24. settembre 2018

I grandi miti del GDPR: Consenso – Distinguere il vero dal falso

Il GDPR è entrato in vigore il 25 maggio 2018. Il minimo che possiamo dire è che molto è accaduto prima e dopo. Sono pochi gli argomenti che hanno fatto tanta notizia e su cui è stato pubblicato tanto. Solo nel mese di Maggio, il termine “GDPR”, e il suo equivalente italiano “RGDP” è stato ricercato più di 500.000 volte dagli Italiani.

Tuttavia, come spesso accade per le notizie da prima pagina, è difficile distinguere tra verità e finzione, tra miti e realtà. Molti articoli presentano soluzioni miracolose o metodologie infallibili per la conformità. Ma questo afflusso di informazioni non ha necessariamente reso le imprese più responsabili del trattamento e della protezione dei dati, creando invece una generale confusione.

L’esempio più evidente è l’inondazione di e-mail ricevute prima e dopo il 25 maggio, che vi ha chiesto di dare nuovamente il vostro consenso o di darlo per la prima volta o semplicemente di informarvi che a causa del mancato consenso non riceverete più la suddetta newsletter. Qual è l’approccio giusto da seguire? Molte domande, ma poche risposte concrete.

Per questo motivo, lawpilot con i nostri partner di ISiCO Datenschutz (uno studio di consulenza in materia di protezione dei dati e sicurezza informatica con oltre 10 anni di esperienza) abbiamo raccolto per voi i più grandi miti sul consenso e abbiamo cercato di rispondere alle principali domande su uno dei punti chiave del GDPR.

“Il Consenso: distinguere il vero dal falso.”

Ai sensi della GDPR e della legge n. 2018-493 del 20 giugno 2018 sulla protezione dei dati personali, il consenso informato e libero degli interessati deve essere ottenuto prima dell’attuazione dell’operazione di trattamento dei dati. Il consenso è una delle colonne portanti del GDPR, che impone requisiti rigorosi al momento della raccolta. Ma quali sono veramente questi requisiti? È corretto tutto ciò che si sente sul consenso? Ecco le 9 false idee sul consenso ai sensi del GDPR:

1. “Il consenso deve essere sempre ottenuto per iscritto!”

Il GDPR ha il compito di regolamentare la raccolta del consenso dei singoli individui, ma non di rendere la vita impossibile alle imprese! Qualsiasi azione positiva avviata dall’interessato è sufficiente. In teoria, un cenno potrebbe essere sufficiente. Solo in teoria, perché i responsabili del trattamento dei dati devono dimostrare che il consenso è stato ottenuto in modo valido (obbligo di documentazione e prova), il che diventa difficile con un cenno. Un click su un checkbox (opt-in) è la forma più comune di consenso digitale.

Attenzione:

una casella che è già stata contrassegnata e deve essere disattivata (opt-in passivo) non è considerata un consenso valido.
nonché le checkbox per rifiutare il consenso (opt-out attivo) o, peggio ancora, l’accordo obbligatorio senza possibilità di rifiuto (opt-out passivo).

2. “Le autorizzazioni ottenute prima dell’entrata in vigore del GDPR non sono valide! “

No. Le autorizzazioni ottenute prima del 25.05.2018 sono ancora valide, purché siano state ottenute conformemente ai requisiti della GDPR. In tal caso, non è necessario ottenere nuovamente il consenso delle persone, il che è molto plausibile dato che i requisiti di consenso della legge sulla protezione dei dati del 6 gennaio 1978 erano relativamente simili a quelli della GDPR. In caso contrario, è sufficiente aggiornare il consenso con le persone fisiche.

Attenzione:

Si applicano condizioni speciali per il consenso dei minori

3. “I minori non possono dare un consenso valido!”

È vero che il GDPR prevede un limite di età per il rilascio del consenso da definire valido. Tuttavia, questo non significa che i minori non possono dare un consenso valido. Infatti, il GDPR prevede che i minori possono dare il loro consenso effettivo al trattamento dei loro dati personali solo a partire dall’età di 16 anni. Questo limite di età può essere ulteriormente ridotto dagli Stati membri fino al limite inferiore assoluto di 13 anni. In Italia il limite di età è stato ridotto a 14 anni. Per il trattamento dei dati di persone di età inferiore a 14 anni, i responsabili del trattamento necessitano dell’autorizzazione del rappresentante legale.

4. “Il consenso può essere ottenuto anche dopo il trattamento dei dati!”

Il mito secondo il quale la data del consenso non è importante è ovviamente falso. “Consenso” è un termine giuridico che potrebbe essere sostituito da “accordo preventivo”. Il consenso deve essere ottenuto prima della raccolta e dell’elaborazione dei dati, nonché per ogni diversa operazione di trattamento dei dati. Il consenso non è un concetto retroattivo. Il che di per sé è abbastanza logico. Ottenere il consenso dopo che i dati sono stati trattati sarebbe come (per assurdo) prendere il telefono di un collega di fronte a lui, usarlo, e poi, prima di restituirlo chiedergli se è disposto a prestartelo perché hai dimenticato il tuo a casa.

5. “Per avere un consenso valido il doppio opt-in è obbligatorio!”

 

 

Innanzitutto, è importante notare che il GDPR ha firmato la fine dell’opt-in passivo, dell’opt-out attivo e dell’opt-out passivo! I consensi che vengono raccolti attraverso le caselle opt-in devono essere concessi in modo “attivo” (con un click). Il doppio opt-in comporta l’ottenimento del consenso due volte da parte di singoli individui. Ad esempio, per ricevere una newsletter è necessario spuntare una casella e cliccare su un link per confermare l’iscrizione. Il vantaggio di questa procedura è che fornisce la prova autentica del consenso, che è assolutamente necessaria per adempiere all’obbligo di documentazione e prova del consenso. Se questa prova può essere fornita anche attraverso la procedura di opt-in unico, il doppio opt-in non è necessario. Diciamo che il doppio opt-in offre maggiore sicurezza contro le sanzioni! Conclusione, questo non è (tranne in casi specifici) obbligatorio, ma è fortemente raccomandato. Come si dice, meglio due volte che una!

