GDPR e onere della prova: il registro dei consensi

GDPR onere della prova

GDPR e onere della prova: il registro dei consensi

Con il GDPR l’azienda ha l’onere della prova: deve dimostrare di aver ottenuto un consenso valido per il trattamento dei dati personali da parte dell’interessato.
Vuoi scoprire cosa fare per tutelare la tua azienda e gestire in maniera efficace le prove dei consensi per i dati personali che raccogli via web?

Leggi l’articolo per approfondire:
– Quali informazioni memorizzare per la prova del consenso
– Per quanto tempo devi mantenere le prove del consenso
– Perché è importante un registro dei consensi centralizzato

Onere della prova: dimostra il consenso lecito

Il GDPR indica esplicitamente all’articolo 7, par. 1 che “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali”.
L’azienda ha quindi l’onere della prova: l’obbligo di dimostrare di aver ottenuto un consenso lecito per il trattamento dei dati personali.
Anche nel caso della prova del consenso, il Regolamento Europeo per la Protezione dei Dati Personali si rifà al principio di accountability: non dà indicazioni specifiche su come è necessario fornire la prova del consenso valido, lasciando al Titolare del Trattamento definirlo.
Facciamo quindi un po’ di chiarezza.

Quali informazioni devo raccogliere per la prova del consenso?

Per quanto riguarda i consensi raccolti via web, vanno conservate come prova una serie di informazioni “di contorno” alla raccolta, in modo da avere una fotografia la più completa possibile del momento in cui il consenso è stato raccolto.
In particolare, oltre ai dati personali e ai consensi prestati (finalità, scadenza, base giuridica), vanno raccolte le seguenti informazioni:
– Indirizzo IP dell’interessato
– Data e ora della raccolta (timestamp)
– Indirizzo completo della pagina web dove la raccolta è stata effettuata
– Codice http relativo alla transazione
– Volume del pacchetto dati trasferito (bytes)
– Informazioni sul browser
– Il codice della form che ha raccolto i dati in quel momento
– Il riferimento all’informativa privacy di quel momento

onere della prova gdpr

 

Per quanto tempo devo mantenere le prove del consenso?

La prova del consenso va mantenuta per tutta la durata del trattamento dei dati personali.
E ricorda: il trattamento non è solo l’utilizzo di un dato personale, per esempio per inviare una newsletter. Il GDPR prevede 16 tipi di trattamento: Raccolta, Registrazione, Organizzazione, Strutturazione, Conservazione, Adattamento, Modifica, Estrazione, Consultazione, Uso, Comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, Raffronto, Interconnessione, Limitazione, Cancellazione, Distruzione.

Terminato il trattamento dei dati personali, e quindi alla loro scadenza, dopo che vengono cancellati o anonimizzati, la prova del consenso deve essere conservata per il tempo necessario per adempiere ad obblighi giuridici o per l’accertamento, esercizio o difesa di un diritto in sede giudiziaria (rif. art. 17 GDPR, par. 3).

I consensi non sono statici, variano nel tempo.
Come tenere traccia delle modifiche, per evitare trattamenti di dati illeciti?

Gli utenti hanno il diritto di revocare o modificare i consensi prestati per il trattamento dei dati personali in qualsiasi momento.
Questo significa che:
– È necessario per gli operatori in azienda poter accedere a tutti i consensi, per aggiornarli in base alle richieste dell’interessato
– I consensi vanno aggiornati in tempo reale in azienda, per evitare trattamenti illeciti sui dati personali

Questa accessibilità, e di conseguenza l’onere della prova (GDPR), diventa complicata se i consensi sono distribuiti in più archivi dell’azienda e in applicativi diversi, magari anche con informazioni duplicate o non aggiornate.

Perché è importante un registro dei consensi centralizzato

Per questo motivo, la soluzione più tutelante per l’azienda per rispondere all’obbligo GDPR dell’onere della prova è creare un Registro dei Consensi centralizzato affinchè i consensi siano accessibili in sicurezza da parte degli operatori dell’azienda e eventualmente anche degli interessati stessi.

Gestire a mano il Registro dei Consensi è rischioso, oltre che molto dispendioso in termini di tempo. Valuta di utilizzare un software specifico per centralizzare raccolte e consensi.
Una soluzione specifica e Privacy by Design permette una gestione completa ed accurata di tutte le informazioni e le procedure relative ai consensi, garantendo tutto il necessario per la tutela dell’azienda e degli interessati.

Scopri come PrivacyOS ti può aiutare con il Registro dei Consensi e la Centralizzazione dei Dati personali.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.