Quando si crea un’iniziativa che coinvolge il trattamento dei dati personali è molto importante conoscere bene le normative che regolano diversi aspetti della persona: diritto d’autore e diritto alla privacy sono solo due degli esempi, ma entrambi sono fondamentali quando si tratta di un regolamento che chiarisce in cosa consiste l’attività che vogliamo svolgere.
Prendendo come caso studio quello della raccolta di dati sensibili dobbiamo tenere in considerazione la normativa europea del GDPR (l’America e altri Paesi al di fuori della comunità seguono altre logiche e regolamenti). Per ciò che ne comporta dobbiamo inserire sui nostri siti web un banner che prima ancora che “prenda dati” ci dia il consenso dell’utente di farlo.
La stessa cosa vale quando si richiedono esplicitamente dei dati come nei form di contatto. Per registrare Nome, Cognome, eMail, Numero di Telefono, ecc dobbiamo inserire una scritta in cui segnaliamo che l’invio del modulo ci da il consenso e di spuntare la casella quadrata se si è d’accordo.
Vuoi approfondire l’aspetto della normativa per i concorsi a premi stabilita dal Ministero dello Sviluppo Economico? Leggi la guida di approfondimento.
Questo è ciò che facciamo anche quando creiamo un concorso a premi o chiediamo l’iscrizione a un programma fedeltà. Dobbiamo inserire un campo che ci dia l’esplicito consenso per registrare i dati e usarli per scopi che siano necessariamente descritti nel dettaglio. Per cui se i dati servono per inviare offerte commerciali, per delle comunicazioni logistiche o altro dobbiamo segnalarlo.
Normativa sull’uso dei contenuti pubblicati dai partecipanti
Ciò vale anche nella stesura dei regolamenti. Poniamo l’esempio di un concorso fotografico in cui vogliamo usare il contenuto inviato da un partecipante per il banner del nostro sito o un cartellone pubblicitario. Per poterli utilizzare non basta scriverlo nel regolamento.
Ciò che consigliamo per evitare qualsiasi controversia è quella di contattare chi detiene la proprietà del materiale, in questo caso il partecipante che ha scattato la foto, e far firmare una delibera.
Questo particolare caso non rientra nella normativa che regola i concorsi a premi in Italia ma si tratta di Diritto d’Autore e di privacy.
Anche l’uso di strumenti come i social network devono “sottostare” a queste normative. Che sia un contenuto su Instagram, Facebook o TikTok dobbiamo mettere insieme la normativa italiana sui contest ( Ricordiamo che i dati dei concorsi come nome, email, commento e\o foto devono essere raccolti su server italiani) e poi quelle sul Diritto d’Autore e Privacy.
Per risolvere la questione ci ha fornito delle utilissime analisi Matteo Quartieri, Privacy Analyst presso OneTrust.it, la piattaforma tecnologica per la privacy, la sicurezza e i rischi di terze parti, che aiuta le aziende a conformarsi alle normative CCPA, GDPR, ISO27001 e a centinaia di leggi mondiali sulla privacy e la sicurezza.
La normativa dei concorsi online e le sue intersezioni con il diritto della privacy
La tematica dei concorsi a premi ha acquisito notevole importanza con il sempre crescente utilizzo dei social network per finalità di marketing, finendo inevitabilmente per intersecarsi con la normativa in materia di protezione dei dati personali, quando le operazioni poste in essere per realizzare il concorso comportano un trattamento dei dati degli utenti.
Le regole in materia di privacy sullo svolgimento dei concorsi a premi esigono una preliminare analisi di uno degli istituti fondamentali della normativa sulla protezione dei dati personali, ovverosia il consenso.
Il consenso secondo il GDPR
L’istituto del consenso, a seguito dell’entrata in vigore del GDPR, ha assunto delle rigorose caratteristiche che gli operatori devono necessariamente tenere conto nelle loro attività di trattamento di dati personali.
