Cerchi un avvocato esperto in
Privacy e Immagine
Guide legali privacy e immagine

Consenso privacy GDPR: quali sono le regole?

Consenso e informativa sulla privacy. Vediamo come tutelare i nostri dati con il nuovo GDPR

Il nuovo GDPR, da quando è entrato in vigore, ha posto particolarmente l'accento ed ha focalizzato la sua attenzione su ciò che concerne il consenso e la relativa informativa e questo perché le fondamenta del consenso e dell'informativa stessa hanno subito un radicale mutamento rispetto a quanto descritto ed indicato dalla direttiva 95/46/CE sulla protezione dei dati e dalla direttiva 2002/58/CE relativamente alla vita privata dell'interessato ed alle comunicazioni elettroniche.

Vediamo, dunque, quali sono i punti cardine del nuovo GDPR in materia di consenso e di informativa e come i dati dell'interessato vengono tutelati rimanendo trasparenti su come questi dati sensibili vengono trattati.

Per quanto tempo vale il consenso?

Il consenso al trattamento dei dati di un utente è la base legittima per il trattamento dei dati stessi ma solamente ad alcune condizioni. Le condizioni sono la possibilità reale e concreta di controllare il trattamento dei dati stessi ma anche la possibilità - sempre reale e concreta - di scegliere se si vuole o meno prestare il consenso al trattamento dei dati e tutto ciò senza rischiare di subire, in futuro, pregiudizi o danni a suo carico.

Così, il consenso si definisce valido se corrisponde ai criteri descritti al'art. 4, punto 11 del GDPR:

  • ​se questo viene manifestato liberamente dall'utente;
  • se è specifico e non generico;
  • se è informato: quindi se l'utente viene correttamente informato su quale sia la finalità del trattamento e sulla funzionalità del trattamento stesso dei dati;
  • se viene espresso e manifestato in modo inequivocabile.

La libertà della volontariertà dell'interessato si manifesta, dunque, quando questi è posto di fronte ad una scelta della quale lui sia consapevole. Allo stesso modo, dunque, l'interessato sceglierà consapevolmente e sapendo che può esercitare in qualunque momento il pieno controllo dei propri dati personali. Solo in questo modo, quindi, il consenso può definirsi valido.

Per non essere ritenuto valido, dunque, il GDPR indica che se l'interessato o utente non dispone di una scelta effettiva ma risulta, quindi, condizionato in qualsiasi modo nell'espressione del suo consenso, il suo consenso non rientra in quanto previsto dall'art. 4 di cui sopra ed è, dunque, da ritenersi un consenso non valido.

L'articolo 6, al paragrafo 1, lettera a, conferma quanto detto stabilendo e chiarendo che il consenso dell'utente o dell'interessato deve essere espresso in relazione ad una o più specifiche finalità; per ognuna di queste finalità l'interessato deve poter essere in grado di decidere liberamente se dare il consenso al trattamento dei dati oppure no. Questo perché se ogni finalità è espressamente indicata, il fatto che l'utente possa decidere per ogni finalità dovrebbe garantire un maggior controllo sui propri dati personali ed una maggiore trasparenza sull'uso che verrà fatto dei dati stessi.

Cos'è il consenso granulare?

La specificità dei consensi è molto correlata e legata a ciò che viene definito consenso informato ed a quello che viene detto consenso granulare. Proprio quest'ultimo, inoltre, è stato già oggetto di studio ed attenzione dell'European Data Protection Board - o EPDB - ribadendo il concetto che l'interessatodeve essere libero di scegliere in modo autonomo le finalità a cui dare il proprio consenso e non essere costretto ad acconsentire a tutto un insieme di finalità che vengono prospettate dal Titolare del trattamento dei dati.

Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.

In sostanza, per semplificare, se il Titolare del trattamento dei dati ha previsto più finalità di trattamento ma non ha chiesto più consensi in modo separato, viene meno il principio di libera scelta ed il consenso va ritenuto, dunque, non valido. Ne deriva, infine, che il concettodi granularità è strettamente legato al consenso specifico ed al suo significato.

