I CONSENSI AL TRATTAMENTO GIA’ FORNITI SONO IN LINEA CON QUANTO RICHIESTO DAL GDPR? / by Giampietro Malusa

Se con il nuovo Regolamento Privacy Europeo – che avrà piena applicazione entro il 25 maggio 2018 – molti dei principi-base in materia di protezione dei dati personali restano i medesimi, ci sono tuttavia anche significative novità che impongono alle imprese di adeguarsi.

Per quanto riguarda le informative privacy e le richieste di consenso, il GDPR esplicita alcuni requisiti volti a garantire che il consenso sia effettivamente un libero e informato. A ben vedere, però, non si tratta, o non si tratta sempre, di vere e proprie novità, in quanto la prassi applicativa in materia di privacy, anche a seguito di successivi interventi del Garante, era già orientata nello stesso senso.

In particolare, anche per la vigente disciplina (Codice Privacy) il consenso deve essere espresso, inequivocabile e specifico, ossia riferito alla/e specifica/che finalità del trattamento in questione. E quindi, per quanto riguarda l’inequivocabilità, per esempio, il silenzio o l’inattività dell’interessato non possono essere interpretati come consenso e nei modelli non si può preflaggare la casella relativa alla prestazione del consenso.

Il titolare deve inoltre essere in grado di dimostrare di aver ottenuto il consenso. A tal fine, il GDPR specifica, all’art. 7, comma 2, che “se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante”.

Quanto alla revoca del consenso, possibile in qualsiasi momento, essa non solo deve poter essere manifestata con la stessa facilità con cui il consenso è stato espresso, ma l’interessato deve anche esser stato informato di tale facoltà prima di manifestare il proprio consenso.

Ciò, tuttavia, non stravolge, come sopra accennato, la prassi applicativa in materia.

Forse l’unica vera novità è la norma del GDPR relativa al consenso espresso da minori (lecito ove manifestato da soggetto che abbia compiuto almeno 16 anni) o per conto degli stessi, mentre il Codice in sostanza si occupa solo di alcune ipotesi di dati concernenti i minori. A questo proposito, l’art. 8, comma 2 del GDPR prevede infatti che “Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili”. Pare quindi necessario pensare all’adozione di uno strumento che permetta la verifica in questione.

A parte questo ultimo aspetto, in generale, si tratterà quindi di verificare se, a livello pratico, le informative privacy e le richieste di consenso già predisposte siano in linea con questi requisiti di “chiarezza e trasparenza” e, in caso contrario, provvedere alla loro revisione e a raccogliere nuovamente il consenso degli interessati per proseguire il trattamento dei dati che li riguardano (“considerando” 171 del GDPR).

Va infatti tenuto presente che la violazione delle norme in questione è sanzionata severamente: a seconda dei casi, con sanzioni fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente oppure fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente (articolo 83 del GDPR).

Fonte:  Italia Oggi 25 febbraio 2017; Federprivacy

Posted in   Tags: , , ,