Il consenso al trattamento dei dati personali di un utente è un elemento chiave ricorrente in molte attività online: è possibile trattare i dati personali senza consenso? Scopriamo in questo blogpost sul GDPR: trattamento senza consenso.
Sfatiamo subito un mito: è possibile il trattamento dei dati personali senza consenso?
La risposta è un chiaro no. Non è possibile trattare i dati personali senza consenso dell’interessato.
Continua a leggere…
In questo post ti presento quelli che sono le nozioni base per sapere quanto più possibile sul delicato nel GDPR.
Prima di procedere, un rapido riassunto degli enti fondamentali.
Distinguiamo tre entità giuridiche:
- Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
- Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
- L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.
Di nostro interesse sono poi:
- Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
- International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.
Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.
GDPR: il consenso
Chiariamo fin da subito cosa intendiamo per consenso.
Per consenso dell’interessato facciamo riferimento a qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. (Articolo 4, 11)
In sintesi, per raccoglier e il consenso o ci facciamo mandare dall’utente una nota scritta, o gli facciamo compiere un’azione inequivocabile, tipo il click su un bottone virtuale.
Nulla di nuovo.
Validità del consenso
La legge dell’Unione Europea (EU Law) stabilisce 4 requisiti per definire valido un consenso.
In sintesi, muovono dall’idea che l’interessato debba essere messo nelle condizioni di comprendere totalmente in che modo i propri dati siano trattati.
L’Articolo 7 è chiaro a riguardo.
La prima. In base al GDPR, il consenso per essere valido ha bisogno che sia dimostrabile.
Il titolare del trattamento deve quindi essere in grado di dimostrare che l’interessato abbia autorizzato il trattamento dei propri dati personali.
La seconda. A questo aggiungiamo un’ulteriore condizione che riguarda la trasparenza e la chiarezza con la quale le autorizzazioni sono raccolte, richiesta che deve usare un linguaggio semplice e chiaro.
La terza. L’interessato ha il diritto di revocare il proprio consent in qualsiasi momento. La revoca non pregiudica tuttavia la liceità del trattamento basata sul consenso prima della revoca.
In sintesi, dobbiamo offrire all’utente la possibilità di revocare il consenso (e.g. tramite pannello impostazioni sul sito, o nel banner) benché questo non renda illegali i trattamenti effettuati in precedenza sui dati personali dell’utente.
La quarta. Il paragrafo 4 dell’articolo 7 è letale riguardo una pratica largamente diffusa: non puoi raccogliere il consenso se per l’uso del servizio non è richiesto il trattamento dei dati personali.
Semplice, eppure molto spesso concediamo il consenso al trattamento dei nostri dati senza neppure sapere cosa stiamo facendo e perché.
Questo ha due implicazioni:
- dobbiamo stare attenti a come ci muoviamo in rete
- dobbiamo integrare sui siti delle nostra azienda, e nei servizi online a essa collegati, i flussi richiesi solo e quando opportuno.
Minorenni
L’Articolo 8 gestisce il delicato tema di contratti e minore età.
Il trattamento dei dati personali del minore è lecito ove il minore abbia almeno 16 anni.
In caso di età inferiore, occorre che le autorizzazioni siano prestate o conferite dal titolare della responsabilità genitoriale.
Tuttavia il GDPR riconosce una certa flessibilità agli stati membri, le cui leggi nazionali possono stabilire un’età inferiore a tali fini purché superiore ai 13 anni, valore compreso.
Chiaramente è sempre responsabilità del titolare del trattamento verificare che l’autorizzazione provenga genuinamente dal titolare della responsabilità genitoriale sul minore.
Tradotto, significa che inserisci un bel pulsantone con un grande disclaimer e te ne lavi le mani perché il tuo lavoro lo hai fatto.
Errori comuni da evitare
Il Recital 32 risponde alle eventuali lecite domande che potrebbero sorgere.
Possiamo intende il silenzio come una forma di tacito consenso? No, così come non possiamo intendere l’inattività o la preselezione di caselle di spunta (i.e. la forma tipicamente usata di richiesta) come lecite.
Qualora il trattamento avesse più finalità, il consenso deve essere raccolto per ognuna di esse.
Occorre poi impiegare una forma chiara e concisa per la richiesta, qualora questa venisse fatta attraverso mezzi elettronici.
Per il momento è tutto.
Per aspera, ad astra.
Un caldo abbraccio, Andrea
