Perché alcune e-mail GDPR richiedono l'annullamento e alcune l'attivazione? [chiuso]

Non è chiaro che il primo tipo di email sia legale. Un'associazione francese, la Quadrature du Net , sta pianificando di lanciare un'azione collettiva contro cinque grandi aziende tecnologiche (il famoso "GAFAM" ") il 28 maggio riguardo a questa pratica. Ecco un riassunto dei loro argomenti:

• L'articolo 6, paragrafo 1 del GDPR elenca sei casi di trattamento dei dati personali legalmente, uno di questi è il consenso dell'utente;
• L'articolo 4 §11 stabilisce che il consenso deve essere ottenuto in modo tale da mostrare che è la volontà dell'utente in modo chiaro, specifico, informato e inequivocabile;
• Nel preambolo del GDPR, si spiega che il consenso deve essere un'azione positiva e che non può esserci consenso in caso di silenzio, caselle precontrollate o inattività;
• L'articolo 7, paragrafo 4, stabilisce che al momento del consenso è necessario considerare se il trattamento dei dati personali è assolutamente necessario per fornire un servizio.

Di conseguenza, il "G29", il gruppo di autorità nazionali per la protezione dei dati nell'UE, ha affermato che se un l'utente non ha scelta reale, si sente costretto o dovrà affrontare conseguenze negative per il rifiuto del consenso, quindi il consenso dato non è valido. Il G29 ha quindi affermato che GDPR garantisce che il consenso al trattamento dei dati personali non può essere la contropartita della fornitura di servizi.

Inoltre, se una società richiede il consenso come base giuridica per il trattamento dei dati personali, è vietato utilizzare le altre basi legali dell'articolo 6 per giustificare il loro trattamento.

(Il ragionamento va nei dettagli più dettagliati, se riesci a leggere il francese. Quello che ho scritto sopra è solo un riassunto.)

Quindi la prima e-mail è essenzialmente strong e ti porta ad accettare qualcosa di illegale. Se le azioni di classe che ho menzionato sopra hanno successo, allora puoi aspettarti che le aziende più piccole seguano l'esempio e smettano di inviare email di questo tipo (o che facciano gravi conseguenze legali).

Alcune citazioni dalla legge GDPR:

[...] Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. [...]

[...] Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation [...]

[...] ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; [...]

[...] When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract. [...]

GDPR richiede il consenso esplicito. Se un servizio raccoglie dati personali e non gli hai dato il consenso esplicito, deve chiedere nuovamente il tuo consenso, in modo esplicito. Credo che in teoria un servizio debba anche chiedere di nuovo il consenso esplicito ogni volta che modificano la loro politica sulla privacy, anche se non riesco a trovare una dichiarazione al riguardo. Quindi, credo che il tuo esempio di "pseudo-implicita rinuncia" non sia legale in ogni caso, anche se in precedenza hai dato il consenso esplicitamente in un modo conforme a GDPR (e ne dubito), perché stanno cambiando la loro politica sulla privacy e ti chiede di accettarlo implicitamente semplicemente continuando a utilizzare il loro servizio.

La 1a categoria sono le grandi aziende (come i grandi provider di posta elettronica) che faranno comunque ciò che vogliono e, dal momento che si desidera utilizzare il loro servizio, accetteranno le loro condizioni. Non farlo ti impedirà di utilizzare i loro servizi.

La seconda categoria è quella più giusta che ti chiede se vuoi ricevere da loro informazioni o meno. Di solito, quelle sono società commerciali e optando per la ricezione delle loro offerte non ti impediranno di fare affari con loro.

In primo luogo, non esiste ancora una giurisprudenza, e diversi avvocati stanno interpretando le regole in modi diversi: alcuni stanno giocando in modo molto sicuro, altri stanno navigando più vicino al vento. Alcuni probabilmente ritengono che è improbabile che siano in cima alla lista delle persone che meritano di essere processate. (Ammettiamolo, nessuno procederà a perseguire un club sportivo per aver preso nota di chi ha riparato per ultimo il rasaerba).

In secondo luogo, il consenso è solo uno dei modi in cui la conservazione dei dati può essere consentita. Altri includono l'esistenza di un contratto, la necessità di rispettare leggi e regolamenti e "interessi legittimi" (che è molto aperto all'interpretazione: ma per esempio una compagnia di assicurazioni può conservare la cronologia dei reclami in modo che possa rilevare un modello di reclami fraudolenti).

