Il consenso degli interessati

Il consenso dell’interessato è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

il consenso degli interessati

L’espressione del consenso può avvenire attraverso una dichiarazione o una azione positiva inequivocabile, attraverso una dichiarazione scritta – valida anche se avviene mediante mezzi elettronici – o orale. Il Titolare del trattamento deve essere in grado di dimostrare che l’interessato abbia prestato il proprio consenso al trattamento (art. 7 del Regolamento UE 2016/679). Il consenso quindi richiede all’interessato il compimento di una azione o una dichiarazione e non può mai essere implicito o tacito. Questi requisiti sottolineano la necessità che l’interessato sia consapevole dell’utilizzo che sarà fatto delle proprie informazioni personali. Nel seguente articolo puoi trovare un approfondimento sul ruolo dell’interessato e i suoi diritti.

 Volontà libera

Il consenso è l’espressione di una volontà libera. Affinché l’interessato possa effettivamente esprimere liberamente il consenso al trattamento dei propri dati personali, è necessario che il Titolare del trattamento predisponga un’informativa trasparente e comprensibile, dalla quale sia possibile comprendere come saranno utilizzate le informazioni e quali sarebbero le conseguenze di un mancato conferimento dei dati.

L’interessato non deve subire pressioni e non deve essere tratto in inganno: ad esempio, gli obblighi legati all’esecuzione di un contratto non possono essere utilizzati dal Titolare del trattamento come pretesto per non tenere nel debito conto i diritti dell’interessato. Un consenso libero, per sua stessa natura, deve poter essere revocato in qualsiasi momento.

 Volontà specifica

Una volontà, per essere specifica, deve riferirsi a una finalità individuata. In termini pratici, questo significa che per ciascuna distinta finalità è necessario esprimere un consenso inconfondibile e separato. Collegare due finalità a una sola richiesta di consenso è scorretto e in contraddizione con la caratteristica di libertà illustrata sopra.

Il Regolamento pone molta attenzione al grande sviluppo del commercio elettronico e del mercato digitale e alla gran quantità di dati che circolano in rete. Le informazioni personali sono un grande valore per alcune organizzazioni, che attraverso di esse possono veicolare informazioni commerciali per sé o per aziende del gruppo a cui appartengono. Spesso le navigazioni in rete sono profilate per proporre ai naviganti pubblicità mirata sulla base di interessi rilevati grazie all’analisi dei dati di navigazione.

La normativa è molto chiara: la finalità di comunicazione o di cessione dei dati a terzi (che devono essere indicati) per fini commerciali, la finalità di marketing del Titolare del trattamento e la finalità di profilazione (di chi sta raccogliendo i dati personali o di chi li riceverà) sono finalità distinte, per le quali sarà necessario raccogliere consensi specifici e separati. L’interessato deve poter essere libero, per esempio, di acconsentire a una finalità di marketing del Titolare del trattamento, ma di non volere che le proprie informazioni personali siano disponibili a terzi che perseguono un’autonoma e analoga finalità commerciale.

 Volontà informata

Come già descritto, la richiesta di consenso può avvenire solo se l’interessato ha ricevuto tutte le informazioni utili a comprendere il tipo di trattamento che, a seguito del consenso espresso, sarà fatto dei suoi dati. È necessario perciò che la richiesta di consenso sia sempre preceduta dall’informativa e che questa comunicazione sia trasparente e comprensibile in relazione allo specifico contesto.

Volontà inequivocabile

Il consenso espresso non deve dare adito a dubbi, quindi deve essere inequivocabile. Se il consenso è prestato in forma scritta, la volontà dell’interessato deve essere chiaramente espressa (con una firma o con segno sull’apposita casella) in merito alla specifica finalità. Desideriamo soffermarci sull’argomento per spiegare in che modo la volontà inequivocabile dell’interessato possa essere manifestata e dimostrata nello spazio digitale in quanto il Titolare del trattamento che raccoglie dati attraverso strumenti digitali deve adottare particolari cautele.

Ad esempio, l’attivazione di un’applicazione su un dispositivo mobile attraverso un tocco dell’interessato in un’apposita porzione dello schermo (azione) è una manifestazione di volontà inequivocabile solo se si può dimostrare che il Titolare abbia preventivamente fornito l’informativa all’interessato e che l’interessato abbia volontariamente scelto di usufruire del servizio. Avviare un servizio o installare una APP con un semplice tocco non può essere considerata per definizione un’azione inequivocabile, in quanto l’attivazione potrebbe avvenire, anche per un banale errore, nell’ambito di altre attività eseguite in quel momento dall’interessato sul dispositivo.

Un consenso estorto, fornito dall’interessato inconsapevolmente o involontariamente nel contesto di comportamenti automatici o per motivazioni non direttamente collegabili a una esplicita richiesta di consenso, come può per esempio essere il tocco casuale di una porzione di schermo dello smartphone, non è espressione di una volontà inequivocabile, libera, specifica e informata.

