Quali sono i requisiti del consenso al trattamento dei dati personali?

Benzinai, schede carburanti addio Dal 1° luglio fatturazione elettronica
4 Giugno 2018
Governo valuta rinvio fattura elettronica per carburante
20 Giugno 2018

Quali sono i requisiti del consenso al trattamento dei dati personali?

In conformità con l’articolo 4 (11) del GDPR, il consenso è definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”

Sulla base di quanto sopra, ci sono 4 elementi da considerare per valutare la validità del consenso al trattamento dei dati personali che deve essere:

1.Liberamente prestato: Ciò significa che il consenso al trattamento dei dati personali deve rappresentare una “vera scelta e sotto controllo degli interessati”, mentre “se il consenso è inserito come parte non negoziabile di termini e condizioni si presume che non sia stato prestato liberamente”. “Una scelta genuina se l’individuo è in grado di scegliere tra un servizio che include il consenso all’utilizzo dei dati personali per finalità ulteriori e un servizio equivalente offerto dallo stesso titolare del trattamento che non comporta il consenso al trattamento dei dati per finalità ulteriori. Nei limiti in cui esiste la possibilità che il contratto venga eseguito o che il servizio appaltato sia prestato dal titolare del trattamento senza il consenso al trattamento per le finalità ulteriori o aggiuntive, ciò significa che non esiste più un servizio condizionato al consenso

2.Specifico: 

1. il consenso deve essere raccolto per finalità specifiche, esplicite e legittime e, ad esempio, un consenso che copra sia il direct marketing sia del titolare del trattamento che di terzi non sarebbero abbastanza specifico;
2. il consenso deve essere raccolto per ogni specifica finalità del trattamento dei dati; e
3. informazioni specifiche devono essere fornite con ciascuna richiesta di consenso separata al fine di rendere gli interessati consapevoli circa l’impatto delle diverse scelte che hanno a disposizione.

3.Informato: deve contenere almeno:

1. l’identità del titolare del trattamento,
2. la finalità di ciascun trattamento per il quale è richiesto il consenso;
3. quale tipologia di dati saranno raccolti e utilizzati;
4. l’esistenza del diritto di revocare il consenso;
5. informazioni sull’uso dei dati per decisioni automatizzate, inclusa la profilazione, e
6. se il consenso riguarda trasferimenti al di fuori dell’UE, i dettagli circa i possibili rischi di trasferimenti di dati verso Paesi terzi in assenza di una decisione di adeguatezza e di garanzie appropriate.

4.Un’indicazione univoca di volontà:  Il consenso al trattamento dei dati personali deve essere fornito mediante un “chiaro atto affermativo” che significa che l’interessato deve aver intrapreso un’azione deliberata per consentire il trattamento specifico. Questo può essere raccolto attraverso una dichiarazione scritta o (registrata), anche per via elettronica, che tuttavia deve comunicare chiaramente un atto affermativo e, ad esempio, lo scorrimento delle pagine su uno schermo è considerato  come non sufficiente. Allo stesso modo, non sono validi:

– caselle “preticcate”,
– il silenzio o l’inattività e
– i consensi forniti come parte di un contratto o di accettazione di termini e condizioni generali di un servizio.

5. Consenso esplicito

Il consenso esplicito (piuttosto che il consenso “ordinario” di cui sopra) può essere la base legale

– del trattamento di categorie speciali di dati, come dati relativi alla salute o i dati biometrici;
– di trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguate salvaguardie; e
– per processi decisionali automatizzati, inclusa la profilazione.