Premessa
Secondo il nuovo GDPR al fine di trattare i dati degli interessati è necessario che questi abbiano prestato il loro consenso, anche in modo implicito, tuttavia non tacito.
In alcuni casi è necessario che il consenso sia dato in modo esplicito e lo vedremo nella seconda parte di questo articolo.
1. Caratteristiche di un valido consenso
Il consenso deve essere manifestato attraverso una dichiarazione o un’azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento.
Il consenso deve essere:
- Libero, cioè deve essere data la possibilità di scelta senza condizionamenti o vincoli e senza dover subire conseguenza negative in caso di rifiuto a conferire i dati, ad esempio laddove la prestazione di un servizio è condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto, oppure quando l’accettazione di condizioni contrattuali presuppone il consenso per finalità di marketing;
- Specifico, cioè deve riguardare le singole finalità del trattamento dando la possibilità all’interessato di scegliere se accettarle o meno singolarmente, e non in blocco, quindi per ogni finalità di trattamento è necessario acquisire un distinto consenso;
- Informato, cioè l’interessato deve prima aver ricevuto un’informativa riguardante l’identità del titolare; le finalità del trattamento; i destinatari a cui i dati possono essere comunicati; la presenza di trasferimenti dei dati nei paesi extra UE; il periodo di conservazione dei dati personali; i diritti dell’interessato in merito all’accesso, alla rettifica, alla cancellazione, alla revoca, all’opposizione al trattamento e alla portabilità; l’esistenza del diritto di proporre reclamo a un’autorità di controllo; l’esistenza di un processo decisionale automatizzato, come ad esempio la profilazione. In base al principio di trasparenza, l’informativa deve essere espressa con un linguaggio chiaro, semplice, comprensibile ad una persona di media cultura e facilmente accessibile;
- Inequivocabile, per cui il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Il consenso deve basarsi su una dichiarazione orale o scritta, svolta anche per via elettronica, comunque tramite un’azione attiva, concludente. Di conseguenza, l’inattività e il silenzio non possono essere considerati un’indicazione attiva di scelta. Il consenso dovrà essere richiesto nuovamente se cambiano le finalità del trattamento.
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario occorre adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quanto sopra descritto.
Con riferimento al consenso dei minori, questo è valido a partire dai 16 anni di età; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
2. Consenso esplicito
Per i dati sensibili e per le decisioni basate su trattamenti automatizzati, come ad esempio la profilazione, il consenso deve essere esplicito, deve cioè risultare da una manifestazione di pensiero espressa e non da un comportamento concludente. Il consenso esplicito può essere ottenuto attraverso la forma scritta; online, attraverso la compilazione di un modulo elettronico, inviando una e-mail, scansionando un documento che porti la firma dell’interessato o attraverso firma digitale o un processo di autenticazione a due fasi (e-mail seguita da un SMS).
I dati sensibili sono quelli che, rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
3. Conclusioni
Quando si raccolgono dei dati personali, soprattutto tramite il proprio sito internet aziendale, occorre prestare molta attenzione per evitare di infrangere le norme in merito al consenso al trattamento dei dati.
In particolare bisogna assicurarsi che il consenso venga raccolto in modo libero, specifico, informato e inequivocabile. Inoltre è bene accertare che non sia necessario un consenso esplicito.
Abbiamo scritto una miniguida al GDPR se vuoi approfondire l’argomento.