Consenso siti web

Un discorso specifico deve essere fatto nel caso della scelta delle impostazioni degli strumenti tecnici utilizzati dall’interessato per usufruire di alcuni servizi della società dell’informazione. Le preferenze manifestate al momento della configurazione del browser per la navigazione in rete e le opzioni selezionate in quel contesto – per esempio accettare che alcuni cookie possano trattare i dati per finalità di profilazione – possono indubbiamente costituire una manifestazione di volontà inequivocabile.

È tuttavia necessario, affinché l’espressione del consenso sia indubitabile, che la piattaforma tecnica non presenti opzioni preimpostate e che sia quindi richiesta una azione esplicita dell’interessato per attivarle. L’attivazione delle opzioni di navigazione potrà essere considerata consenso inequivocabile se e solo se il fornitore del servizio di navigazione (il Titolare del trattamento) abbia preventivamente messo a disposizione dell’interessato un’informativa completa e trasparente riguardo alle opzioni disponibili e abbia esplicitamente richiesto il suo consenso per attivarle. Ciò significa che non è possibile per il Titolare fornire maschere o modulistica che presentino opzioni con a fianco caselle già riempite con un segno di spunta predisposto per fornire il consenso.

Consenso scritto

Non è sufficiente un’azione inequivocabile ma è necessario un consenso più “forte” (scritto) nei casi in cui:

  • il Titolare intende prendere decisioni che riguardano l’interessato basandole unicamente su un trattamento automatizzato di dati personali;
  • le operazioni di trattamento riguardano categorie particolari di dati personali;
  • il Titolare intende trasferire i dati personali verso paesi extra Unione Europea per i quali non esistono decisioni di adeguatezza dell’Autorità Garante e il trattamento non fornisce adeguate garanzie di sicurezza (art. 46 del Regolamento).

 Richiesta di consenso

Come conseguenza di quanto illustrato sopra, ogni richiesta di consenso deve, quindi, essere preceduta da adeguata informativa ed essere proposta all’interessato in maniera comprensibile e chiara, così che il consenso possa essere espresso in modo libero, specifico, informato e inequivocabile. La richiesta di consenso, debitamente compilata e/o firmata dall’interessato, ovvero l’evidenza delle azioni inequivocabili compiute dall’interessato a seguito della richiesta del Titolare del trattamento, devono essere conservate dal Titolare stesso per dimostrare la legittimità delle operazioni di trattamento conseguenti all’espressione del consenso dell’interessato. È questo un aspetto molto importante, che le organizzazioni non dovrebbero trascurare o affrontare con superficialità. Fornire l’evidenza documentale per comprovare che i trattamenti effettuati sono conformi alla normativa e al Regolamento è una precisa incombenza a carico del Titolare del trattamento.

 

Revoca del consenso

Il consenso è revocato con la stessa facilità con cui è accordato”. Questa affermazione, contenuta nell’articolo 7 del Regolamento, si applica a tutte le situazioni in cui la base giuridica di legittimità del trattamento si fonda sul consenso dell’interessato. Le operazioni di trattamento effettuate prima della revoca del consenso conservano la loro legittimità.

L’esercizio della revoca è gratuito e libero e il Titolare del trattamento deve dare seguito senza indugio alla richiesta e se non lo fa è assoggettabile a sanzioni. Appena ricevuta la richiesta, il Titolare del trattamento deve astenersi da ulteriori trattamenti e provvedere alla cancellazione dei dati, a meno che la loro conservazione non sia prevista da specifiche norme e leggi. È opportuno che le organizzazioni predispongano apposite procedure per la gestione della revoca del consenso, così come per l’esercizio dei diritti degli interessati, e che pongano molta cura nel conservare le evidenze del seguito dato a tali richieste.

 Il consenso dei minori

Se il trattamento è relativo a dati personali di minori e si basa sul consenso espresso in merito all’offerta diretta di servizi della società dell’informazione, il trattamento è ammesso laddove il minore abbia compiuto almeno 14 anni (art. 8 del Regolamento e art. 2- quinquies del D. Lgs. 101/2018). Se il minore ha un’età inferiore, il trattamento può avvenire solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Il Titolare del trattamento dovrà perciò adoperarsi, con l’utilizzo delle tecnologie disponibili, per verificare che il consenso sia espresso o autorizzato da chi esercita la responsabilità genitoriale: questo non è necessario nel caso di servizi di prevenzione o di consulenza forniti direttamente a un minore.

Evidenziamo infine che, qualora le leggi dei singoli stati rendessero variabile la definizione di minore all’interno dello spazio dell’Unione Europea, un’eventuale organizzazione che operasse in più Stati membri con la stessa offerta di servizio sarebbe tenuta a adottare comportamenti differenziati in merito alla necessità di coinvolgere l’autorità genitoriale per la raccolta del consenso.

Per qualsiasi richiesta d’informazioni non esitare a contattarci!

    Privacy Policy