fbpx
Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Il consenso nel GDPR. Granulare e consapevole

Rapporto tra informativa e consenso

Prima di cominciare a parlare di consenso granulare e consapevole, e più in generale di consenso, facciamo un raffronto con un precedente articolo. Lì abbiamo parlato dell’informativa privacy.

Ma qual’è il rapporto che si instaura tra informativa e consenso?

  1. L’informativa deve permettere di esprimere un consenso granulare.
  2. No informativa… no consenso: come direbbe George Cloney se dovesse riferirsi a questa tematica. L’informativa è un passaggio essenziale. Io devo sapere come vengono trattati i miei dati prima di prestare il mio consenso.

Ma cosa significa consenso granulare? Prima di rispondere a questa domanda, facciamo un parallelo tra questi due concetti. C’è un elemento che li accomuna: l’imprescindibile presenza di certe caratteristiche.

  • Informativa:
  1. completezza,
  2. brevità,
  3. comprensibilità.
  • Consenso:
  1. inequivocabile,
  2. specifico,
  3. libero,
  4. informato.

Queste caratteristiche tipiche del consenso, sono espresse dall’art. 4 paragrafo 11 del GDPR. Qui si dice che il consenso dell’interessato è:

qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Il consenso granulare e consapevole

Rispondiamo adesso alla domanda: cosa significa consenso granulare?

Che il soggetto interessato può esprimere il suo consenso al trattamento dei suoi dati non necessariamente con riferimento a tutte le tipologie di trattamento. Può infatti darlo anche solo con riguardo ad alcune tipologie di dati e non per altre. Il concetto di granularità tende a legarsi ad una caratteristica specifica del consenso di cui abbiamo appena parlato: la specificità.

Consenso specifico, granulare e consapevole

Il consenso granulare deve essere specifico. Cioè, non abbiamo solo il riferimento alla granularità con riguardo alla tipologia di dati trattati, ma anche con riferimento alle finalità specifiche del trattamento. Quindi l’interessato può dire che acconsente a che i suoi dati vengano trattati, ma con riferimento a delle specifiche finalità e non ad altre. Ciò permette all’interessato di essere consapevole di ciò che sta facendo nel momento in cui dà il consenso. Infatti, quando deve compiere questa decisione, si rende anche conto di quali obiettivi le aziende vogliano raggiungere grazie all’utilizzo dei suoi dati.

Conclusioni

Da questa breve analisi del consenso al trattamento dei dati personali si evince che, con l’avvento del GDPR, questa tematica è stata ulteriormente rafforzata a favore di una maggiore tutela dell’interessato.

Tuttavia dobbiamo ricordarci che il Codice Privacy, ossia il decreto legislativo 196/2003, è ancora in vigore. C’è stato un momento nel quale sembrava che tale decreto sarebbe stato del tutto abrogato con l’introduzione del GDPR, ma alla fine la scelta è stata un’altra. Tale decreto è rimasto in piedi, ma è stato novellato dal decreto legislativo 101/2018. Entrambi i decreti devono comunque essere letti e interpretati alla luce del GDPR.

Contattaci subito per un preventivo

14 + 11 =

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso dell’interessato e trattamento lecito

Consenso come unica base giuridica che legittima il trattamento dei dati?

Nei precedenti articoli, abbiamo parlato di consenso e di informativa. Oggi affrontiamo il tema del consenso dell’interessato, ma solo in parte. Probabilmente molti di noi pensano che non dando il consenso non sia legittimo l’uso dei nostri dati. Ma è sempre vero questo? O meglio:

Il consenso è l’unica base giuridica che legittima il trattamento lecito dei dati personali?

Se non è così, in quali altri modi si configura un trattamento lecito di dati personali? La risposta la troviamo nel GDPR all’art. 6.

