Consenso e informativa sulla privacy. Vediamo come tutelare i nostri dati con il nuovo GDPR
Il nuovo GDPR, da quando è entrato in vigore, ha posto particolarmente l'accento ed ha focalizzato la sua attenzione su ciò che concerne il consenso e la relativa informativa e questo perché le fondamenta del consenso e dell'informativa stessa hanno subito un radicale mutamento rispetto a quanto descritto ed indicato dalla direttiva 95/46/CE sulla protezione dei dati e dalla direttiva 2002/58/CE relativamente alla vita privata dell'interessato ed alle comunicazioni elettroniche.
Vediamo, dunque, quali sono i punti cardine del nuovo GDPR in materia di consenso e di informativa e come i dati dell'interessato vengono tutelati rimanendo trasparenti su come questi dati sensibili vengono trattati.
Il consenso al trattamento dei dati di un utente è la base legittima per il trattamento dei dati stessi ma solamente ad alcune condizioni. Le condizioni sono la possibilità reale e concreta di controllare il trattamento dei dati stessi ma anche la possibilità - sempre reale e concreta - di scegliere se si vuole o meno prestare il consenso al trattamento dei dati e tutto ciò senza rischiare di subire, in futuro, pregiudizi o danni a suo carico.
Così, il consenso si definisce valido se corrisponde ai criteri descritti al'art. 4, punto 11 del GDPR:
La libertà della volontariertà dell'interessato si manifesta, dunque, quando questi è posto di fronte ad una scelta della quale lui sia consapevole. Allo stesso modo, dunque, l'interessato sceglierà consapevolmente e sapendo che può esercitare in qualunque momento il pieno controllo dei propri dati personali. Solo in questo modo, quindi, il consenso può definirsi valido.
Per non essere ritenuto valido, dunque, il GDPR indica che se l'interessato o utente non dispone di una scelta effettiva ma risulta, quindi, condizionato in qualsiasi modo nell'espressione del suo consenso, il suo consenso non rientra in quanto previsto dall'art. 4 di cui sopra ed è, dunque, da ritenersi un consenso non valido.
L'articolo 6, al paragrafo 1, lettera a, conferma quanto detto stabilendo e chiarendo che il consenso dell'utente o dell'interessato deve essere espresso in relazione ad una o più specifiche finalità; per ognuna di queste finalità l'interessato deve poter essere in grado di decidere liberamente se dare il consenso al trattamento dei dati oppure no. Questo perché se ogni finalità è espressamente indicata, il fatto che l'utente possa decidere per ogni finalità dovrebbe garantire un maggior controllo sui propri dati personali ed una maggiore trasparenza sull'uso che verrà fatto dei dati stessi.
La specificità dei consensi è molto correlata e legata a ciò che viene definito consenso informato ed a quello che viene detto consenso granulare. Proprio quest'ultimo, inoltre, è stato già oggetto di studio ed attenzione dell'European Data Protection Board - o EPDB - ribadendo il concetto che l'interessatodeve essere libero di scegliere in modo autonomo le finalità a cui dare il proprio consenso e non essere costretto ad acconsentire a tutto un insieme di finalità che vengono prospettate dal Titolare del trattamento dei dati.
Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.
In sostanza, per semplificare, se il Titolare del trattamento dei dati ha previsto più finalità di trattamento ma non ha chiesto più consensi in modo separato, viene meno il principio di libera scelta ed il consenso va ritenuto, dunque, non valido. Ne deriva, infine, che il concettodi granularità è strettamente legato al consenso specifico ed al suo significato.
Vediamo, dunque, che cosa deve prevedere il Titolare del trattamento dei dati affinchè vanga rispettata la specificità del consenso:
Proprio l'ultimo punto è strettamente legato a ciò che il GDPR ha specificato in modo chiaro e netto: la trasparenza come requisito essenziale e principio cardine dell'intero impianto normativo oltre, ovviamente, ai principi di legalità e correttezza. Tutto ciò è stabilito dall'art. 5 del GDPR che mette in luce i punti su cui si fonda e forma la norma stessa. E' importantissimo, dunque, fornire informazioni chiare e trasparenti così come semplici in modo che il consenso, se fornito, sia scelto consapevolmente e senza lasciare dubbi di lealtà del Titolare del trattamento dei dati nei confronti dell'interessato stesso.
Le linee guida stabilite dal Gruppo di Lavoro 29, ovvero da ciò che diventerà poi l'EPDB, lasciano la possibilità al Titolare del trattamento di fornire un'informativa minima ed una estesa.
Con l'informativa estesa, l'interessato ha la piena conoscenza di tutte le attività di trattamento che vengono svolte dal Titolare e delle loro finalità. Vengono inoltre specificati i propri diritti ed anche le modalità ed i casi in cui questi diritti possono essere esercitati. Inoltre, l'interessato viene informato del fatto che verrà contattato nel caso di violazione dei suoi dati personali così come del fatto che potrà contattare ogni volta che vuole il Responsabile della Protezione dei dati nel caso ne venisse designato uno. Il Responsabile della Protezine dei dati, infatti, proprio perché è il suo ruolo, è sempre a disposizione degli interessatiche volessero informazioni o che avessero domande in merito al trattamento dei propri dati.
Per ciò che concerne invece l'informativa minima, il Titoalre del trattamento punta l'attenzione dell'interessato su un signolo trattamento dei dati personali ed in particolare al trattamento che ha interesse di effettuare così come sulla singola finalità connessa. In questo modo, dunque, il consensoche viene fornito si può dire specifico ed informato in relazione a quella finalità e per quel trattamento specifico.
L'informativa minima, dunque, per essere considerata valida, deve rispettare questi punti chiave:
La corretta informativa è bene definita all'art. 12 del Regolamento:
Il Titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli dal 15 al 22 e all'articolo 34.
Il GDPR ha un'attenzione particolare anche per la revoca del consenso dato. All'articolo 7, paragrafo 3, si legge che il Titolare deve garanire che l'interessato possa revocare in qualsiasi momento - e con la stessa facilità con cui lo ha espresso - il suo consenso. Inoltre, il Titolare deve garantire che la revoca del consenso da parte dell'interessato avvenga senza nessun pregiudizio. La revoca del consenso avrà come conseguenza naturale la distruzione di tutti i dati personali dell'interessato.
A questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 50% ovvero 60€ + iva anziché 120€.
Scopri l'AcademyA questo link trovi le informazioni e la possibilità di attivarla con lo sconto del 75% ovvero 90€ + iva anziché 360€.
Scopri il servizio Premium