La condivisione pubblica dei dati personali implica il consenso alla raccolta e al trattamento?
Supponiamo che un cittadino dell'UE pubblichi le proprie informazioni personali, come nome e dettagli di contatto online, ad esempio, sui social media.
Se volessi contattarli a titolo professionale tramite e-mail, avrei il loro implicito consenso a farlo?
Per quanto ne so, devo eseguire una moltitudine di azioni con i loro dati personali prima ancora che qualcosa li raggiunga:
- raccogliere i propri dati personalmente da terzi (piattaforma di social media);
- elaborarlo allo scopo di scrivere un'e-mail;
- condividerlo con il mio provider di posta elettronica, che procede quindi a memorizzarlo a tempo indeterminato mentre ne conservo l'accesso;
- nel frattempo i loro dati possono facilmente attraversare una serie di confini internazionali.
Questo costituisce un uso legittimo?
Sono obbligato ad informarli al momento del contatto di queste azioni in corso?
Devo informarli della possibilità di scegliere di comunicare con me?
Per il contesto di questa domanda, sto utilizzando specificamente la loro e-mail personalmente, non come parte di un attacco di spam marketing automatizzato "prega e spruzza".
Risposte
Il GDPR protegge i dati personali pubblici più o meno allo stesso modo dei dati non pubblici, il che significa che puoi elaborare i dati solo se hai uno scopo chiaro e una base legale. È lo scopo che determina su quale base giuridica GDPR Art 6 puoi fare affidamento, come il consenso (opt-in) o l'interesse legittimo (opt-out).
Riepilogo:
- potresti essere in grado o meno di contattarli, a seconda del contesto in cui le informazioni di contatto sono state pubblicate e dello scopo per cui li stai contattando
- il consenso è complicato, ma in una certa misura può essere implicito
- fare affidamento su un interesse legittimo richiederebbe un test comparativo
- sì, devi informare l'interessato
- sì, devi dare la possibilità di opporti o di revocare il consenso
- Devi anche essere pronto a ricevere un'obiezione in qualsiasi momento e quindi rimuovere i dati.
Laddove non hai ottenuto i dati di contatto direttamente dall'interessato, sarà difficile sostenere che hai ottenuto il “consenso”. Il consenso non deve essere una dichiarazione del tipo “acconsento”, ma può anche essere dato attraverso una “chiara azione affermativa”. Ciò che è importante è che i desideri dell'interessato siano inequivocabili.
Quindi, ad esempio, se c'è un post sui social media sulla ricerca di lavoro e l'interessato commenta pubblicamente con il proprio indirizzo e-mail, è probabile che contattare l'interessato con un'offerta di lavoro vada bene. La pubblicazione dei dettagli di contatto in tale contesto è un'azione abbastanza inequivocabile che indica i desideri dell'interessato. Ma il consenso è limitato allo scopo. L'utilizzo di questo indirizzo e-mail con un'offerta per imbiancare la propria casa non servirebbe a utilizzare il consenso come base legale, ma potresti avere un interesse legittimo?
L'interesse legittimo richiede che tu esprima questo interesse e poi lo equilibri rispetto ai diritti e alle libertà dell'interessato. Cos'è più importante: che tu possa inviare questo messaggio o che l'interessato sia indisturbato? L'interessato si aspetterebbe questo uso dei propri dati? Questo è un giudizio da parte tua. L'aggiunta di misure di sicurezza oltre a quelle richieste dalla legge può spostare il test comparativo a tuo favore, ma è difficile da fare. L'uso dell'interesse legittimo dà origine al diritto di opposizione dell'articolo 21 del GDPR (opt-out).
Quando si inviano comunicazioni elettroniche non richieste, è importante considerare la direttiva ePrivacy oltre al GPDR. L'ePD Art 13 vieta il marketing diretto automatizzato come le e-mail di massa a meno che il destinatario non abbia acconsentito. Tuttavia, ho letto quell'articolo come consentire messaggi inviati da esseri umani o messaggi che non sono "marketing diretto". Ma in ogni caso dovresti rendere facile per il destinatario revocare il consenso / opporsi a un ulteriore trattamento.
Indipendentemente dal fatto che i dati siano stati ottenuti da fonti pubbliche o non pubbliche, è probabile che il trattamento di questi dati debba essere conforme al GDPR. Quando utilizzi servizi di terze parti, questi dovrebbero fungere da responsabile del trattamento dei dati, il che richiede un contratto ai sensi dell'articolo 28 del GDPR. Se utilizzi un provider di posta elettronica o un CRM per scopi commerciali, dovrebbero essere nominati responsabili del trattamento dei dati. Quando esporti dati in un paese non UE, devi proteggere questo trasferimento internazionale in base al capitolo 5 del GDPR, ad esempio tramite clausole contrattuali standard con l'importatore di dati.
Oltre agli obblighi generali di conformità, è necessario considerare l'articolo 14 del GDPR. Questo articolo descrive le informazioni che è necessario fornire all'interessato in merito al trattamento quando non si sono ottenuti i dati direttamente dall'interessato. In sostanza, ciò significa che devi fornire loro una politica sulla privacy. Ai sensi dell'articolo 14, paragrafo 2, lettera f), è necessario indicare la fonte dei propri dati, ad esempio la rete di social media in cui sono stati trovati i dettagli di contatto. È necessario fornire queste informazioni quando si divulgano questi dati a qualcun altro, quando si comunica per la prima volta con l'interessato o entro un periodo ragionevole dopo aver ottenuto i dati, al più tardi entro un mese.