In terzo luogo, contrariamente alle apparenze, i consensi esistenti non devono essere rinnovati per GDPR; se hai acconsentito l'anno scorso, è (probabilmente!) abbastanza buono.

IANAL - Ho letto i regolamenti, però.

Come altre risposte hanno affermato, il GDPR richiede un consenso esplicito, informato e non ambiguo. Inoltre, secondo il principio di responsabilità, i responsabili del trattamento devono essere in grado di dimostrarlo. In teoria:

1. Le organizzazioni che inviano e-mail di opt-out hanno già correttamente registrato il tuo consenso esplicito (ad esempio quando ti sei abbonato a una newsletter o hai firmato un contratto) e forse stanno aggiornando le loro politiche sulla privacy per allinearsi meglio a GDPR, e così ti mandano una e-mail, e approfittano per ricordarti che puoi sempre rinunciare.
2. Le organizzazioni che inviano e-mail opt-in non hanno registrato il consenso appropriato e si stanno affrettando a far registrare e archiviare il consenso nei loro nuovissimi strumenti di gestione GDPR.

In pratica:

1. Alcune organizzazioni che inviano e-mail di opt-out stanno forse camminando sul ghiaccio sottile, e si fidano che i loro consueti consuetudini saranno riconosciuti dalle autorità, quando si tratta di esso.
2. Alcune organizzazioni che inviano e-mail opt-in erano già al di fuori della legge (rispetto alla precedente direttiva e alle leggi degli Stati membri), ma ora si stanno rammaricandosi di avere paura delle multe.

Oppure dipende dall'avvocato che ciascuno di loro ha assunto.

Oltre alle aree già menzionate, esiste una sezione del GDPR relativa alla conservazione dei dati. Molte e-mail che chiedono alle persone (o almeno a quelle che ottengo) di aderire affermano anche di non aver avuto alcuna interazione con (o piuttosto da) me per alcuni anni, e quindi se voglio continuare a ricevere ancora le e-mail, è necessario re-opt-in. Ciò consente loro di sapere che i loro dati sono aggiornati e qualsiasi altra cosa può essere rimossa.

Sebbene la legge britannica sulla protezione dei dati dichiari già che i dati non possono essere conservati più a lungo del necessario, è stato ampiamente ignorato e le mailing list hanno continuato a crescere. GDPR, tuttavia, richiede che i dati vengano rimossi dopo un ragionevole lasso di tempo. Se esegui l'opt-in, reimposta l'orologio sui relativi dati in modo pertinente.

Ci sono 2 cose in gioco qui:

• ogni volta che il vecchio consenso è ancora valido, perché è stato chiesto in modo che fosse già conforme a questa legge in entrata (che dà l'impressione di un opt-out, ma è semplicemente la continuazione del tuo vecchio opt-in) vs. il vecchio consenso è stato trovato insufficiente o vuoto, quindi è necessario rinnovarlo, ad es. perché la casella di spunta era spuntata per impostazione predefinita (in realtà era opt-out, quindi deve essere sostituita da un nuovo opt-in).
• ogni volta che l'azienda vuole mantenere le cose come erano (di nuovo, vecchio opt-in che si sente come opt-out ora) o stanno usando l'opportunità di chiedere più permessi di quanti ne avessero già (opt-in per qualcosa di completamente nuovo, come le email).

Sembra che tu abbia a che fare con il primo caso qui. La prima azienda ha semplicemente aggiornato le sue politiche e ha ritenuto che i vecchi consensi fossero sufficienti, mentre la seconda ha ritenuto il vecchio consenso invalido in base alla nuova legge e ti chiede di autorizzarlo nuovamente.

Il GDPR non è nuovo, qui dove vivo aveva 2 anni vacatio legis, quindi in teoria i siti potevano essere preparati almeno da 2 anni. È perfettamente immaginabile che alcuni accorgimenti siano già conformi (in realtà a nessuno è importato fino all'entrata in vigore del ddl).

Informazioni sul caso numero 2, c'è un esempio su link dove lo zoom sta cercando di fare esattamente questo.