GDPR Privacy 2018: Novità #1 informativa e consenso

GDPR Privacy 2018 informativa e consenso

Tra le tante novità apportate dal GDPR (General Data Protection Regulation) o Regolamento UE 2016/679 troviamo le nuove regole in materia di informativa sulla privacy e consenso al trattamento dei dati.

Poiché la nuova normativa entrerà in vigore a partire dal 25 maggio 2018, occorre avere un quadro specifico di cosa dover fare in base alla propria realtà aziendale o professionale.

In questo articolo approfondiremo quindi questo tema e vedremo le relative novità, al fine di arrivare preparati all’appuntamento con la nuova privacy:

Informativa e Consenso: definizioni e differenze

Prima di vedere le novità che riguardano la nuova normativa, vediamo cosa s’intende per ‘Informativa’ e ‘consenso’.

 

Informativa

Per informativa si intende quella comunicazione che fornisce tutte le informazioni utili che l’interessato deve sapere nel momento in cui decide di dare il suo consenso al trattamento dei dati personali.

Consenso

Il consenso è la libera manifestazione dell’interessato ad acconsentire al trattamento dei suoi dati personali, dopo che è stato preventivamente informato circa le finalità, modalità e altro tramite l’informativa.


 

L’informativa: cosa cambia

Il GPDR apporta un cambiamento significativo in materia di informativa sulla privacy trasformando questa comunicazione da semplice adempimento in strumento di informazione.

Il concetto di informativa, dettagliatamente espresso negli articoli 12, 13 e 14 del Regolamento Europeo, racchiude tutte quelle informazioni che il titolare del trattamento è tenuto a dare al soggetto di cui deve trattare i dati personali. Deve essere “concisa, trasparente, intelligibile e facilmente accessibile,con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici“.

Possiamo quindi dire che il legislatore ha abbracciato una comunicazione molto meno burocratica (non sono infatti richiesti i riferimenti a normative) a favore di una presa di consapevolezza da parte dell’interessato, che viene così sollecitato alla lettura e alla comprensione del testo.

In particolare l’informativa deve contenere tutte le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
  • i dati di contatto del Responsabile della protezione dei dati, quando previsto
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
  • qualora il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione

Oltre a queste informazioni, nel momento in cui sono stati ottenuti i dati dall’interessato, il titolare del trattamento deve dare le seguenti ulteriori indicazioni:

  • il periodo di conservazione dei dati
  • l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale
  • il diritto dell’interessato di proporre reclamo ad un’autorità di controllo
  • l’esistenza di un processo automatizzato, compresa la profilazione, e l’indicazione delle logiche utilizzate, dell’importanza e delle conseguenze del trattamento
  • il diritto di accesso ai dati da parte dell’interessato
  • il diritto di rettifica e di cancellazione
  • la limitazione del trattamento o l’opposizione allo stesso
  • il diritto alla portabilità
  • il diritto di revoca del consenso

Per verificare che la propria informativa sia rispettosa del Regolamento Europeo, è possibile utilizzare i punti precedenti come una vera e propria check list.

Il regolamento sostiene quella che viene ormai chiamata informativa stratificata strettamente legata al web. In questo caso si parla di informativa organizzata in sezioni di semplice lettura con i link ai vari capitoli: questo agevola l’interessato a leggere le sezioni e/o i capitoli di maggiore interesse. Ovviamente deve essere strutturata in modo da dare una panoramica generale e facilmente intuibile.

L’informativa, così organizzata e pensata, assume un ruolo centrale e dinamico perché sempre passibile di correzioni e aggiornamenti a differenza della staticità della privacy attualmente vigente.

Il consenso: tutte le novità previste

E’ l’articolo 7 del regolamento che disciplina il consenso che ha un ruolo decisamente importante nella nuova disciplina. Il titolare del trattamento dei dati, infatti, deve sempre poter dimostrare che l’interessato ha dato il suo consenso liberamente.

Secondo il legislatore europeo (considerando 32)

il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso“.

Il consenso, quindi, deve essere:

inequivocabile
può anche essere implicito (ma non tacito), purché non ci sia alcun dubbio circa il fatto che l’interessato, con il proprio comportamento o con le proprie azioni, abbia voluto dare il proprio consenso (in tal caso l’inerzia non è assolutamente una manifestazione di consenso, come anche i form precompilati e caselle già pre-spuntate). Il consenso deve essere sempre esplicito quando si trattino dati sensibili (relativi ad esempio alla salute, agli atti giudiziali, eccetera) o nel caso di processi decisionali automatizzati (la profilazione ne è chiaro esempio).
manifestato liberamente
nel dare il proprio consenso i’interessato deve essere in grado di fare una scelta voluta e conscia, senza subire inganni, minacce o ricatti e né ci deve essere il timore che, non dando il proprio consenso, si possa subire delle conseguenze negative. A tal proposito l’articolo 7 afferma che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto
specifico
devono essere esplicitate le finalità per cui si richiede il consenso e se ci sono più finalità questo deve essere espresse per ciascuna di essere. Anche in caso di modifiche avvenute successivamente al consenso occorrerà richiedere il consenso dell’interessato
informato
occorre dare all’interessato tutte le informazioni necessarie al trattamento dei suoi dati (informativa con i relativi diritti), come pure deve essere informato su cosa comporta non dare il consenso
verificabile
il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha dato il suo consenso riferito a quello specifico trattamento
revocabile
in qualsiasi momento il consenso deve poter essere revocato dall’interessato. Revocare il consenso deve essere ugualmente semplice come il conferirlo. Questo significa che l’azienda dovrebbe prevedere una procedura uguale, ma contraria a quella del consenso. L’interessato non è tenuto a spiegare il motivo per cui revoca il suo consenso e in tal caso il trattamento si interrompe (è ovvio che la revoca non andrà a pregiudicare la liceità del trattamento prima di questo momento), a meno che non sussista una differente base giuridica per continuare il trattamento

E per i minori di 16 anni il consenso deve essere fornito da chi esercita la patria potestà genitoriale (quindi grande attenzione ai siti di social, app, giochi online, eccetera).

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!