Il consenso specifico

Vediamo, dunque, che cosa deve prevedere il Titolare del trattamento dei dati affinchè vanga rispettata la specificità del consenso:

  1. ​deve esserci granulatirà nelle richieste di consenso del trattamento dei dati;
  2. ci deve essere specificità per ciascuna delle finalità richieste dal consenso;
  3. ci deve essere distinzione tra quelle che sono le informazioni che vengono rese per il consenso al trattamento dei dati rispetto a tutte le informazioni rese per ogni altro scopo in modo che sia chiaramente informato - l'interessato - quando si parla di trattamento dei suoi dati personali e quando ciò non avviene.

Proprio l'ultimo punto è strettamente legato a ciò che il GDPR ha specificato in modo chiaro e netto: la trasparenza come requisito essenziale e principio cardine dell'intero impianto normativo oltre, ovviamente, ai principi di legalità e correttezza. Tutto ciò è stabilito dall'art. 5 del GDPR che mette in luce i punti su cui si fonda e forma la norma stessa. E' importantissimo, dunque, fornire informazioni chiare e trasparenti così come semplici in modo che il consenso, se fornito, sia scelto consapevolmente e senza lasciare dubbi di lealtà del Titolare del trattamento dei dati nei confronti dell'interessato stesso.

Informativa minima ed estesa

Le linee guida stabilite dal Gruppo di Lavoro 29, ovvero da ciò che diventerà poi l'EPDB, lasciano la possibilità al Titolare del trattamento di fornire un'informativa minima ed una estesa.

Con l'informativa estesa, l'interessato ha la piena conoscenza di tutte le attività di trattamento che vengono svolte dal Titolare e delle loro finalità. Vengono inoltre specificati i propri diritti ed anche le modalità ed i casi in cui questi diritti possono essere esercitati. Inoltre, l'interessato viene informato del fatto che verrà contattato nel caso di violazione dei suoi dati personali così come del fatto che potrà contattare ogni volta che vuole il Responsabile della Protezione dei dati nel caso ne venisse designato uno. Il Responsabile della Protezine dei dati, infatti, proprio perché è il suo ruolo, è sempre a disposizione degli interessatiche volessero informazioni o che avessero domande in merito al trattamento dei propri dati.

Per ciò che concerne invece l'informativa minima, il Titoalre del trattamento punta l'attenzione dell'interessato su un signolo trattamento dei dati personali ed in particolare al trattamento che ha interesse di effettuare così come sulla singola finalità connessa. In questo modo, dunque, il consensoche viene fornito si può dire specifico ed informato in relazione a quella finalità e per quel trattamento specifico.

L'informativa minima, dunque, per essere considerata valida, deve rispettare questi punti chiave:

  • ​identità del titolare del trattamento;
  • finalità di ogni trattamento per i quali il consenso viene richiesto;
  • il tipo di dati personali che verranno raccolti e che verranno utilizzati nel trattamento;
  • esistenza stessa del diritto di poter revocare il consenso fornito;
  • deve contenere le informazioni sull'uso dei dati per un processo decisionale automatizzato ai sensi dell'art. 22, paragrafo 2, lettera c

La corretta informativa è bene definita all'art. 12 del Regolamento:

Il Titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli dal 15 al 22 e all'articolo 34.

La revoca del consenso

Il GDPR ha un'attenzione particolare anche per la revoca del consenso dato. All'articolo 7, paragrafo 3, si legge che il Titolare deve garanire che l'interessato possa revocare in qualsiasi momento - e con la stessa facilità con cui lo ha espresso - il suo consenso. Inoltre, il Titolare deve garantire che la revoca del consenso da parte dell'interessato avvenga senza nessun pregiudizio. La revoca del consenso avrà come conseguenza naturale la distruzione di tutti i dati personali dell'interessato.

Fonti normative

  • GDPR
TRATTAMENTO DATI PERSONALI GDPR REVOCA CONSENSO INFORMATIVA ESTESA
Condividi l'articolo:
CERCHI UN AVVOCATO ESPERTO IN PRIVACY E IMMAGINE?
Ho preso visione dell’informativa sulla privacy e acconsento al trattamento dei dati.*

Quanto costa il servizio?
Il costo della consulenza legale, qualora decidessi di proseguire, lo concorderai direttamente con l'avvocato con cui ti metteremo in contatto.