Consenso trattamento dati personali: come cambia con la nuova Normativa sulla Privacy?

L’art 4 del GDPR (General Data Protection Regulation) definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Affinchè il consenso al trattamento dei dati personali sia valido è necessario che sia:

1. Liberamente prestato
   Il consenso deve essere davvero una scelta dell’interessato e sotto il suo controllo, cosa che invece non accade quando il consenso è inserito come parte non negoziabile di termini e condizioni e, quindi, si presume che non sia stato prestato liberamente. I clienti devono, inoltre, avere la possibilità di rifiutare o revocare il consenso senza subire alcun danno, rendendolo così slegato dalla fornitura del servizio e da contratti per cui tale autorizzazione non sarebbe necessaria.
   Questo sarà valido anche per quanto riguarda il trattamento dei dati personali per cui spesso viene richiesto il consenso considerato, praticamente una controprestazione diretta o indiretta di un contratto, scenario frequente quando si utilizzano App gratuite.
   Le società non dovrebbero creare una situazione di “squilibrio di potere”, dovrebbero invece creare una situazione tale che l’individuo possa effettuare “una scelta genuina scegliendo  tra un servizio che include il consenso all’utilizzo dei dati personali per finalità ulteriori e un servizio equivalente offerto dallo stesso titolare del trattamento che non comporta il consenso al trattamento dei dati per finalità ulteriori. Nei limiti in cui esiste la possibilità che il contratto venga eseguito o che il servizio appaltato sia prestato dal titolare del trattamento senza il consenso al trattamento per le finalità ulteriori o aggiuntive, ciò significa che non esiste più un servizio condizionato al consenso”.
2. Specifico
   La granularità del consenso, cioè la creazione di differenti richieste a seconda delle diverse finalità di trattamento dei dati personali, è legata alla necessità di renderlo specifico.
   E’, pertanto, necessario che:
   1. il consenso deve essere raccolto per finalità specifiche, esplicite e legittime. Ad esempio, un consenso che copra il direct marketing, il titolare del trattamento e terzi non sarebbe abbastanza specifico;
   2. il consenso deve essere raccolto per ogni specifica finalità del trattamento dei dati;
   3. informazioni specifiche devono essere fornite con ciascuna richiesta di consenso separata al fine di rendere gli interessati consapevoli circa l’impatto delle diverse scelte che hanno a disposizione.
3. Informato
   All’interno del consenso devono essere contenute le seguenti informazioni:
   1. l’identità del titolare del trattamento;
   2. la finalità di ciascun trattamento per il quale è richiesto il consenso;
   3. quale tipologia di dati saranno raccolti e utilizzati;
   4. l’esistenza del diritto di revocare il consenso;
   5. informazioni sull’uso dei dati per decisioni automatizzate, inclusa la profilazione;
   6. se il consenso riguarda trasferimenti al di fuori dell’UE, i dettagli circa i possibili rischi di trasferimenti di dati verso Paesi terzi in assenza di una decisione di adeguatezza e di garanzie appropriate.
4. Un’indicazione univoca di volontà
   Il consenso deve essere conferito attraverso un chiaro atto affermativo e deve essere effettivamente voluto dall’interessato che deve effettuare una dichiarazione scritta o registrata. A tal fine non sarà considerato valido un consenso prestato in uno dei seguenti modi:
   1. silenzio o inattività dell’utente;
   2. fornito come parte di un contratto o di accettazione di termini e condizioni generali di un servizio.
5. Consenso esplicito
   Tale tipologia di consenso può essere la base legale:
   1. del trattamento di categorie speciali di dati, come dati relativi alla salute o dati biometrici;
   2. di trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguate salvaguardie;
   3. per processi decisionali automatizzati, inclusa la profilazione.

Il consenso esplicito può essere fornito tramite dichiarazione scritta, compilando un modulo elettronico, inviando un’e-mail, tramite la scansione del documento firmato o tramite firma elettronica, talvolta anche tramite dichiarazione orale.

Il consenso ha un limite temporale di validità?

L’autorizzazione del consenso non autorizza un eccessivo trattamento dei dati, il consenso non deve essere conservato per un periodo eccessivo in modo da difendere i diritti dei consumatori.

In teoria, a meno che non ci siano cambiamenti sostanziali nelle operazioni di trattamento dei dati personali, non esiste un limite temporale di validità del consenso inizialmente ottenuto.

Tutti coloro che danno il proprio consenso al trattamento dei dati personali devono avere la possibilità di revocarlo in un qualsiasi momento e agevolmente, tramite la stessa modalità gratuita e senza alcun impatto negativo sul servizio offerto.

Nel caso in cui il consenso venga ritirato non ci saranno effetti sulle precedenti attività di trattamento dati, dopo il ritiro i dati dovranno essere, invece, cancellati o resi anonimi.

Cosa succede con l’entrata in vigore con il GDPR (Regolamento UE 2016/679)?

Tutti i consensi ottenuti in data antecedente all’entrata in vigore della Normativa sulla Privacy rimarranno validi nei limiti di conformità al GDPR.

Tuttavia, i requisiti di quasi tutte le informative e dei consensi al direct marketing e alla profilazione ai sensi della nuova normativa sono diversi da quelli convalidati dal Garante nelle linee guida.

E’ questo il motivo per cui molti hanno adottato un’informativa transitoria in vista dell’adeguamento per curare al meglio il proprio database prima del 25 Maggio 2018.