La normativa applicabile
Il consenso viene definite dall’art. 4(11) GDPR come
‘qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento‘.
Il consenso può’ costituire inoltre una delle basi giuridiche per il trattamento dei dati personali, come previsto dall’art. 6.1(a) GDPR, quando il soggetto interessato manifesta la propria volontà’ al trattamento dei propri dati personali per una o più’ specifiche finalità’.
I requisiti del consenso sono ulteriormente specificati all’art. 7 GDPR, nonché’ nelle linee guida sul consenso del Gruppo di Lavoro ex Articolo 29 (WP29). In particolare, le seguenti raccomandazioni devono essere tenute presenti:
- Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha acconsentito.
- Il titolare deve rendere all’interessato l’informativa privacy ai sensi degli artt. 13 o 14 GDPR (consenso informato).
- Il consenso deve essere libero ed inequivocabile.
- Quando il trattamento ha diverse finalità, il consenso deve essere specificato per ognuna delle finalità’ perseguite.
- Il consenso deve essere sempre revocabile.
- La richiesta di consenso deve essere chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato.
- Il consenso deve essere manifestato attraverso una dichiarazione o azione positiva inequivocabile.
- La formula utilizzata per chiedere il consenso deve essere comprensibile, semplice e chiara.
- Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo, come stabilito da una recente sentenza della Corte di Giustizia UE).
In alcune specifiche situazioni il consenso assume dei requisiti ancora più restrittivi, considerata la delicatezza di determinate operazioni di trattamento.
Una delle attività di trattamento a cui gli operatori online devono prestare più’ attenzione è quella di profilazione, con la quale si definiscono “profili” di utenti sulla base di caratteristiche, comportamenti, scelte e abitudini, allo scopo di fornire servizi o promozioni personalizzate. Questa operazioni può infatti assumere rilevanza nel caso della predisposizione di un concorso a premi, specialmente quando questo si svolge su un social network.
Cosa significa Profilazione?
La ‘profilazione’ e’ definita dall’art. 4(4) GDPR con
“qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica“.
Per le attività di profilazione il consenso deve essere “esplicito”, come previsto dall’art. 22 GDPR. Il consenso esplicito non è espressamente definito dal GDPR. Tuttavia, il WP29 offre alcune indicazioni nelle sue linee guida sul consenso e sulla profilazione. Non esiste un’unica modalità’ per rendere un consenso esplicito. Ciononostante, il WP29 fornisce alcuni esempi, tra cui, in relazione al contesto online, la compilazione di un modulo elettronico.
In materia di profilazione, anche il Garante per la protezione dei dati personali ha emanato delle linee guida. In particolare, il Garante prevede quanto segue:
- Gli operatori devono tutelare la privacy sia degli utenti in possesso di un account sia di quelli che non dispongono di uno specifico account, come in caso di semplice navigazione on line.
- L´informativa privacy dovrà essere chiara, completa, esaustiva e resa ben visibile nella prima pagina del sito. Deve inoltre essere strutturata su più livelli, per renderne più facile la lettura:
– un primo livello immediatamente accessibile con un solo click dalla home page, con tutte le informazioni di maggiore importanza; ed
– un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.
- Il consenso esplicito degli utenti deve rispettare i requisiti sopra esaminati.
I concorsi online e le sue implicazioni privacy
Come visto, i concorsi a premi, specie quando effettuati on line, implicano il trattamento dei dati dei partecipanti da parte del promotore, nonché, in alcuni casi, dell’utilizzo di contenuto protetto dal diritto d’autore. Un esempio potrebbe essere quello di un contest fotografico in cui l’azienda organizzatrice chiede agli utenti di postare sul propri profili fotografie/video su un tema prestabilito e di contraddistinguerle con un determinato “hashtag”.
I concorsi a premi sono regolati dal D.P.R. 26 ottobre 2001, n. 430.
L’ambito di applicazione
L’art. 1 comma 6 del DPR 430/2001 stabilisce il principio di territorialità’, stabilendo che i concorsi a premi devono essere effettuate sul territorio dello stato italiano.
