Skip to content

GDPR: come raccogliere il consenso?

Il consenso è una delle basi giuridiche previste dal GDPR su cui può fondarsi il trattamento dei dati personali. Il GDPR richiede che tale consenso sia libero, specifico, informato e inequivocabile. Le condizioni applicabili al consenso sono definite negli artt. 4 e 7 del GDPR.

Il consenso era già sancito dalla legge sulla protezione dei dati, rafforzato dal GDPR, ne sono specificate le condizioni per la sua raccolta.

Fornisce agli interessati un forte controllo sui propri dati, consentendo loro di:

  • per capire come verranno trattati i suoi dati;
  • di scegliere senza vincolo se accettare o meno tale trattamento;
  • per cambiare idea liberamente.

La raccolta del consenso delle persone autorizza al trattamento dei loro dati da parte dei Titolari del trattamento.

Spesso proposto in fase di sottoscrizione e fruizione dei servizi, in particolare online, deve essere raccolto a condizioni specifiche che ne garantiscano la validità.

Cos’è il consenso?

Cosa dice il GDPR:

Per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l’interessato accetta, con una dichiarazione o con un atto palesemente positivo, che i dati personali che lo riguardano siano oggetto di trattamento”.

Il consenso non è un concetto nuovo, poiché era già incluso nella legge sulla protezione dei dati. Il GDPR ne completa comunque la definizione e chiarisce tale nozione in alcuni aspetti, al fine di consentire agli interessati di esercitare un controllo reale ed effettivo sul trattamento dei propri dati. 

Il consenso è una delle 6 basi giuridiche previste dal GDPR che autorizza l’attuazione del trattamento dei dati personali.

Il Titolare del trattamento deve essere in grado di dimostrare la validità dell’uso di questa base giuridica.

Qualsiasi modifica significativa delle condizioni di attuazione del trattamento (finalità, dati, periodi di conservazione, ecc.) è tale da incidere sulla validità della base giuridica conservata: la procedura di valutazione di tale validità deve pertanto, in tal caso, essere ripetuto.

Il consenso delle persone può essere raccolto sistematicamente

No :  il consenso è una delle 6 basi giuridiche previste dal GDPR che autorizzano l’attuazione del trattamento dei dati personali.

I titolari del trattamento possono effettuare trattamenti sulla base di un’altra base giuridica, come l’esecuzione di un contratto o il loro legittimo interesse. La base giuridica deve essere determinata dal titolare del trattamento in modo adeguato alla situazione e al tipo di trattamento in questione.

Per alcune operazioni di trattamento, invece, può essere sistematicamente richiesto il consenso dell’interessato, se disciplinato da specifiche disposizioni di legge: ad esempio, per effettuare prospezioni commerciali tramite posta elettronica.

Quali sono i criteri per un consenso valido

4 criteri cumulativi devono essere soddisfatti per ottenere validamente il consenso, che deve essere:

  • Libero: il consenso non deve essere forzato o influenzato. Alla persona deve essere offerta una scelta leale, senza dover subire conseguenze negative in caso di rifiuto.

La natura libera del consenso deve essere oggetto di particolare attenzione nel caso di esecuzione di un contratto, anche per la fornitura di un servizio: il rifiuto del consenso al trattamento che non è necessario all’esecuzione del contratto, non deve avere alcuna conseguenza sulla sua esecuzione o sulla prestazione del servizio.

Ad esempio, un operatore di telefonia mobile raccoglie il consenso dei propri clienti per l’utilizzo dei loro dati da parte dei partner, a fini di elaborazioni commerciale. Il consenso si considera libero a condizione che il rifiuto del cliente non pregiudichi l’erogazione del servizio di telefonia mobile.

  • Specifico: il consenso deve corrispondere ad un unico trattamento, per una specifica finalità.

Pertanto, per il trattamento che ha più finalità, le persone fisiche devono poter esprimere il proprio consenso in modo autonomo per l’una o l’altra di tali finalità. Devono poter scegliere liberamente le finalità per le quali acconsentono al trattamento dei propri dati.

Ad esempio, un organizzatore di eventi culturali desidera raccogliere il consenso degli spettatori per due tipi di servizi: la conservazione dei loro dati di pagamento (carta di credito) al fine di facilitare le loro future prenotazioni; raccogliendo il loro indirizzo e-mail per inviare loro e-mail sulle prossime esibizioni. Affinché il consenso sia valido, i telespettatori devono poter acconsentire liberamente e separatamente per ciascuna di queste due operazioni di trattamento: la memorizzazione delle coordinate bancarie e l’utilizzo del proprio indirizzo email.

  • Informato: per essere valido, il consenso deve essere accompagnato da una certa quantità di informazioni comunicate all’interessato prima del consenso.

