• 🏡 Home
  • 🚨 GDPR Compliant
  • ⚡️ Data Science
  • 📌 Machine Learning
  • 🔒 Privacy Preserving
  • 🏡 Home
  • 🚨 GDPR Compliant
  • ⚡️ Data Science
  • 📌 Machine Learning
  • 🔒 Privacy Preserving
Data Science, GDPR Compliant

GDPR: trattamento senza consenso?

GDPR: trattamento senza consenso?

Il consenso al trattamento dei dati personali di un utente è un elemento chiave ricorrente in molte attività online: è possibile trattare i dati personali senza consenso? Scopriamo in questo blogpost sul GDPR: trattamento senza consenso.

Sfatiamo subito un mito: è possibile il trattamento dei dati personali senza consenso?

La risposta è un chiaro no. Non è possibile trattare i dati personali senza consenso dell’interessato.

Continua a leggere…

In questo post ti presento quelli che sono le nozioni base per sapere quanto più possibile sul delicato nel GDPR.

Prima di procedere, un rapido riassunto degli enti fondamentali.

Distinguiamo tre entità giuridiche:

  • Il Consiglio d’Europa (CdE), noto anche come Council of Europe (CoE) è un’organizzazione internazionale che comprende 47 stati in Europa, istituita per promuovere la democrazia, e proteggere i diritti umani e lo Stato di diritto in Europa. Ha prodotto una regolamentazione simile al GDPR ,e chiamata Modernised Convention 108.
  • Il Consiglio Europeo, noto anche come European Council è un organismo collegiale che definisce le direzioni politiche comunitarie e le priorità dell’Unione Europea.
  • L’Unione Europea, o European Union (EU) è l’organizzazione internazionale politica ed economica con carattere sovranazionale. Attualmente conta 27 stati che hanno parzialmente delegato la propria sovranità su specifiche questione di interesse comunitario. Tutti i paesi dell’EU hanno prima aderito al Consiglio d’Europa.

Di nostro interesse sono poi:

  • Court of Justice of the European Union (CJEU), basta in Lussemburgo, si assicura che le leggi europee (EU Law dora in anzi) siano interpretate e rispettate in modo analogo in ogni paese dell’unione.
  • International Court of Justice (ICJ) è l’organismo giuridico delle Nazioni Unite (United Nation) di base all’Aia. (The Hague). Gestisce le dispute tra paesi, con il suo operato a primaria fonte della Legge Internazionale.

Questi termini torneranno a più riprese, dunque è bene averli sempre sotto mano.

GDPR: il consenso

Chiariamo fin da subito cosa intendiamo per consenso.

Per consenso dell’interessato facciamo riferimento a qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. (Articolo 4, 11)

In sintesi, per raccoglier e il consenso o ci facciamo mandare dall’utente una nota scritta, o gli facciamo compiere un’azione inequivocabile, tipo il click su un bottone virtuale.

Nulla di nuovo.

Validità del consenso

La legge dell’Unione Europea (EU Law) stabilisce 4 requisiti per definire valido un consenso.

In sintesi, muovono dall’idea che l’interessato debba essere messo nelle condizioni di comprendere totalmente in che modo i propri dati siano trattati.

L’Articolo 7 è chiaro a riguardo.

La prima. In base al GDPR, il consenso per essere valido ha bisogno che sia dimostrabile.

Il titolare del trattamento deve quindi essere in grado di dimostrare che l’interessato abbia autorizzato il trattamento dei propri dati personali.

La seconda. A questo aggiungiamo un’ulteriore condizione che riguarda la trasparenza e la chiarezza con la quale le autorizzazioni sono raccolte, richiesta che deve usare un linguaggio semplice e chiaro.

La terza. L’interessato ha il diritto di revocare il proprio consent in qualsiasi momento. La revoca non pregiudica tuttavia la liceità del trattamento basata sul consenso prima della revoca.

In sintesi, dobbiamo offrire all’utente la possibilità di revocare il consenso (e.g. tramite pannello impostazioni sul sito, o nel banner) benché questo non renda illegali i trattamenti effettuati in precedenza sui dati personali dell’utente.

La quarta. Il paragrafo 4 dell’articolo 7 è letale riguardo una pratica largamente diffusa: non puoi raccogliere il consenso se per l’uso del servizio non è richiesto il trattamento dei dati personali.

Semplice, eppure molto spesso concediamo il consenso al trattamento dei nostri dati senza neppure sapere cosa stiamo facendo e perché.

Questo ha due implicazioni:

  • dobbiamo stare attenti a come ci muoviamo in rete
  • dobbiamo integrare sui siti delle nostra azienda, e nei servizi online a essa collegati, i flussi richiesi solo e quando opportuno.

