Uno dei punti cardine su cui poggia la disciplina del trattamento dei dati introdotta dal nuovo Regolamento UE 2016/679 è la netta distinzione tra informativa e consenso informato:
- l’informativa sulla privacy è un documento in cui sono raccolte tutte le informazioni utili all’utente nel momento in cui presta il consenso alla raccolta dei suoi dati;
- il consenso è invece un’affermazione positiva della volontà dell’interessato alla raccolta e al trattamento dei suoi dati nelle modalità e per le finalità indicate dall’informativa.
Se i dati vengono raccolti rivolgendosi direttamente all’utente interessato, l’informativa va necessariamente fornita prima di effettuare la raccolta. Nel caso invece i dati non vengano raccolti con questa modalità ma in maniera differita, l’informativa va fornita entro il termine di un mese dall’avvenuta raccolta.
Vale la pena sottolineare che dare l’informativa non equivale ad aver ottenuto il consenso da parte degli interessati. Questi, infatti, devono dare la loro adesione mediante un’azione esplicita, che si concretizza, di fatto, nel consenso.
Ma analizziamo ciascuna delle due nel dettaglio:
L’informativa
Come ampiamente illustrato all’interno degli art.13 e 14 del Regolamento, l’informativa deve contenere specifiche informazioni, tra cui:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati (RPD – DPO);
- le finalità del trattamento cui sono destinati dei dati personali;
- la base giuridica del trattamento e l’eventuale interesse legittimo che costituisce la base giuridica del trattamento;
- eventuali destinatari dei dati personali;
- ove presente, l’intenzione del titolare del trattamento di trasferire i dati in paesi terzi e con quali strumenti;
Da Regolamento sono previste altre informazioni importanti come:
- il periodo di conservazione dei dati;
- il diritto da parte dell’interessato di accedere ai propri dati, rettificarli o richiederne la cancellazione;
- il diritto di proporre un reclamo all’autorità di controllo;
Inoltre, se il trattamento dei dati prevede processi automatizzati come la profilazione, anche ciò deve essere indicato nell’informativa insieme alle logiche utilizzate e alle eventuali conseguenze per l’informato.
Da leggere: Cookie e privacy: il tuo sito è davvero a norma?
L’informativa deve essere preferibilmente data per iscritto o in formato elettronico, anche se sono ammessi altri mezzi come la trasmissione a voce.
Sempre secondo quanto espresso nel Regolamento, l’informativa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; ci si discosta quindi da una comunicazione di stampo burocratico per adottare un linguaggio più vicino al cittadino e maggiormente comprensibile.
Il consenso
Secondo le linee guida sul consenso, il consenso alla raccolta e al trattamento dei dati personali deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”.
Il consenso deve quindi essere frutto di una scelta libera da parte dell’individuo, priva di influenze o pressioni esterne, basata solo sulla completezza delle informazioni ricevute. Il principio del consenso informato va di pari passo con il criterio di specificità dello stesso, poiché l’interessato deve essere messo a conoscenza di:
- chi è il titolare del trattamento dei dati
- quali dati vengono utilizzati
- per quali finalità
- la possibilità di revoca del consenso
- se vengono passati a terzi
- per quanto tempo vengono conservati
Un consenso lecito a norma di legge è quello che deriva da una dichiarazione scritta oppure orale, dalla spunta apposta su una casella, dall’accettazione di determinate impostazioni tecniche per l’utilizzo di un servizio e da qualsiasi altro comportamento che indichi l’accettazione di un determinato trattamento da parte dell’utente.
Non è ammesso il consenso tacito o presunto, pertanto non costituiscono consenso il silenzio, l’accettazione di caselle preselezionate e l’inattività.
E i consensi raccolti prima del GDPR? Questi si possono considerare validi se rispettano tutte le caratteristiche sopra elencate, in caso contrario bisognerà attivarsi per raccogliere il consenso mancante.
Ma ciò che più caratterizza il consenso è la sua granularità, caratteristica direttamente connessa alla specificità: in parole più semplici, le varie finalità del trattamento dei dati vanno indicate all’interno dell’informativa separatamente e in modo approfondito. In più, per ognuna deve essere richiesto un consenso specifico.
Ad esempio, nel caso di attività di email marketing, il consenso per l’invio di newsletter sarà separato da quello per l’invio di comunicazioni commerciali e promozioni.
Da leggere: GDPR e posta elettronica: le cose da sapere
In conclusione, pur essendo due cose differenti consenso e informativa non possono esistere l’uno senza l’altro: il consenso alla raccolta e al trattamento dei dati non può essere richiesto senza l’informativa, e un’informativa fornita da sola non vale come accettazione di quanto illustrato al suo interno.
Conoscere la differenza tra questi due strumenti indispensabili per l’adeguamento al GDPR è basilare per tutte le aziende che devono obbligatoriamente mettersi a norma con il Regolamento, senza ambiguità e mancanze.
Non hai la sicurezza che la tua azienda sia correttamente adeguata al GDPR? Un nostro specialista è a disposizione per parlare con te del tuo progetto e capire come possiamo aiutarti. Contattaci!
"*" indica i campi obbligatori
