Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Rapporto tra informativa e consenso

Prima di cominciare a parlare di consenso granulare e consapevole, e più in generale di consenso, facciamo un raffronto con un precedente articolo. Lì abbiamo parlato dell’informativa privacy.

Ma qual’è il rapporto che si instaura tra informativa e consenso?

  1. L’informativa deve permettere di esprimere un consenso granulare.
  2. No informativa… no consenso: come direbbe George Cloney se dovesse riferirsi a questa tematica. L’informativa è un passaggio essenziale. Io devo sapere come vengono trattati i miei dati prima di prestare il mio consenso.

Ma cosa significa consenso granulare? Prima di rispondere a questa domanda, facciamo un parallelo tra questi due concetti. C’è un elemento che li accomuna: l’imprescindibile presenza di certe caratteristiche.

  • Informativa:
  1. completezza,
  2. brevità,
  3. comprensibilità.
  • Consenso:
  1. inequivocabile,
  2. specifico,
  3. libero,
  4. informato.

Queste caratteristiche tipiche del consenso, sono espresse dall’art. 4 paragrafo 11 del GDPR. Qui si dice che il consenso dell’interessato è:

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Il consenso granulare e consapevole

Rispondiamo adesso alla domanda: cosa significa consenso granulare?

Che il soggetto interessato può esprimere il suo consenso al trattamento dei suoi dati non necessariamente con riferimento a tutte le tipologie di trattamento. Può infatti darlo anche solo con riguardo ad alcune tipologie di dati e non per altre. Il concetto di granularità tende a legarsi ad una caratteristica specifica del consenso di cui abbiamo appena parlato: la specificità.

Consenso specifico, granulare e consapevole

Il consenso granulare deve essere specifico. Cioè, non abbiamo solo il riferimento alla granularità con riguardo alla tipologia di dati trattati, ma anche con riferimento alle finalità specifiche del trattamento. Quindi l’interessato può dire che acconsente a che i suoi dati vengano trattati, ma con riferimento a delle specifiche finalità e non ad altre. Ciò permette all’interessato di essere consapevole di ciò che sta facendo nel momento in cui dà il consenso. Infatti, quando deve compiere questa decisione, si rende anche conto di quali obiettivi le aziende vogliano raggiungere grazie all’utilizzo dei suoi dati.

Conclusioni

Da questa breve analisi del consenso al trattamento dei dati personali si evince che, con l’avvento del GDPR, questa tematica è stata ulteriormente rafforzata a favore di una maggiore tutela dell’interessato.

Tuttavia dobbiamo ricordarci che il Codice Privacy, ossia il decreto legislativo 196/2003, è ancora in vigore. C’è stato un momento nel quale sembrava che tale decreto sarebbe stato del tutto abrogato con l’introduzione del GDPR, ma alla fine la scelta è stata un’altra. Tale decreto è rimasto in piedi, ma è stato novellato dal decreto legislativo 101/2018. Entrambi i decreti devono comunque essere letti e interpretati alla luce del GDPR.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso come unica base giuridica che legittima il trattamento dei dati?

Nei precedenti articoli, abbiamo parlato di consenso e di informativa. Oggi affrontiamo il tema del consenso dell’interessato, ma solo in parte. Probabilmente molti di noi pensano che non dando il consenso non sia legittimo l’uso dei nostri dati. Ma è sempre vero questo? O meglio:

Il consenso è l’unica base giuridica che legittima il trattamento lecito dei dati personali?

Se non è così, in quali altri modi si configura un trattamento lecito di dati personali? La risposta la troviamo nel GDPR all’art. 6.

Art. 6 del GDPR  e principio di liceità

In base a questo articolo, il trattamento dei dati è lecito:

  1. quando è subordinato al consenso dato dall’interessato. In questo caso il titolare del trattamento deve documentare il consenso dell’interessato per dimostrare che sia un consenso informato, esplicito e consapevole;
  2. quando è necessario.

I casi nei quali il trattamento è necessario e quindi non è richiesto il consenso dell’interessato sono:

  • quando debbano essere perseguite finalità legittime. Se ad esempio si deve dare esecuzione ad un contratto. In questo caso è però richiesto che venga fornita la quantità minima di dati necessaria a svolgere il servizio;
  • quando il trattamento debba essere eseguito come obbligo di legge. Ad esempio, una banca che per legge debba profilarci per offrirci prodotti che siano in linea con il nostro profilo;
  • quando c’è un interesse pubblico;
  • quando il titolare del trattamento dei dati debba perseguire un suo legittimo interesse. Sempre ovviamente che i diritti e le libertà dell’interessato non prevalgano sul legittimo interesse del titolare. Un esempio è quello del datore di lavoro che deve trattare i dati dei suoi dipendenti per raggiungere meglio degli obiettivi di produttività.

Trattamento di dati personali non sensibili. Consenso si o consenso no?

Per finire, rispondiamo ad un’ultima domanda.

Ma se il trattamento dei dati non è necessario ma riguarda dati personali non sensibili, quindi di diritto comune, è necessario il consenso? A questa domanda c’è chi risponde di si e che di no. Il GDPR su questo punto purtroppo non si è espresso chiaramente.

 

Sonia Lavoratti

 

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

L’informativa tutela davvero i nostri diritti?

L’informativa tutela davvero i nostri diritti?

L’informativa tutela davvero i nostri diritti?

Da quando è entrato in vigore il GDPR il 25 maggio di quest’anno, l’informativa sulla privacy è stato uno degli argomenti al centro dell’attenzione. Al contempo si sono susseguite tutta una serie di domande.