Minorenni

L’Articolo 8 gestisce il delicato tema di contratti e minore età.

Il trattamento dei dati personali del minore è lecito ove il minore abbia almeno 16 anni.

In caso di età inferiore, occorre che le autorizzazioni siano prestate o conferite dal titolare della responsabilità genitoriale.

Tuttavia il GDPR riconosce una certa flessibilità agli stati membri, le cui leggi nazionali possono stabilire un’età inferiore a tali fini purché superiore ai 13 anni, valore compreso.

Chiaramente è sempre responsabilità del titolare del trattamento verificare che l’autorizzazione provenga genuinamente dal titolare della responsabilità genitoriale sul minore.

Tradotto, significa che inserisci un bel pulsantone con un grande disclaimer e te ne lavi le mani perché il tuo lavoro lo hai fatto.

Errori comuni da evitare

Il Recital 32 risponde alle eventuali lecite domande che potrebbero sorgere.

Possiamo intende il silenzio come una forma di tacito consenso? No, così come non possiamo intendere l’inattività o la preselezione di caselle di spunta (i.e. la forma tipicamente usata di richiesta) come lecite.

Qualora il trattamento avesse più finalità, il consenso deve essere raccolto per ognuna di esse.

Occorre poi impiegare una forma chiara e concisa per la richiesta, qualora questa venisse fatta attraverso mezzi elettronici.

Per il momento è tutto.

Per aspera, ad astra.

Un caldo abbraccio, Andrea

Written by Andrea Provino - Novembre 5, 2020
Tags | GDPR, privacy, teoria

You Might Also Like

One Versus All (OvA) vs One Versus One (OvO) | Multiclass Classifiers

Settembre 30, 2019
elastic-net-early-stopping-gradient-descent-batch-gradient-descent-machine-learning-data-science-guida-italiano-blog-data-science

Elastic Net e Early Stopping | ITA

Dicembre 5, 2019
bias-variance-tradeoff-italiano-generalization-error-models-machine-leaning-blog-data-science-blog-italia-irreducible-error-guida

The Bias / Variance Tradeoff

Dicembre 3, 2019
Next Post
Previous Post

Una pubblicità che non vedi se usi AdBlock

EXPAND YOUR KNOWLEDGE

  • fully-homomorphic-encryption-crittografia-completamente-omomorfica Privacy Preserving

    Cos’è la Crittografia Omomorfica | Homomorphic Encryption (HE)

    Marzo 4, 2021
  • data-science-for-finance-machine-learning-deep-learning-data-science-use-cases-use-cases Business, Data Science, machine-learning

    Data Science for Finance | Use Cases per il Data Scientist

    Febbraio 13, 2021
  • differential-privacy-example-privacy-differenziale-esempio-italiano-applicazioni-reali Business, Data Science, Privacy Preserving

    Differential Privacy Example | Esempi di privacy differenziale

    Febbraio 10, 2021
  • privacy-enhancing-technologies-techniques-machine-learning-data-science-pets-guida-italiano-spiegazione-semplice Business, Data Science, machine-learning, Privacy Preserving

    Cosa sono le Privacy-enhancing technologies o techniques (PETs)

    Febbraio 7, 2021
  • condivisione-dati-finance-fintech-problems-machine-learning-for-finance-data-science-deep-learning-case-study Business

    Problemi della condivisione dati in finanza | Finance data sharing problems

    Febbraio 4, 2021
  • finance-privacy-settore-finanziario-dati-privacy-enhancing-technologies-ai Business

    Il legame tra Privacy Dati AI nel settore finanziario

    Febbraio 1, 2021
  • rust-react-webassembly-privacy-preserving-machine-learning Logs

    Rust, WebAssembly, React e un MVP

    Dicembre 21, 2020
  • diffie-hellman-key-exchange-protocol-scambio-di-chiavi-diffie-hellman Data Science, Privacy Preserving

    Cos’è lo scambio di chiavi Diffie-Hellman (DH)? | Privacy Preserving

    Dicembre 15, 2020
  • principio-di-esattezza-data-science-machine-learning-gdpr-data-accuracy Data Science, GDPR Compliant

    GDPR: Principio di esattezza dei dati (Data Accuracy)

    Dicembre 12, 2020
  • tensorflow-extended-tfx-deploy-machine-learning-guide-machine-learning-pipelines machine-learning

    TFX: come funziona Tensorflow Extended?

    Dicembre 9, 2020

Quello che Google pensa ti possa piacere

Prodotti che i Cookie dicono potresti trovare interessanti

AI Blog - © 2019-2021 Andrea Provino