6. « Un unico consenso è sufficiente per tutti i tipi di trattamento. »

L’idea che il consenso permetta il trattamento illimitato di tutti i dati personali esce direttamente da un cappello a cilindro. La validità di un consenso è verificata sulla base di 4 criteri fondamentali: deve essere libero, informato, univoco e specifico. Con “informato e specifico” si intende che le persone devono essere informate in dettaglio delle finalità per le quali i loro dati saranno utilizzati. Essi devono essere in grado di decidere da soli a quali trattamenti desiderano acconsentire.

Attenzione: il consenso non è concesso liberamente se l’esecuzione di un contratto, compresa la fornitura di un servizio, è subordinata ad un consenso al trattamento dei dati personali che non è necessario per l’esecuzione del contratto.

Esempio: un cliente ordina della merce in un negozio online. Al momento dell’ordine, il cliente viene informato che i dati inseriti (ad es. indirizzo e-mail, indirizzo postale, numero di telefono) possono essere utilizzati anche per scopi pubblicitari. Per poter continuare il processo di ordinazione, il cliente deve dare il suo consenso all’utilizzo dei suoi dati per scopi pubblicitari. Poiché il consenso al trattamento dei dati non è necessario per la fornitura del servizio – spedizione del prodotto – il consenso non è stato dato liberamente.

7. « La procedura di revoca del consenso deve essere esattamente la stessa della procedura per ottenerlo »

Una volta dato il consenso, deve essere possibile revocarlo in qualsiasi momento. La disposizione dell’articolo 7, paragrafo 3 del GDPR chiarisce questo punto: “L’interessato ha il diritto di ritirare il proprio consenso in qualsiasi momento….. È altrettanto semplice ritirare il proprio consenso quanto concederlo”. Tuttavia, questo non significa che la procedura di revoca deve essere esattamente la stessa della procedura di consenso. In particolare nel commercio elettronico online, il consenso è generalmente dato da un opt-in box all’inizio del processo di trattamento dei dati, senza possibilità di successiva cancellazione, tranne nel caso di un account cliente. La parola chiave è semplicità. Finché c’è un modo semplice per revocare il consenso, questo è sufficiente. Per le newsletter (quelle conformi al DGMP), di solito troverete un link in fondo al messaggio che vi permette di cancellarvi dalla mailing list (un link che è spesso scritto con un carattere lillipuziano).

8. « Non posso trattare alcun dato senza il consenso! »

In mancanza del consenso ai sensi dell’articolo 6, paragrafo 1, lettere b) e c) del GDPR, il trattamento può, a determinate condizioni, essere basato anche su interessi legittimi (ad esempio commerciali), a condizione che ciò non prevalga sui diritti fondamentali degli individui (articolo 6, paragrafo 1, lettera f) del GDPR). A seconda della situazione, il GDPR può riconoscere gli interessi economici di un’impresa come interessi legittimi, come la prospezione o la pubblicità. Le imprese devono tuttavia trovare un equilibrio tra i loro interessi, che devono essere a favore dell’impresa.

9. « Per ogni cookie che raccolgo, ho bisogno del consenso! »

L’argomento dei cookie e del consenso era già confuso nella vecchia situazione giuridica ed è purtroppo ancora confuso nella nuova legge sulla protezione dei dati. In ogni caso, è certo che i cookies sono dati personali protetti dal GDPR. Ciò significa che l’uso dei cookie è generalmente vietato, a meno che l’interessato non abbia dato il suo consenso o che non vi sia uno dei motivi di autorizzazione previsti dall’articolo 6 della GDPR. Come sopra descritto, il trattamento dei dati può essere autorizzato ai sensi dell’art. 6 cpv. 1 lett. f del GDPR se vi è un legittimo interesse a farlo. Ciò include, tra l’altro, gli interessi economici delle imprese (ad esempio, la pubblicità). Occorre stabilire se l’interesse della persona interessata al trattamento dei dati è superiore all’interesse della persona interessata alla protezione dei dati.

Tuttavia, vi sono buone ragioni per cui l’uso dei cookie può anche basarsi su un interesse predominante ai sensi dell’articolo 6, paragrafo 1, lettera f), della DGPS; la ragione più frequentemente citata è l’ottimizzazione del sito web e dell’esperienza dell’utente. Questo non è un problema finché i dati raccolti sono pseudonimizzati. La pseudonimizzazione è un buon modo per proteggere i dati degli utenti. In ogni caso, anche da questo punto di vista, è consigliabile utilizzare un cookie banner per informare l’utente del sito web sulla raccolta dei cookie e sul loro utilizzo.

Attenzione: l’interessato deve sempre avere la possibilità di opporsi all’uso dei suoi cookie.

27. settembre 2018
Rischio sicurezza informatica, 8 consigli per evitarlo
PER SAPERNE DI PIU'
24. settembre 2018
I grandi miti del GDPR: Consenso – Distinguere il vero dal falso
PER SAPERNE DI PIU'

Contatti

Scrivici o contattaci telefonicamente!

+39 02 94754886
[email protected]

Tommaso Mannori
Customer service manager
lunedì – venerdì 9.00 – 18.30

Tutti i dati personali forniti saranno trattati nel rispetto della privacy al fine di consentire agli utenti l’accesso ai servizi richiesti. La trasmissione dei dati è crittografata. Per maggiori informazioni si rinvia alla nostra Informativa Privacy (EN).