Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Rapporto tra informativa e consenso

Prima di cominciare a parlare di consenso granulare e consapevole, e più in generale di consenso, facciamo un raffronto con un precedente articolo. Lì abbiamo parlato dell’informativa privacy.

Ma qual’è il rapporto che si instaura tra informativa e consenso?

  1. L’informativa deve permettere di esprimere un consenso granulare.
  2. No informativa… no consenso: come direbbe George Cloney se dovesse riferirsi a questa tematica. L’informativa è un passaggio essenziale. Io devo sapere come vengono trattati i miei dati prima di prestare il mio consenso.

Ma cosa significa consenso granulare? Prima di rispondere a questa domanda, facciamo un parallelo tra questi due concetti. C’è un elemento che li accomuna: l’imprescindibile presenza di certe caratteristiche.

  • Informativa:
  1. completezza,
  2. brevità,
  3. comprensibilità.
  • Consenso:
  1. inequivocabile,
  2. specifico,
  3. libero,
  4. informato.

Queste caratteristiche tipiche del consenso, sono espresse dall’art. 4 paragrafo 11 del GDPR. Qui si dice che il consenso dell’interessato è:

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Il consenso granulare e consapevole

Rispondiamo adesso alla domanda: cosa significa consenso granulare?

Che il soggetto interessato può esprimere il suo consenso al trattamento dei suoi dati non necessariamente con riferimento a tutte le tipologie di trattamento. Può infatti darlo anche solo con riguardo ad alcune tipologie di dati e non per altre. Il concetto di granularità tende a legarsi ad una caratteristica specifica del consenso di cui abbiamo appena parlato: la specificità.

Consenso specifico, granulare e consapevole

Il consenso granulare deve essere specifico. Cioè, non abbiamo solo il riferimento alla granularità con riguardo alla tipologia di dati trattati, ma anche con riferimento alle finalità specifiche del trattamento. Quindi l’interessato può dire che acconsente a che i suoi dati vengano trattati, ma con riferimento a delle specifiche finalità e non ad altre. Ciò permette all’interessato di essere consapevole di ciò che sta facendo nel momento in cui dà il consenso. Infatti, quando deve compiere questa decisione, si rende anche conto di quali obiettivi le aziende vogliano raggiungere grazie all’utilizzo dei suoi dati.

Conclusioni

Da questa breve analisi del consenso al trattamento dei dati personali si evince che, con l’avvento del GDPR, questa tematica è stata ulteriormente rafforzata a favore di una maggiore tutela dell’interessato.

Tuttavia dobbiamo ricordarci che il Codice Privacy, ossia il decreto legislativo 196/2003, è ancora in vigore. C’è stato un momento nel quale sembrava che tale decreto sarebbe stato del tutto abrogato con l’introduzione del GDPR, ma alla fine la scelta è stata un’altra. Tale decreto è rimasto in piedi, ma è stato novellato dal decreto legislativo 101/2018. Entrambi i decreti devono comunque essere letti e interpretati alla luce del GDPR.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso come unica base giuridica che legittima il trattamento dei dati?

Nei precedenti articoli, abbiamo parlato di consenso e di informativa. Oggi affrontiamo il tema del consenso dell’interessato, ma solo in parte. Probabilmente molti di noi pensano che non dando il consenso non sia legittimo l’uso dei nostri dati. Ma è sempre vero questo? O meglio:

Il consenso è l’unica base giuridica che legittima il trattamento lecito dei dati personali?

Se non è così, in quali altri modi si configura un trattamento lecito di dati personali? La risposta la troviamo nel GDPR all’art. 6.

Art. 6 del GDPR  e principio di liceità

In base a questo articolo, il trattamento dei dati è lecito:

  1. quando è subordinato al consenso dato dall’interessato. In questo caso il titolare del trattamento deve documentare il consenso dell’interessato per dimostrare che sia un consenso informato, esplicito e consapevole;
  2. quando è necessario.

I casi nei quali il trattamento è necessario e quindi non è richiesto il consenso dell’interessato sono:

  • quando debbano essere perseguite finalità legittime. Se ad esempio si deve dare esecuzione ad un contratto. In questo caso è però richiesto che venga fornita la quantità minima di dati necessaria a svolgere il servizio;
  • quando il trattamento debba essere eseguito come obbligo di legge. Ad esempio, una banca che per legge debba profilarci per offrirci prodotti che siano in linea con il nostro profilo;
  • quando c’è un interesse pubblico;
  • quando il titolare del trattamento dei dati debba perseguire un suo legittimo interesse. Sempre ovviamente che i diritti e le libertà dell’interessato non prevalgano sul legittimo interesse del titolare. Un esempio è quello del datore di lavoro che deve trattare i dati dei suoi dipendenti per raggiungere meglio degli obiettivi di produttività.