Art. 6 del GDPR  e principio di liceità

In base a questo articolo, il trattamento dei dati è lecito:

  1. quando è subordinato al consenso dato dall’interessato. In questo caso il titolare del trattamento deve documentare il consenso dell’interessato per dimostrare che sia un consenso informato, esplicito e consapevole;
  2. quando è necessario.

I casi nei quali il trattamento è necessario e quindi non è richiesto il consenso dell’interessato sono:

  • quando debbano essere perseguite finalità legittime. Se ad esempio si deve dare esecuzione ad un contratto. In questo caso è però richiesto che venga fornita la quantità minima di dati necessaria a svolgere il servizio;
  • quando il trattamento debba essere eseguito come obbligo di legge. Ad esempio, una banca che per legge debba profilarci per offrirci prodotti che siano in linea con il nostro profilo;
  • quando c’è un interesse pubblico;
  • quando il titolare del trattamento dei dati debba perseguire un suo legittimo interesse. Sempre ovviamente che i diritti e le libertà dell’interessato non prevalgano sul legittimo interesse del titolare. Un esempio è quello del datore di lavoro che deve trattare i dati dei suoi dipendenti per raggiungere meglio degli obiettivi di produttività.

Trattamento di dati personali non sensibili. Consenso si o consenso no?

Per finire, rispondiamo ad un’ultima domanda.

Ma se il trattamento dei dati non è necessario ma riguarda dati personali non sensibili, quindi di diritto comune, è necessario il consenso? A questa domanda c’è chi risponde di si e che di no. Il GDPR su questo punto purtroppo non si è espresso chiaramente.

 

Contattaci subito per un preventivo

3 + 10 =

Dati personali e GDPR

Dati personali e GDPR

I dati personali nel GDPR

Tipologie e caratteristiche dei dati

Tipologie di dati

Ogni dato per essere tale deve avere la capacità di descrivere un elemento. Ovviamente a questa definizione si riferiscono anche i dati personali. Ci sono varie tipologie di dati.

  1. Abbiamo i raw data sono quei dati non processati che possono anche essere definiti dati grezzi.
  2. I data set o linked data sono invece quelli che sono collegati fra loro e che possono essere letti solo in combinato tra loro. Un esempio di questa tipologia di dati fa riferimento al concetto di pseudonimizzazione. Questa è una misura tecnica che presuppone che due dati vengano letti assieme. Poi, oscurando uno dei due dati è concesso al titolare del trattamento di usare l’altro.
  3. real data sono quei dati che rappresentano un momento della storia che si è concluso oppure sono la descrizione di una realtà attuale. I cosiddetti real time data.
  4. Si parla poi anche di open data, ossia di dati liberamente accessibili e fruibili. Per contro abbiamo i dati proprietari. Questi possono essere utilizzati solo da chi ne detiene la proprietà o da chi ha avuto una concessione di licenza.

Caratteristiche dei dati

Ogni dato personale deve avere diverse caratteristiche per essere oggetto di applicazione delle disposizioni del GDPR:

  • Interoperabilità: ossia consentire a chiunque indipendentemente dal sistema operativo nel quale sta operando, di fruire di quel dato e di operarvi. Quindi di modificarlo, rimetterlo in rete ecc…
  • Accessibilità: è una caratteristica che fa riferimento ai formati non proprietari. Tutti i materiali sono accessibili al pubblico e vengono messi a disposizione attraverso l’impiego di standard aperti e formati non proprietari.
  • Conservazione a lungo termine: è la caratteristica dei dati personali di essere mantenuta dentro un archivio conservando le sue proprietà. Quelle cioè di chiarezza, completezza, integrità e univocità del dato.
  • Sicurezza: a tal proposito il GDPR prevede tre elementi che vanno a definire il concetto di sicurezza:
  1. confidentiality (riservatezza);
  2. integrity (integrità);
  3. availability (dato reso disponibile).

