Consenso GDPR: caratteristiche e modalità di raccolta

consenso gdpr

Consenso GDPR: caratteristiche e modalità di raccolta

Il consenso è il permesso esplicito che diamo ad un’azienda (o un ente) affinché possa trattare i nostri dati in maniera legittima per una specifica finalità.

Formalmente il Consenso è una delle 6 basi giuridiche del trattamento che rappresentano i sei scenari stabiliti dalla legge entro i quali viene concesso il trattamento dei dati personali.
Infatti solo una base giuridica su sei necessita del consenso attivo (ovvero volontario e manifesto) dell’interessato, per le altre cinque il consenso non deve essere chiesto perché è inteso implicito nella finalità stessa (quando ad esempio il trattamento dei dati serve per dare seguito ad un contratto o è imposto da obblighi di legge).

Questo significa che la richiesta del consenso al momento della raccolta dei dati dovrebbe essere ritenuta un qualcosa di insolito, quasi sospetto, perché indica che il titolare vuole fare qualcosa con i dati personali dell’interessato che l’interessato potrebbe non gradire oppure che potrebbe non attendersi “ragionevolmente”.
Come ben sappiamo, nel marketing quella del consenso non è affatto una pratica insolita ma è la norma ed allora vediamo di cosa si tratta, come va raccolto e gestito.

Intanto non può essere raccolto come si vuole. Il Regolamento è molto chiaro a riguardo.
Il consenso deve essere un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare i trattamenti dei propri dati personali legati esclusivamente alla finalità per la quale il consenso è stato richiesto.

Il consenso può essere raccolto in forma scritta, con la firma in un documento cartaceo, in forma digitale, ad esempio con la spunta in una casella di un form web o anche in forma orale.

Di fatto come consenso può essere inteso qualsiasi comportamento che indichi chiaramente che l’interessato accetta il trattamento proposto.
Infatti il consenso non necessariamente deve essere esplicito, può essere prestato anche tramite una qualsiasi dichiarazione o azione positiva inequivocabile che indichi chiaramente che l’interessato accetta il trattamento proposto. Per capirci il silenzio, l’inattività dell’interessato, i form precompilati non sono intesi consensi validi.
Il consenso invece deve essere esplicito nel caso di trattamento di dati sensibili o nel caso di processi decisionali automatizzati, come ad esempio nella profilazione.

Ogni consenso è legato ad una specifica finalità, Nel caso in cui alla raccolta dei dati personali fossero collegate più finalità va richiesto un consenso distinto per ognuna di esse.

Le caratteristiche del consenso

Il consenso deve essere:

    1. Inequivocabile
      Non ci devono essere dubbi sul fatto che l’interessato accetti il trattamento proposto.
    2. Libero
      L’interessato deve poter effettuare una scelta reale e non condizionata o limitata, senza subire intimidazioni, raggiri o conseguenze negative.
    3. Specifico
      Per ogni finalità deve esserci un consenso distinto ed i dati richiesti devono essere strettamente limitati alla finalità.
      Ad esempio l’iscrizione ad un webinar o lo scaricamento di un ebook non possono essere condizionati all’iscrizione alla newsletter.
      Non è possibile neppure chiedere all’interessato più informazioni dello stretto necessario, come ad esempio il telefono o l’azienda per la quale si lavora per un’iscrizione alla newsletter.
    4. Informato
      Significa che è necessario sottoporre l’informativa all’interessato prima ancora della raccolta dei suoi dati e l’informativa deve contenere tutte quelle informazioni che permettono all’interessato di effettuare una scelta consapevole e di comprendere perché, in che modo, dove e per quanto tempo verranno utilizzati i suoi dati.
    5. Verificabile
      Spetta all’azienda l’onere della prova e di conseguenza di mostrare la prova della genuinità del consenso in caso di contestazione o all’autorità che ne faccia richiesta. Non necessariamente questa prova deve essere in forma scritta, può essere raccolta digitalmente purché offra all’azienda la tutela necessaria.
    6. Revocabile
      Il consenso deve poter essere revocato in qualsiasi momento e senza motivazione dall’Interessato.
      La revoca deve essere facile così come lo è stato dare il consenso.
      A meno che l’azienda non abbia altri motivi legittimi per conservare i dati, con la revoca si attiva il diritto di cancellazione che prevede che l’azienda cancelli i dati personali dell’interessato ovunque li abbia conservati, estendendo la richiesta anche ai responsabili esterni che ne hanno copia.

 

Scadenza

Ogni consenso ha una scadenza che va rispettata. La conservazione dei dati personali, infatti, ha un limite oltre il quale vanno cancellati

Minori

Secondo il GDPR, il trattamento dei dati di minori è possibile con il loro consenso solo a partire dai 16 anni, ma consente ad ogni Stato membro UE di rideterminare questo limite tra i 13 e i 16 anni. Per quanto riguarda l’Italia, il decreto legislativo 101/2018 ha stabilito che la soglia è di 14 anni.
Prima dell’età minima, è necessario raccogliere il consenso di un genitore o di chi ne fa le veci. L’azienda deve “ragionevolmente” fare il possibile per verificare che chi presta il consenso abbia legalmente un ruolo genitoriale.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.