Al di là degli obblighi relativi alla trasparenza, il titolare del trattamento dovrebbe fornire le seguenti informazioni agli interessati per ottenere il loro consenso informato:

  • l’identità del responsabile del trattamento;
  • le finalità perseguite;
  • le categorie di dati raccolti;
  • l’esistenza di un diritto di revoca del consenso;
  • a seconda dei casi: il fatto che i dati saranno utilizzati nell’ambito di decisioni individuali automatizzate o che saranno trasferiti in un Paese al di fuori dell’Unione Europea.
  • Inequivocabile: il consenso deve essere dato da una dichiarazione o da qualsiasi altro atto chiaramente positivo. Nessuna ambiguità sull’espressione del consenso può rimanere.

Le seguenti modalità di acquisizione del consenso non possono essere considerate univoche:

  • caselle preselezionate o preattivate
  • consensi “raggruppati” (quando è richiesto un unico consenso per più trattamenti distinti)
  • inazione (ad esempio, mancata risposta a un’e-mail di richiesta del consenso)

Cosa cambia il GDPR?

Il GDPR non ha modificato sostanzialmente la nozione di consenso. D’altra parte ne ha chiarito la definizione e l’ha rafforzata, aggiungendo alcuni diritti e garanzie:

  • Diritto di recesso: la persona deve poter revocare il proprio consenso in qualsiasi momento, attraverso una modalità semplice equivalente a quella utilizzata per raccogliere il consenso (ad esempio, se la raccolta è stata effettuata online, deve poter essere revocata anche online).
  • Prova del consenso: il titolare del trattamento deve essere in grado di dimostrare in qualsiasi momento che la persona ha acconsentito, a condizioni valide.

Per fare ciò, i titolari del trattamento devono documentare le condizioni per l’ottenimento del consenso. La documentazione deve consentire di dimostrare:

  • l’attuazione di meccanismi che consentano di non collegare la raccolta del consenso, in particolare all’esecuzione di un contratto (consenso “libero”)
  • la chiara ed intellegibile separazione delle diverse finalità di trattamento (consenso “specifico” o “granularità del consenso”)
  • corretta informativa alle persone (consenso “informato”)
  • il carattere positivo dell’espressione della scelta dell’interessato (consenso (consenso inequivocabile)

In particolare, i titolari del trattamento possono tenere un registro dei consensi, che può essere inserito nel registro dei trattamenti.

Il GDPR prevede specifiche condizioni di consenso per determinate situazioni:

  • Consenso dei minori: per i servizi della società dell’informazione (social network, piattaforme, newsletter, ecc.), il trattamento dei dati personali di un minore basato sul consenso è lecito, in linea di principio, solo se il minore ha almeno 15 anni.

Se il minore ha meno di 14 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale sul minore. 

In Italia, l’età utilizzata è 14 anni: i minori di età pari o superiore a 14 anni possono acconsentire al trattamento dei propri dati sulla base del consenso nell’ambito dei servizi della società dell’informazione. 

 Consenso espresso: in alcuni casi, il consenso deve essere esplicito. Questa caratteristica si riferisce alla modalità di espressione del consenso: è necessaria una dichiarazione espressa dell’interessato, che richiede particolare attenzione e l’attuazione di meccanismi ad hoc da parte del responsabile del trattamento.

Si tratta di casi in cui esiste un grave rischio per la protezione dei dati e che richiedono un più elevato grado di controllo da parte dell’individuo: è ad esempio necessario per il trattamento di dati sensibili o per consentire la completa automatizzazione del processo decisionale.

Per garantire il consenso esplicito, il titolare può, ad esempio:

  • fornire una casella di raccolta del consenso specificamente dedicata al trattamento dei dati sensibili
  • richiedere una dichiarazione scritta e firmata dall’interessato o l’invio di una e-mail indicando che l’interessato accetta espressamente il trattamento di determinate categorie di dati
  • raccogliere il consenso in due passaggi: inviare una mail all’interessato che dovrà poi confermare la sua prima azione di consenso

Il consenso deve essere nuovamente raccolto con il GDPR?

Il consenso ottenuto e raccolto entro il 25 maggio 2018 può rimanere valido, purché rispetti le disposizioni ora previste dal GDPR. Questa situazione può benissimo verificarsi, nella misura in cui questo nuovo quadro giuridico è vicino al quadro precedente.

In caso negativo, i titolari del trattamento devono “aggiornare” o integrare i consensi raccolti dai soggetti affinché siano ritenuti validi e conformi ai requisiti GDPR.

Documentazione allegata

Condividi:

Facebook
Twitter
Pinterest
LinkedIn

Comments are closed for this article!

Dal Blog

Articoli Correlati

Il Referente interno

Mansioni riservate alla persona di riferimento e collegamento, tra il Responsabile della Protezione Dati ed il Titolare. Al Referente Privacy sono attribuite almeno le seguenti

Nominare un DPO, 15 buoni motivi.

Il nuovo Regolamento Europeo introduce la figura del Responsabile della Protezione dei Dati, il DPO, sapere perchè e quando nominarlo è importante. Ecco dei buoni

Glossario GDPR

Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni, che

Questo sito utilizza solo ed esclusivamente cookie tecnici per garantirvi una migliore navigazione.