L’articolo 4 del GDPR introduce il “consenso dell’interessato” come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento”. In altre parole, acconsentendo al trattamento dei dati personali, l’interessato lo legittima nella pratica.
Tuttavia, per quanto questa interpretazione sembri allettante per i controllori1 dei dati personali, l’utilizzo del consenso come base giuridica per il trattamento non è il modo migliore, e certamente non il più semplice, per procedere nel rispetto della conformità al GDPR. Questo articolo smaschera alcuni dei miti relativi al consenso e tenta di rispondere ad alcune delle domande più frequenti.
1) Il consenso: pubblicità per qualcosa che esisteva già?
La prima domanda è: si tratta di una novità legale? Risposta breve: No, ma in effetti la questione è più complicata.
Il consenso era già stato incluso nel predecessore del GDPR, la Direttiva UE 95/46 / CE, l’attuale quadro legale per la protezione dei dati personali per gli Stati membri dell’UE (per saperne di più sul confronto tra la Direttiva UE 95/46 / CE e il GDPR, leggi questo articolo: EU GDPR vs. European data protection directive). Come tale, era stato ampiamente usato, anche se con molta più libertà di quanto inizialmente previsto. Come conseguenza di questo uso e abuso, il GDPR sostiene il concetto di consenso, ma impone requisiti più severi.
2) Requisiti per il consenso in conformità al GDPR
La seconda domanda è: come gestire il consenso in un modo conforme a GDPR?
Cerchiamo di chiarire i termini: il consenso è un risultato, derivante da un meccanismo che si sforza di ottenerlo.
Questo risultato deve avere un vincolo temporale che non può essere valido indefinitamente e, una volta ottenuto, presenta un’indicazione positiva di un accordo tra l’interessato e il controllore dei dati personali trattati. Benché il consenso debba essere limitato in termini di durata massima, non è giuridicamente necessario specificare il suo periodo di validità minimo, cioè non definisce e non può definire un periodo di validità obbligatorio.
Il meccanismo di consenso deve soddisfare i seguenti requisiti e vincoli:
- Al fine di eseguire il trattamento dei dati, il consenso deve essere ottenuto preliminarmente. Dopo la scadenza, deve essere ottenuto nuovamente. Il controllore non può specificare un periodo minimo per il trattamento e imporlo sugli interessati, che possono revocare il loro consenso in qualsiasi momento.
- Il metodo utilizzato deve garantire che l’interessato sia ben informato sul trattamento (cioè che tutte le informazioni siano espresse in un linguaggio chiaro e non ambiguo). Il consenso deve inoltre essere ottenuto prima che il soggetto accetti il tipo preciso di trattamento (qui il requisito di esattezza è molto severo) menzionato nel modulo di consenso. Richiede anche un’azione positiva (quindi il consenso implicito o passivo non è conforme).
- Il meccanismo dipende anche dal contesto. Poiché vi è il requisito che il consenso debba essere dato liberamente, non sarà considerato valido se l’interessato non ha una libera e genuina possibilità di scelta, o non è in grado di ritirare o rifiutare il consenso senza detrimento (cosa che potrebbe avvenire in determinate situazioni, come in ambito lavorativo, o nelle relazioni da governo a cittadino).
Inoltre, sebbene il GDPR non specifichi i mezzi per gestire il consenso, è necessario che il responsabile del trattamento sia in grado di dimostrare che il consenso sia stato fornito, insieme a tutte le informazioni associate. Ecco alcuni esempi di possibili metodi di controllo: la firma su moduli cartacei, caselle di spunta, pulsanti con la dicitura “clicca qui”, registri delle transazioni, documenti firmati digitalmente, registrazioni delle chiamate, ecc.
Inoltre, il GDPR include il consenso dei genitori / tutori per i minori. Il meccanismo per ottenere il consenso deve includere le seguenti due condizioni: una verifica ragionevolmente affidabile dell’età del minore durante la raccolta dei dati (particolarmente difficile nel contesto dei servizi online) e l’uso di un linguaggio chiaro e semplice (la visualizzazione è incoraggiata) che il bambino possa facilmente comprendere. Il limite di età per ottenere il consenso da un genitore o tutore è determinato dall’organismo di regolamentazione di ciascuno Stato membro dell’UE, a condizione che l’interessato abbia tra i 13 ei 18 anni.
3) Determinazione del bisogno
La nostra terza domanda è: in quali scenari il consenso è realmente necessario, cioè quando i controllori di dati devono usarlo? E perché porre questa domanda?
Vale la pena notare che il meccanismo di consenso è una delle numerose basi giuridiche per il trattamento dei dati in conformità al GDPR (per saperne di più sulle 6 basi giuridiche, leggi questo articolo: È necessario il consenso? Sei basi giuridiche per il trattamento dei dati in conformità con il GDPR).
Nonostante la risonanza pubblica, il consenso è forse la base giuridica più citata e meno popolare per il trattamento dei dati. Come abbiamo visto, richiede il massimo sforzo per ottenerlo e gestirlo, mentre porta il più grande svantaggio – può essere revocato in qualsiasi momento. Ciò comporta automaticamente la cessazione di ulteriori trattamenti e potrebbe anche richiedere l’adempimento del diritto alla cancellazione dei dati personali entro il termine di 30 giorni richiesto.
Si consiglia ai controllori di analizzare tutte le altre basi giuridiche e giustificare il loro trattamento dei dati personali di conseguenza. Quando tali opzioni sono terminate, il consenso rimane l’ultima risorsa.
4) Cosa facciamo con i consensi esistenti?
Come accennato in precedenza, il consenso come abbinamento meccanismo / risultato è esistito per più di 20 anni. Questo è stato il risultato della Direttiva UE 95/46 / CE e molte organizzazioni lo usano da anni. È lecito ritenere che una certa percentuale delle prove di consenso esistenti sia presente nei loro sistemi attivi / di archivio, sui quali avviene continuamente il trattamento dei dati personali.
La quarta domanda è molto importante. I controllori dei dati devono ottenere un “nuovo” consenso conforme al GDPR per ogni individuo vivente i cui dati personali siano attualmente trattati? Ebbene, il GDPR “dà una mano” in questo caso. Il considerando (171) afferma che “Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso” in modo conforme al GDPR “affinché il controllore possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento. il trattamento si basa sul consenso ai sensi della direttiva 95/46 / CE, non è necessario che l’interessato esprima nuovamente il proprio consenso” in modo conforme al GDPR, “in modo da consentire al controllore di continuare tale trattamento dopo la data di applicazione del presente Regolamento.”
Bisogna, tuttavia, fare attenzione che una definizione troppo ampia di trattamento dei dati, come presentata in questi meccanismi di consenso “ereditato”, in combinazione con la mancata informazione degli interessati richiesta dal GDPR, potrebbe costituire una non conformità. Ciò è particolarmente vero quando vengono utilizzati dati personali e inizialmente è stato ottenuto il consenso per un altro scopo.
Frasi utili
In poche parole, l’approccio al consenso da parte degli interessati può essere riassunto in due frasi:
- Utilizzare il consenso solo se necessario e gestirlo con cura.
- Non dare per scontato che qualcuno sia d’accordo con le esigenze della tua azienda.
Scarica questo Piano di Progetto gratuito per l’implementazione del GDPR dell’UE per scoprire quando è il momento migliore per iniziare a raccogliere il consenso.
1 Si utilizza qui e di seguito il termine non ufficiale “Controllore” invece di quello ufficiale “Titolare del trattamento” riportato nel testo dell’UE, in quanto più intuitivo.