Ciononostante, il Ministero dello Sviluppo Economico ha stabilito, nelle FAQs sui concorsi a premi, che, si consente alle imprese promotrici, in caso di piattaforma cloud o comunque di server allocato all’estero, di utilizzare anche applicazioni di terzi soggetti (come nel caso dei social network). Il promotore del concorso potrà’ inoltre archiviare i dati di partecipazione al concorso ed i contenuti caricati dagli utenti (foto, video, etc.), purché per tali azioni sia previsto l’utilizzo di sistemi ‘mirroring’ o analoghi, in modo da replicare i dati rendendoli disponibili su server italiani, sempre nel rispetto della normative sui dati personali.
Implicazioni in materia di privacy
La gestione di un concorso a premi implica il trattamento dei dati personali dei partecipanti. Ne deriva che il soggetto promotore dovrà’ altresì prestare attenzione agli obblighi derivanti dal GDPR e dal codice in materia di protezione dei dati personali, D. Lgs. 196/2003, tra cui vanno richiamati gli obblighi di fornire, in fase di adesione all’iniziativa, idonea informativa privacy e, se necessario, di acquisire il consenso per il trattamento.
Pertanto, in fase di redazione del regolamento del concorso, si dovrà inserire l’informativa privacy, come previsto dagli art. 13 e 14 GDPR. In particolare, nell’informativa privacy dovranno essere indicate, tra le altre cose, la base giuridica del trattamento, le finalità dello stesso, e la eventuale presenza di “un’attività” di profilazione.
La base giuridica del trattamento dei dati potrà essere:
- il consenso dell’utente, il quale dovra essere esplicito nel caso di profilazione, come visto.
- l’esecuzione o la preparazione di un contratto di cui l’interessato è parte (in relazione alla realizzazione del concorso).
- Il legittimo interesse del promotore del concorso, purché non prevalga sugli interessi o i diritti e le libertà fondamentali dell’interessato.
Le FAQs del Ministero in materia di concorsi richiamano inoltre le linee guida in materia di profilazione del Garante sopra menzionate, sottolineando l’obbligo per le imprese promotrici di richiedere consenso esplicito:
- per le attività di profilazione dei dati personali.
- per il trattamento di dati personali per la finalità esclusiva di partecipazione al concorso.
I due consensi devono sempre essere espressi per ogni concorso a premi quando il promotore utilizza un social network. L’impresa deve inoltre specificare nel regolamento del concorso che la partecipazione sarà sottoposta al doppio consenso da parte del consumatore, il primo in relazione all’eventuale attività’ di profilazione, ed il secondo per il “generico” trattamento dei dati.
Implicazioni in materia di diritto d’autore
Nell’ipotesi in cui il concorso implichi la produzione di contenuti da parte del partecipante, la normativa in materia di diritto d’autore potrà inoltre trovare applicazione.
Il promotore dovrà pertanto indicare nel regolamento del concorso la necessità per l’utente di trasferirgli tutti i diritti d’autore, d’immagine e connessi in relazione al contenuto caricato (foto, video, ecc.) al fine di una regolare partecipazione al concorso, al quale l’utente dovrà’ acconsentire.
L’uso dell’hashtag sostituisce il consenso all’uso delle immagini dei partecipanti?
Assolutamente no, anche se ciò viene scritto all’interno del regolamento. Il consenso deve essere sempre esplicito, come abbiamo appena spiegato. Quindi consigliamo di contattare il partecipante e fare firmare una liberatoria.
Qui abbiamo riassunto i vari aspetti che entrano in gioco ma puoi continuare l’analisi consultando le linee guide in materia di protezione dei dati personali prodotte da One Trust Data Guidance.
Da ultimo sottolineiamo che il contenuto prodotto da OneTrust al fine di redarre il presente articolo non assume il valore di una consulenza legale.
Vuoi approfondire l’argomento dei concorsi a premi?
