Il Regolamento generale sulla protezione dei dati (GDPR) è ora il fondamento della legislazione sulla protezione dei dati online. Poiché disciplina tutti i dati personali dei cittadini dell’UE, il regolamento non è applicabile solo alle organizzazioni con sede nell’UE. In effetti, qualsiasi sito Web a cui un cittadino dell’UE può potenzialmente accedere è tenuto a soddisfare gli standard GDPR
Ciò è particolarmente rilevante per i requisiti di consenso GDPR.
Il consenso è al centro del GDPR. L’obiettivo principale del regolamento è conferire ai cittadini dell’UE maggiori poteri sui loro dati personali. Ciò significa sapere cosa viene raccolto ed essere in grado di chiederne la cancellazione.
Ma quali sono i requisiti iniziali del consenso? E come li incontri?
Cos'è il consenso attivo valido?
Il consenso è un concetto semplice: devi chiedere il permesso per ottenere o raccogliere dati da una persona. Ai sensi dell’articolo 4 del GDPR, il consenso è definito come:
“Per consenso dell’interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale quest’ultimo, mediante dichiarazione o azione positiva inequivocabile, esprime il proprio consenso al trattamento dei dati personali che lo riguardano.”
Questo stabilisce alcuni fondamenti:
- Il consenso deve essere liberamente prestato dall’individuo di cui si tratta di dati.
- Il consenso non può essere forzato o fuorviante: il soggetto deve comprendere appieno a cosa sta acconsentendo.
- Il soggetto deve acconsentire attivamente – vale a dire, il consenso passivo o il consenso per silenzio, per cui l’uso di un sito web è preso come consenso, non è consentito.
Se uno qualsiasi di questi fondamenti non viene seguito, il consenso non è considerato valido. Ciò apre le organizzazioni a multe e sanzioni significative.
In effetti, Google ha notoriamente violato le condizioni del consenso. Di conseguenza, sono stati colpiti con una multa di 50 milioni di euro. Le autorità francesi per la protezione dei dati hanno affermato che il meccanismo di consenso di Google non era né “informato” né “inequivocabile” o “specifico”.
Quali sono le condizioni per il consenso?
Il GDPR chiarisce la definizione di consenso, all’articolo 7, fornendo le condizioni necessarie per il consenso (le aree in grassetto evidenziano i punti chiave):
- Se il trattamento è basato sul consenso, il responsabile del trattamento deve essere in grado di dimostrare che l’interessato ha acconsentito al trattamento dei suoi dati personali.
- Se il consenso dell’interessato è dato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre, in forma intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Qualsiasi parte di tale dichiarazione che costituisca una violazione del presente regolamento non è vincolante.
- L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di dare il consenso, l’interessato ne è informato. La revoca è tanto facile quanto dare il consenso.
- Nel valutare se il consenso è liberamente prestato, si tiene nella massima considerazione se, tra l’altro, l’esecuzione di un contratto, compresa la fornitura di un servizio, sia subordinata al consenso al trattamento di dati personali non necessari per l’esecuzione di tale contratto.
Questi chiarimenti aggiungono ulteriori avvertimenti ai criteri di consenso del GDPR, vale a dire:
- Le persone possono ritirare il loro consenso in qualsiasi momento.
- Il consenso deve essere dimostrabile.
- Deve essere chiaro a cosa una persona acconsente quando sono incluse altre questioni.
- I contratti dovrebbero contenere solo il consenso per la raccolta dei dati pertinenti.
Ciò consente al GDPR di rimanere conforme ad altre normative dell’UE, come il diritto all’oblio.
Come può essere dato liberamente il consenso?
“Dare liberamente” il consenso significa farlo senza coercizione. Tuttavia, il GDPR va oltre. Il considerando 42 recita: “Il consenso non dovrebbe essere considerato libero se l’interessato non ha una scelta reale o libera o non è in grado di rifiutare o revocare il consenso senza pregiudizio”. Quest’ultima clausola estende il consenso per includere le operazioni in cui una perdita finanziaria significativa impedisce a una persona di rifiutare.
Inoltre, come prosegue il considerando 43, per ogni operazione di trattamento dei dati deve essere fornito il consenso libero. Ad esempio, utilizzando un indirizzo e-mail per il marketing e un indirizzo IP per l’analisi web. Nessuno dei due può essere incapsulato in un singolo consenso.
In che modo il consenso è specifico e inequivocabile?
Il primo esempio evidenzia un altro aspetto chiave: la specificità. Il consenso non deve essere più ampio del necessario e dovrebbe spiegare separatamente l’uso di ciascun dato.
Pertanto, l’uso dei dati per scopi di marketing deve essere spiegato, seguito dall’analisi dei dati web. Ciò consente al proprietario dei dati di essere pienamente informato sulle conseguenze del consenso.
Né il consenso può essere inequivocabile, ad esempio “silenzio, caselle preselezionate o inattività”. Invece, il consenso deve indicare chiaramente l’accettazione dei termini da parte dell’interessato.
Come viene informato il consenso?
Questa è una delle insidie più comuni dei moduli di consenso. Come afferma il GDPR, il consenso deve essere scritto in “una forma intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice”. Ciò significa che le organizzazioni non possono mascherare i moduli di consenso in gergo tecnico diffuso e fuorviante o legalese.
Piuttosto, chiunque deve essere in grado di comprendere il modulo di consenso indipendentemente dalle competenze precedenti.
Ciò è stato particolarmente importante nel caso di Google. In questo caso, le autorità francesi hanno contestato la diluizione delle informazioni sulle operazioni di trattamento per la personalizzazione degli annunci. Pertanto, senza un’adeguata informazione, l’interessato non potrebbe dare il proprio consenso informato.
Conclusione
Il consenso ai dati è comprensibilmente complesso. In effetti, un intervistato su cinque ha riferito che la completa conformità al GDPR è “impossibile”.
Semplicemente non è così.
Piuttosto, scrivi i tuoi moduli di consenso in un linguaggio chiaro e di facile comprensione, in cui spieghi i dati raccolti e per cosa verranno utilizzati, delineando chiaramente ogni utilizzo. Quindi, fornire un’opzione per gli interessati di revocare il loro consenso.
Per ulteriori informazioni, si rimanda al regolamento di 88 pagine stesso.
Fonti:
https://gdpr.eu/what-does-it-stand-for/
https://gdpr.eu/gdpr-consent-requirements/
https://www.gdpreu.org/the-regulation/key-concepts/consent/