consenso privacy control

Ottenere e Gestire il consenso degli interessati

Ai sensi dell’articolo 6 del Regolamento Europeo 679/2016, il consenso rappresenta una delle condizioni di liceità su cui si possono fondare le attività di trattamento di dati personali.

in particolare, la base più severa, precisa, ma anche ottimale per il trattamento dei dati (per quanto riguarda il controllore dei dati) è l’esistenza di almeno una disposizione di legge (considerando 39, 40, 41, articolo 6, paragrafo 1), che richiede (ossia giustifica) la attività di trattamento dei dati. È obbligatorio che i controllori / processori forniscano prima o al momento della raccolta dei dati le specifiche dell’atto giuridico e il suo estratto numerato.

L’articolo 4 del GDPR definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

CHIAMACI ORA PER INFORMAZIONI SULLA NUOVA DISCIPLINA EUROPEA IN MATERIA DI PRIVACY!

Requisiti per il consenso in conformità al GDPR

  • Al fine di eseguire il trattamento dei dati, il consenso deve essere ottenuto preliminarmente. Dopo la scadenza, deve essere ottenuto nuovamente. Il controllore non può specificare un periodo minimo per il trattamento e imporlo sugli interessati, che possono revocare il loro consenso in qualsiasi momento.
  • Il metodo utilizzato deve garantire che l’interessato sia ben informato sul trattamento (cioè che tutte le informazioni siano espresse in un linguaggio chiaro e non ambiguo). Il consenso deve inoltre essere ottenuto prima che il soggetto accetti il ​​tipo preciso di trattamento (qui il requisito di esattezza è molto severo) menzionato nel modulo di consenso. Richiede anche un’azione positiva (quindi il consenso implicito o passivo non è conforme).
  • Il meccanismo dipende anche dal contesto. Poiché vi è il requisito che il consenso debba essere dato liberamente, non sarà considerato valido se l’interessato non ha una libera e genuina possibilità di scelta, o non è in grado di ritirare o rifiutare il consenso senza detrimento (cosa che potrebbe avvenire in determinate situazioni, come in ambito lavorativo, o nelle relazioni da governo a cittadino).

L’articolo 7 del Regolamento e il WP 259 chiariscono le modalità da seguire al fine di ottenere una corretta e valida acquisizione del consenso.La richiesta di consenso deve essere presentata all’interessato:

  • in forma comprensibile e facilmente accessibile;
  • utilizzando un linguaggio semplice e chiaro.

Nel caso in cui è necessario acquisire il consenso al fine di effettuare un trattamento, si deve:

  • sottoporre la relativa richiesta in modo distinto dalle altre e predisporre dei metodi di acquisizione del consenso che ne garantiscano la genuinità.

Contesti specifici: i dati dei minori

Allo scopo di tutelare maggiormente i minori ritenuti più vulnerabili e condizionabili, l’art. 8 del GDPR stabilisce che: “qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni”.

Il GDPR non specifica come verificare l’età dell’interessato e come raccogliere il consenso del genitore nel caso si accerti che si è di fronte ad un minore. 

Il WP29 raccomanda un approccio proporzionato che non leda il principio di minimizzazione e che valuti, caso per caso, i rischi insiti nel trattamento e i mezzi tecnologici a disposizione.

Se gli utenti affermano di avere un’età superiore ai 16 anni sarà dovere del titolare verificare che questa affermazione sia vera per non incorrere in un trattamento illecito. Se l’utente dichiara, al contrario, di avere un’età inferiore ai 16 anni, il titolare può accettare questa dichiarazione senza ulteriori controlli, ma dovrà ottenere l’autorizzazione dei genitori e verificare che la persona che fornisce il consenso sia titolare della responsabilità genitoriale. Nei casi a basso rischio, la verifica della responsabilità genitoriale via e-mail può risultare sufficiente, al contrario, nei casi ad alto rischio, può essere opportuno chiedere più prove che possono dimostrare, quanto meno, gli sforzi ragionevoli fatti dal titolare per verificare che il consenso è autorizzato da genitore.

CHIAMACI ORA PER INFORMAZIONI SULLA NUOVA DISCIPLINA EUROPEA IN MATERIA DI PRIVACY!

Compito di interesse pubblico o connesso all’esercizio di pubblici poteri

Quando l’esecuzione di un compito svolto nell’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito controllore richiede il trattamento di dati personali, è consentito ai sensi del considerando 45; articolo 6, paragrafo 1, lettera e), del GDPR.

Sebbene l’autorizzazione sia concessa di default, il trattamento eseguito su questa base può essere soggetto a obiezione da parte degli interessati. Questa è formalmente riconosciuta, in modo da consentire il riesame delle specifiche della situazione. In sostanza conferisce all’interessato la possibilità di mettere in discussione la definizione di interesse pubblico del controllore. L’obiezione può essere accolta o meno, ma deve essere considerata e deve essere data risposta in modo tempestivo.

L’interessato ha sempre il diritto di revocare il proprio consenso in qualsiasi momento: deve essere garantita la possibilità di revocare il consenso con la stessa facilità con cui è stato accordato.

Come anticipato, il Gruppo di Lavoro – Art. 29 ha elaborato un utile contributo in materia, costituito dalle “Linee guida sul consenso ai sensi del regolamento 2016/679”, emendate il 10 aprile 2018.

Abbiamo pubblicato la versione integrale, in lingua italiana, delle citate Linee guida sul nostro blog, consultabile al seguente indirizzo:

www.privacycontrol.it/consenso

Fonte: Il Sole 24Ore;

Non correre inutili rischi aspettando l’ultimo momento per adeguarti, in caso di mancato rispetto degli obblighi privacy il Regolamento Europeo Privacy prevede sanzioni amministrative pecuniarie fino a € 20.000.000 o fino al 4% del tuo fatturato se maggiore di tale importo.

Related Posts

© PrivacyControl 2023
Privacy Control, brand di Privacycert Lombardia srl • Pass. Don seghezzi, 2, 24122 Bergamo (BG)
P.IVA 04224740169 • Cap. Sociale 10.000,00 € I.V. • REA N. 445875 • Privacy policy
Tutte le immagini e i contenuti presenti in questo sito sono coperti da copyright. Condizioni di Vendita
Supportscreen tag