  1. Ma qual’è l’importanza dell’informativa?
  2. Quali sono gli elementi imprescindibili per la costruzione di una buona informativa?
  3. Che senso ha leggere l’informativa soprattutto quando siamo costretti a prestare il nostro consenso al trattamento dei dati anche quando non vorremmo?

In questo articolo cercheremo di dare una risposta a queste 3 domande e nel fare ciò capiremo anche se l’informativa tuteli davvero i nostri diritti.

Ma perché l’informativa è così importante?

Partiamo dalla base. Cos’è l’informativa? È quel documento che deve essere fornito al soggetto interessato e in cui vengono spiegate tutta una serie di cose. È proprio la ricchezza di informazioni che ci vengono fornite attraverso l’informativa che ne determinano la sua importanza. Tra queste:

  • come verranno usati i dati personali;
  • per quali finalità vengono usati i dati personali;
  • quali siano i diritti dell’interessato previsti dagli artt. 13 e 14 del GDPR che il titolare del trattamento si incarica di rendere noti all’interessato.
  • ecc…

 

Quali sono gli elementi imprescindibili per la costruzione di una buona informativa?

Gli elementi che devono caratterizzare ogni informativa rispondono all’acronimo CBC e sono:

  • Completezza;
  • Brevità;
  • Comprensibilità.

Perché leggere l’informativa nei casi in cui siamo costretti a prestare il nostro consenso al trattamento dei dati?

A volte capita che navigando su internet ci venga richiesto di prestare il nostro consenso al trattamento dei nostri dati. Se non lo facessimo non potremmo continuare a fare quello che stavamo facendo. Ma allora, se siamo costretti a dare il consenso, potremmo chiederci: perché dovremmo anche perdere il tempo di leggere l’informativa?

Risposta: dovremmo leggerla perché in questo modo avremo la consapevolezza di cosa venga fatto con i nostri dati e chi li usi. Insomma, l’importanza della lettura dell’informativa risiede nel principio dell’autodeterminazione informativa, dell’Habeas Data. Infatti leggendo questo documento avremo la possibilità di controllare come i nostri dati circolino in rete e di esercitare i nostri diritti. E quindi in poche parole di “provare” ad essere padroni della nostra privacy.

Conclusioni

Per concludere potremmo porci un’ulteriore domanda.

Qual’è il tallone d’Achille dell’informativa?

Sulla base di quanto abbiamo detto, essa deve essere completa, breve e comprensibile. Ma questi sono dei concetti molto vaghi. Infatti cosa significa breve? Non si dice nel GDPR che breve corrisponda ad un certo tot di pagine o di righe. Così come non si chiarisce esattamente come sia una informativa breve e concisa. Ovviamente, tutta questa “ambiguità“, è il pane di avvocati senza scrupoli. Essi, approfittando delle imprecisioni del GDPR, spingono il loro agire fin laddove sanno di non essere colpiti dalle sanzioni. Così a volte ci troviamo di fronte anche ad informative lunghe 20 pagine. Oppure in altre situazioni abbiamo continui rimandi ad articoli, che agli occhi dell’interessato sono l’opposto della chiarezza.

Il tutto, con l’obiettivo di spingere l’interessato a prestare il consenso al trattamento dei suoi dati senza leggere in tutto o in parte l’informativa. Il classico: accetto…accetto…accetto… che si tende a dare al trattamento dei nostri dati senza aver letto l’informativa.

Quindi, se a redigere l’informativa è un avvocato in gamba e che rispetta il Regolamento seguendo i valori dell’etica che la sua professione gli impone, leggere l’informativa aiuta a tutelare i diritti degli interessati. I diritti saranno invece ben poco tutelati, nel caso in cui chi redige l’informativa lo fa con lo scopo di carpire più dati possibili in modo poco onesto.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

Il processo decisionale automatizzato nel GDPR

Il processo decisionale automatizzato nel GDPR

Il processo decisionale automatizzato nel GDPR

Cos’è il processo decisionale automatizzato?

Il processo decisionale automatizzato è un meccanismo che assume decisioni in maniera automatica e quindi è riconducibile ad un software di assunzione delle decisioni. Quindi, come ha detto anche il GDPR in questi processi la decisione è assunta da un algoritmo, da un mezzo tecnologico, e non vi è l’intermediazione umana.

Collegamento tra processo decisionale automatizzato e trattamento dei dati

Come si può capire da quanto appena detto, si crea un collegamento tra questo processo ed il trattamento dei dati. Infatti i dati o sono:

  1. stati forniti dalle persone interessate;
  2. raccolti da programmi che monitorano i nostri comportamenti e spostamenti come i programmi di geo-localizzazione.
  3. stati raccolti basandosi su un trattamento di dati precedente che ha dato luogo ad una profilazione. Ad esempio possiamo parlare di un prestito che viene rilasciato sulla base del calcolo di un algoritmo, che si riferisce ad una precedente profilazione che è stata fatta dell’individuo, per capire ad esempio quale sia la sua affidabilità creditizia.

L’art. 22 par. 1 del GDPR

Questo articolo ci dice che:

l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla persona.

Perché questo articolo vieta le decisioni basate unicamente su trattamenti automatizzati?

Perché possono crearsi effetti sulla libertà di opinione e di espressione, come anche effetti discriminatori, quali ad esempio l’esclusione dall’accesso a certi benefici.

L’art. 22 par. 2 del GDPR

Questo articolo legittima delle eccezioni al divieto posto dall’art. 22, par. 1 sul processo decisionale automatizzato. Infatti qui si dice che:

Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;

c) si basi sul consenso esplicito dell’interessato.

La lettera c) nel far riferimento al consenso esplicito, si riferisce ad un consenso consapevole. Questo significa che il titolare deve poter mostrare una documentazione che dimostri tale consapevolezza.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

 

Call Now Button