Il GDPR ed il consenso: quando deve essere richiesto

Uno dei nodi centrali del Regolamento UE, ora pienamente operativo in tutta l’Unione europea, e del recente schema di decreto legislativo in esame alle Commissioni delle camere, è quello del consenso al trattamento dei dati conferito dall’interessato.

Ma quali sono i casi in cui è necessario chiederlo e quando, se già ottenuto secondo la normativa previgente, è opportuno chiederlo nuovamente? Non abbiate paura: basta seguire poche semplici regole per sapere se siete in regola con la nuova normativa.

Innanzitutto, va premesso che non sempre è necessario richiedere ed ottenere il consenso. L’art. 6 GDPR individua i casi in cui il trattamento dei dati è lecito: ad esempio, quando è necessario per dare esecuzione al contratto o ad obblighi precontrattuali, oppure quando serve al Titolare per dare esecuzione a specifici obblighi di legge a lui riferiti.

Riguardo ai limiti di età, lo schema di decreto legislativo che, se approvato, andrà ad adeguare la normativa nazionale al Regolamento europeo, ha fissato a sedici anni la soglia minima di età ai fini della prestazione di valido consenso al trattamento dei propri dati per l’iscrizione ai social network. Per tutti gli altri casi, resta il limite dei diciotto anni.

Detto ciò, torniamo al quesito iniziale, ovvero quando è necessario chiedere il consenso o, se già richiesto, quando deve essere nuovamente prestato. In generale, deve essere richiesto quando vengono trattati dati particolari dell’interessato, come indicati all’interno dell’art. 9, co. 1, GDPR, ovvero nei casi non rientranti nell’art. 6 GDPR sopra citato.

I consensi ottenuti prima del 25 maggio restano validi se assunti con informative conformi ai principi del Regolamento, come chiarito Considerando 171 GDPR e confermato dal Garante durante l’incontro con i DPO del 24 maggio scorso.

L’art. 4, co. 1, n. 11, ne elenca i requisiti: il consenso deve essere libero, inequivocabile, specifico, informato, verificabile e revocabile.

A prima vista tali requisiti possono sembrare banali, tuttavia, quando poi dobbiamo verificare in concreto la loro osservanza, il loro significato può non essere così scontato. Quindi, il consenso sarà:

1. libero, quando, come specificato dall’art. 7 GDPR, l’interessato è messo nella condizione di effettuare una vera scelta, non condizionata dal timore di non poter beneficiare degli effetti di un contratto se non sono accettate anche ulteriori condizioni non collegate all’esecuzione del contratto stesso (ad esempio, essere obbligati a ricevere pubblicità commerciale);
2. inequivocabile, quando l’interessato presta chiaramente il proprio consenso, ad esempio spuntando una casella opt-in o inserendo i propri dati, come la mail, in una casella apposita;
3. specifico, se sono previsti tanti consensi quante sono le diverse finalità di trattamento. Si parla infatti di granularità del consenso. È il caso del marketing diretto, o anche della profilazione: inoltre, se vengono previste ulteriori finalità, il consenso dovrà essere prestato anche per queste;
4. informato, quando, all’interno dell’informativa, sono chiaramente indicati i dati trattati, per quali finalità, le modalità di trattamento, i diritti in capo all’interessato, delle conseguenze che discendono dall’accettazione così come dal rifiuto al trattamento. È, quindi, opportuno che l’informativa sia di facile comprensione, così da non ingenerare incomprensioni od equivoci;
5. verificabile, quando è possibile dimostrare chi ha prestato il consenso ed in quale circostanza;
6. sempre revocabile. L’interessato ha, infatti, diritto a revocare il proprio consenso senza obbligo di motivazione. La revoca del consenso deve essere di facile esercizio, così come è stato prestarlo. Nell’informativa devono essere indicate le modalità di revoca, che può essere effettuata mediante l’invio di una comunicazione ad un dato indirizzo mail, opportunamente indicato nella stessa, o compilando un form ad hoc predisposto dal Titolare del trattamento.

Ad ogni modo, la prestazione del consenso ha una durata, indicata nell’informativa. Scaduto il termine di conservazione dei dati, dovrà essere nuovamente richiesto.