Il GDPR ed il consenso: quando deve essere richiesto

13/06/2018
di Redazione Colin Partners

Uno dei nodi centrali del Regolamento UE, ora pienamente operativo in tutta l’Unione europea, e del recente schema di decreto legislativo in esame alle Commissioni delle camere, è quello del consenso al trattamento dei dati conferito dall’interessato.

Ma quali sono i casi in cui è necessario chiederlo e quando, se già ottenuto secondo la normativa previgente, è opportuno chiederlo nuovamente? Non abbiate paura: basta seguire poche semplici regole per sapere se siete in regola con la nuova normativa.

Innanzitutto, va premesso che non sempre è necessario richiedere ed ottenere il consenso. L’art. 6 GDPR individua i casi in cui il trattamento dei dati è lecito: ad esempio, quando è necessario per dare esecuzione al contratto o ad obblighi precontrattuali, oppure quando serve al Titolare per dare esecuzione a specifici obblighi di legge a lui riferiti.

Riguardo ai limiti di età, lo schema di decreto legislativo che, se approvato, andrà ad adeguare la normativa nazionale al Regolamento europeo, ha fissato a sedici anni la soglia minima di età ai fini della prestazione di valido consenso al trattamento dei propri dati per l’iscrizione ai social network. Per tutti gli altri casi, resta il limite dei diciotto anni.

Detto ciò, torniamo al quesito iniziale, ovvero quando è necessario chiedere il consenso o, se già richiesto, quando deve essere nuovamente prestato. In generale, deve essere richiesto quando vengono trattati dati particolari dell’interessato, come indicati all’interno dell’art. 9, co. 1, GDPR, ovvero nei casi non rientranti nell’art. 6 GDPR sopra citato.

I consensi ottenuti prima del 25 maggio restano validi se assunti con informative conformi ai principi del Regolamento, come chiarito Considerando 171 GDPR e confermato dal Garante durante l’incontro con i DPO del 24 maggio scorso.

L’art. 4, co. 1, n. 11, ne elenca i requisiti: il consenso deve essere libero, inequivocabile, specifico, informato, verificabile e revocabile.

A prima vista tali requisiti possono sembrare banali, tuttavia, quando poi dobbiamo verificare in concreto la loro osservanza, il loro significato può non essere così scontato. Quindi, il consenso sarà:

  1. libero, quando, come specificato dall’art. 7 GDPR, l’interessato è messo nella condizione di effettuare una vera scelta, non condizionata dal timore di non poter beneficiare degli effetti di un contratto se non sono accettate anche ulteriori condizioni non collegate all’esecuzione del contratto stesso (ad esempio, essere obbligati a ricevere pubblicità commerciale);
  2. inequivocabile, quando l’interessato presta chiaramente il proprio consenso, ad esempio spuntando una casella opt-in o inserendo i propri dati, come la mail, in una casella apposita;
  3. specifico, se sono previsti tanti consensi quante sono le diverse finalità di trattamento. Si parla infatti di granularità del consenso. È il caso del marketing diretto, o anche della profilazione: inoltre, se vengono previste ulteriori finalità, il consenso dovrà essere prestato anche per queste;
  4. informato, quando, all’interno dell’informativa, sono chiaramente indicati i dati trattati, per quali finalità, le modalità di trattamento, i diritti in capo all’interessato, delle conseguenze che discendono dall’accettazione così come dal rifiuto al trattamento. È, quindi, opportuno che l’informativa sia di facile comprensione, così da non ingenerare incomprensioni od equivoci;
  5. verificabile, quando è possibile dimostrare chi ha prestato il consenso ed in quale circostanza;
  6. sempre revocabile. L’interessato ha, infatti, diritto a revocare il proprio consenso senza obbligo di motivazione. La revoca del consenso deve essere di facile esercizio, così come è stato prestarlo. Nell’informativa devono essere indicate le modalità di revoca, che può essere effettuata mediante l’invio di una comunicazione ad un dato indirizzo mail, opportunamente indicato nella stessa, o compilando un form ad hoc predisposto dal Titolare del trattamento.

Ad ogni modo, la prestazione del consenso ha una durata, indicata nell’informativa. Scaduto il termine di conservazione dei dati, dovrà essere nuovamente richiesto.

Riproduzione riservata ©

ALTRE NEWS

Apple Pay e il futuro dei pagamenti online

Apple Pay, recentemente approdato in Italia, è uno degli esempi che fa capire come il futuro dei pagamenti sia sempre meno legato alle vecchie dinamiche… Leggi Tutto

Legge sui dati UE: rinviata al 2015

Nuova vittoria per i colossi americani della tecnologia che sono riusciti ad ottenere il rinvio per almeno un altro anno dell’introduzione di norme più severe… Leggi Tutto

PEC, scadenze e mancata attuazione dell’uso della PEC nei rapporti con i cittadini da parte della Regione Basilicata

La PEC, Posta Elettronica Certificata, è un nuovo mezzo di comunicazione non diverso dalla posta elettronica comunemente utilizzata, che permette la trasmissione di documenti ed… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form