<p>Nel rispetto del <strong>principio di accountability<\/strong> spetta al titolare del trattamento, quindi, valutare il singolo caso concreto e adottare conseguentemente quelle soluzioni in grado di garantire il rispetto dei principi in materia di protezione dei dati personali. Tornando al caso in esame, la societ\u00e0 di rivendita avrebbe dovuto certamente implementare misure atte ad assicurare l\u2019immodificabilit\u00e0 informatica dei file di log, la chiara origine dei consensi manifestati dall\u2019interessato ed ulteriori garanzie, che invece sono evidentemente mancate.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Con provvedimento n. 330 dello scorso 04.06 il Garante per la protezione dei dati personali si \u00e8 nuovamente espresso in tema di trattamento dei dati personali finalizzato allo svolgimento di attivit\u00e0 di marketing. Il provvedimento trae origine dal reclamo presentato da un cliente di una societ\u00e0 di rivendita di auto online, che ha lamentato la [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":20115,"comment_status":"closed","ping_status":"0","sticky":false,"template":"","format":"standard","meta":[],"categories":[34],"tags":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/20114"}],"collection":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/comments?post=20114"}],"version-history":[{"count":3,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/20114\/revisions"}],"predecessor-version":[{"id":20119,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/posts\/20114\/revisions\/20119"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media\/20115"}],"wp:attachment":[{"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/media?parent=20114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/categories?post=20114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.albeeassociati.it\/en\/wp-json\/wp\/v2\/tags?post=20114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}