Trattamento di dati personali non sensibili. Consenso si o consenso no?

Per finire, rispondiamo ad un’ultima domanda.

Ma se il trattamento dei dati non è necessario ma riguarda dati personali non sensibili, quindi di diritto comune, è necessario il consenso? A questa domanda c’è chi risponde di si e che di no. Il GDPR su questo punto purtroppo non si è espresso chiaramente.

 

Sonia Lavoratti

 

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

 

L’informativa tutela davvero i nostri diritti?

L’informativa tutela davvero i nostri diritti?

L’informativa tutela davvero i nostri diritti?

Da quando è entrato in vigore il GDPR il 25 maggio di quest’anno, l’informativa sulla privacy è stato uno degli argomenti al centro dell’attenzione. Al contempo si sono susseguite tutta una serie di domande.

  1. Ma qual’è l’importanza dell’informativa?
  2. Quali sono gli elementi imprescindibili per la costruzione di una buona informativa?
  3. Che senso ha leggere l’informativa soprattutto quando siamo costretti a prestare il nostro consenso al trattamento dei dati anche quando non vorremmo?

In questo articolo cercheremo di dare una risposta a queste 3 domande e nel fare ciò capiremo anche se l’informativa tuteli davvero i nostri diritti.

Ma perché l’informativa è così importante?

Partiamo dalla base. Cos’è l’informativa? È quel documento che deve essere fornito al soggetto interessato e in cui vengono spiegate tutta una serie di cose. È proprio la ricchezza di informazioni che ci vengono fornite attraverso l’informativa che ne determinano la sua importanza. Tra queste:

  • come verranno usati i dati personali;
  • per quali finalità vengono usati i dati personali;
  • quali siano i diritti dell’interessato previsti dagli artt. 13 e 14 del GDPR che il titolare del trattamento si incarica di rendere noti all’interessato.
  • ecc…

 

Quali sono gli elementi imprescindibili per la costruzione di una buona informativa?

Gli elementi che devono caratterizzare ogni informativa rispondono all’acronimo CBC e sono:

  • Completezza;
  • Brevità;
  • Comprensibilità.

Perché leggere l’informativa nei casi in cui siamo costretti a prestare il nostro consenso al trattamento dei dati?

A volte capita che navigando su internet ci venga richiesto di prestare il nostro consenso al trattamento dei nostri dati. Se non lo facessimo non potremmo continuare a fare quello che stavamo facendo. Ma allora, se siamo costretti a dare il consenso, potremmo chiederci: perché dovremmo anche perdere il tempo di leggere l’informativa?

Risposta: dovremmo leggerla perché in questo modo avremo la consapevolezza di cosa venga fatto con i nostri dati e chi li usi. Insomma, l’importanza della lettura dell’informativa risiede nel principio dell’autodeterminazione informativa, dell’Habeas Data. Infatti leggendo questo documento avremo la possibilità di controllare come i nostri dati circolino in rete e di esercitare i nostri diritti. E quindi in poche parole di “provare” ad essere padroni della nostra privacy.

Conclusioni

Per concludere potremmo porci un’ulteriore domanda.

Qual’è il tallone d’Achille dell’informativa?

Sulla base di quanto abbiamo detto, essa deve essere completa, breve e comprensibile. Ma questi sono dei concetti molto vaghi. Infatti cosa significa breve? Non si dice nel GDPR che breve corrisponda ad un certo tot di pagine o di righe. Così come non si chiarisce esattamente come sia una informativa breve e concisa. Ovviamente, tutta questa “ambiguità“, è il pane di avvocati senza scrupoli. Essi, approfittando delle imprecisioni del GDPR, spingono il loro agire fin laddove sanno di non essere colpiti dalle sanzioni. Così a volte ci troviamo di fronte anche ad informative lunghe 20 pagine. Oppure in altre situazioni abbiamo continui rimandi ad articoli, che agli occhi dell’interessato sono l’opposto della chiarezza.

Il tutto, con l’obiettivo di spingere l’interessato a prestare il consenso al trattamento dei suoi dati senza leggere in tutto o in parte l’informativa. Il classico: accetto…accetto…accetto… che si tende a dare al trattamento dei nostri dati senza aver letto l’informativa.

Quindi, se a redigere l’informativa è un avvocato in gamba e che rispetta il Regolamento seguendo i valori dell’etica che la sua professione gli impone, leggere l’informativa aiuta a tutelare i diritti degli interessati. I diritti saranno invece ben poco tutelati, nel caso in cui chi redige l’informativa lo fa con lo scopo di carpire più dati possibili in modo poco onesto.

Sonia Lavoratti

[contact-form-7 id=”6739″ title=”Send request: 2 column SONIA LAVORATTI”]

Call Now Button