Consenso inequivocabile con il regolamento sulla protezione dei dati (GDPR)

Secondo il Regolamento generale sulla protezione dei dati (GDPR), è necessario avvalersi del “consenso inequivocabile” dell’utente per legittimare il trattamenti dei dati. E qui bisogna farsi due domande: che cosa è il consenso esplicito, e quando deve essere ottenuto?

Cos’è il consenso inequivocabile?

I dati degli utenti vanno raccolti con molta attenzione e non come una semplice formalità. Occorre che la persona sia informata e che capisca quello che sta aderendo, perciò bisogna specificare i trattamenti che riguarderanno l’uso dei dati personali. Quindi la novità riguarda il modo in qui il consenso viene espresso, e secondo il Regolamento esso deve essere manifestato “mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”.

L’aggiunta del termine ” un atto positivo inequivocabile” è la chiave, visto che annulla come consenso il silenzio, l’inattività o la preselezione di caselle. Secondo il GDPR, il consenso deve essere:

  • Granulare: si deve dare una spiegazione approfondita delle opzioni ad acconsentire e dei diversi tipi di trattamento ove opportuno.
  • Specifico. Il consenso deve essere relativo alla finalità per la quale viene eseguito il trattamento. Quindi, i dati dovranno essere pertinenti al consenso fornito, non può essere una precondizione per iscriversi a un servizio se non è necessario, e in caso di modifiche del trattamento occorre richiedere un nuovo consenso. Il consenso non deve essere una condizione obbligatoria per iscriversi a un servizio, a meno che non sia indispensabile per il servizio.
  • Denominato: deve essere indicato a quale azienda e terze parti si affida al consenso
  • Documentato: le aziende devono tenere un registro per dimostrare ciò che l’individuo ha acconsentito, tra cui quello che gli è stato detto, e come e quando gli utenti acconsentono.
  • Revocabile. La revoca deve essere facile così come lo è dare il consenso. Gli utenti non sono obbligati motivare la revoca. E dopo la stessa, il trattamento deve interrompersi.
  • Senza uno squilibrio nel rapporto: si deve verificare che non ci sia uno squilibrio nel rapporto tra l’individuo e il titolare (ad esempio, un dipendente e datore di lavoro, o un inquilino e una cooperativa edilizia).

Quando è necessario ottenere il consenso esplicito?

Il consenso deve essere esplicito nel caso di trattamento di dati sensibili o nel caso di processi decisionali automatizzati; in generale, non si dovrebbe chiedere il consenso esplicito se c’è qualsiasi altra base di liceità per ottenere i dati.

Il Regolamento prevede dei casi esenti da consenso quando il trattamento dei dati sia necessario per:

  • Obblighi contrattuali
  • Obblighi derivanti da legge
  • Interessi vitali
  • Servizio pubblico
  • Il trattamento è basato sui legittimi interessi

Documentazione per prepararsi alla conformità

Il nostro Kit di documenti GDPR ti fornirà una guida per orientarti all’interno delle principali aree del Regolamento: all’interno troverai l’elenco dei documenti necessari per adempiere pienamente al GDPR, tra cui quelli relativi a:

  • La policy di protezione dati
  • I requisiti per il Responsabile della Protezione dei Dati (DPO)
  • Le valutazioni d’impatto sulla protezione dei dati (DPIA)
  • Le procedure per una risposta adeguata in caso di incidenti
  • La segnalazione di avvenuta violazione
Scarica la versione
in prova gratuita >>
Maggiori informazioni
sul kit di documenti >>

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.