Il Consenso dell’interessato al trattamento dei dati
Una caratteristica che accomuna il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, alla normativa previgente, il Decreto Legislativo n. 196/2003 ( “Codice in materia di protezione dei dati personali” ), è la necessità di ottenere il consenso dell’interessato prima di poter trattare i suoi “dati personali”.
L’articolo 4 ( “definizioni” ) del Regolamento n. 679/2016 ci spiega che per “consenso dell’interessato” s’intende « qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento ».
Il consenso dell’interessato deve essere dimostrabile
L’articolo 7 del GDPR, inoltre, chiarisce che « qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali ».
Il consenso dovrà essere espresso in maniera attiva, inequivocabile, cioè « l’interessato deve aver compiuto un’azione deliberata per acconsentire al particolare trattamento ».
Non è ammesso il consenso tacito o presunto ( no a caselle pre-spuntate su un modulo ); « il semplice procedere con un servizio non può essere considerato come un’indicazione attiva di scelta » [1].
E’ altresì necessario che la formula del consenso sia « chiara e distinguibile da altre questioni », ovvero « se il contratto cartaceo include molti aspetti che non sono collegati alla questione del consenso all’uso dei dati personali, la questione del consenso dovrebbe essere trattata in un modo che risalti chiaramente, o in un documento separato, non può essere semplicemente un paragrafo all’interno di termini e condizioni » [1].
Torna sempre in ballo il concetto di accountability, ovvero che il titolare del trattamento conservi una traccia, un permesso scritto, una prova elettronica, o una registrazione audio, che dimostri il consenso ottenuto [1].
Il consenso, inoltre, deve essere informato. E’ essenziale, cioè, « fornire l’informativa agli interessati prima di richiedere il loro consenso, per consentire loro di prendere decisioni informate ».
Com’è concesso, il consenso può essere naturalmente revocato in qualsiasi momento, fatta salva la liceità dei trattamenti già avvenuti.
Consenso dei minori e per altre categorie particolari di dati
In tema di minori, l’articolo 8 del GDPR precisa che « per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni ». In caso dei minori d’età inferiore, occorre il permesso di chi è « titolare della responsabilità genitoriale ». Ci si riferisce, pure, ai tanti servizi di messaggistica istantanea o ai social network.
Com’è noto, tuttavia, tale limite è facilmente aggirato: al minore è oggi sufficiente inserire sui social una data di nascita falsa cosicchè il titolare del trattamento di “dati personali” si trovi libero da responsabilità!
Nel testo dell’articolo 9 del GDPR, è interessante rilevare come perfino per categorie particolari di dati personali ( opinioni politiche, religiose, di salute, orientamento sessuale, etc ), il trattamento può essere lecito pur in assenza di consenso dell’interessato.
Ciò avviene qualora quest’ultimo abbia reso « manifestamente pubblici tali dati ».
In definitiva, se io pubblico sui social un’informazione personale a quel punto essa perde ogni profilo di riservatezza e il suo trattamento, da parte di chiunque, diventa lecito. Ho attivato, in altre parole, un consenso implicito.
Questo dovrebbe indurre a una maggiore attenzione nel condividere informazioni o immagini personali sui social.
–
Fonti e Note:
[1] Gruppo A29WP, 10 aprile 2018, “Guidelines on consent under Regulation 2016/679”
« Non si può dire che il GDPR prescriva dichiarazioni scritte e firmate in tutte le circostanze che richiedono un valido consenso esplicito. Per esempio, nel contesto digitale od online, una persona interessata può essere in grado di rilasciare la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scannerizzato con la firma dell’interessato o utilizzando una firma elettronica ».
« In teoria, l’uso di dichiarazioni orali può anche essere sufficientemente espresso per ottenere un valido consenso esplicito, quando la dichiarazione è stata registrata ».
>>> Approfondimento: scarica la [Download non trovato] (PDF, EN)
Commenti più recenti