Il d.lgs 196/2003 prevede in più altre 3 caratteristiche afferenti al tema della                sicurezza:

  1. autenticità;
  2. non ripudiabilità: il dato deve cioè essere sempre veritiero. In questo modo l’interessato non è mai messo in condizione di poter ripudiare quel dato;
  3. completezza.

I dati personali come dati qualitativi

Queste caratteristiche che distinguono i dati, sono state standardizzate dall’organizzazione internazionale degli standard ISO.

Quindi, i dati personali che soddisfano i requisiti di interoperabilità, accessibilità, conservazione a lungo termine e sicurezza sono dati che qualitativamente rispettano le caratteristiche previste dal GDPR.

Contattaci subito per un preventivo

12 + 2 =

Accountability. La novità più grande del GDPR

Accountability. La novità più grande del GDPR

Accountability. La novità più grande del GDPR

Cos’è l’accountability?

Accountability come nuovo modo di pensare dei titolari del trattamento

Il principio di responsabilizzazione (accountability) è un nuovo modo di pensare che deve essere adottato dai titolari del trattamento. Ma cosa significa questo? Significa inversione dell’onere della prova. Infatti, il titolare dovrà dimostrare di aver adottato tutte le misure tecniche e organizzative necessarie a rispettare il dettato del Regolamento. Accountability significa quindi che il titolare del trattamento dimostra di essere stato responsabile nel trattare i dati personali. Perciò, un titolare del trattamento che voglia svolgere bene il suo lavoro, dovrà sempre chiedersi se il suo operato rispetti i principi posti dall’art. 5 del GDPR. Anche nel Codice Privacy si parlava dell’inversione dell’onere della prova, ma non in questi termini.

Quali sono i compiti dei titolari del trattamento in base al principio di responsabilizzazione?

I due compiti fondamentali in base a questo principio sono:

  1. assicurare il rispetto dei principi applicabili al trattamento dei dati personali stabiliti all’art. 5 par. 1 del GDPR.
  2. Essere in grado di comprovare il rispetto di detti principi.

Come può fare il titolare del trattamento in concreto a rispettare il principio di accountability e non rischiare sanzioni?

Ogni titolare del trattamento farebbe bene ad adottare più strumenti possibili atti a dimostrare di aver seguito un percorso logico. È questo percorso che lo ha portato a compiere certe scelte, sia di natura tecnica che organizzativa. Il titolare deve quindi dimostrare di aver rispettato i principi a base dell’accountability lungo tutto questo tragitto.

Il legame tra accountability e i principi di privacy by design e privacy by default

Il principio di accountability si lega ai principi di privacy by design e privacy by default. Molto sinteticamente:

  • privacy by design: significa protezione dei dati fin dalla loro progettazione. Ossia il trattamento prima di metterlo in atto lo devo pensare e nel fare questo devo capire come proteggere i dati. Una misura che rappresenta questa tipologia di privacy è quella della pseudonimizzazione.
  • privacy by default: significa che la protezione dei dati deve essere la regola predefinita. Ciò implica che vengano raccolti solo quei dati personali necessari per la specifica finalità. In conformità a quanto stabilito dal principio di minimizzazione.

Questo è quanto ci dice l’art. 25 del GDPR ai commi 1 e 2.

Quali sono gli strumenti che dimostrano se il titolare del trattamento ha trattato i dati personali con responsabilità?

  • Il Registro del trattamento dei dati personali
  • La valutazione di impatto sulla protezione dei dati

 

Di entrambi questi temi ne parleremo in un prossimo articolo.

Contattaci subito per un preventivo

3 + 5 =

L’informativa tutela davvero i nostri diritti?

L’informativa tutela davvero i nostri diritti?

L’informativa tutela davvero i nostri diritti?

Da quando è entrato in vigore il GDPR il 25 maggio di quest’anno, l’informativa sulla privacy è stato uno degli argomenti al centro dell’attenzione. Al contempo si sono susseguite tutta una serie di domande.

  1. Ma qual’è l’importanza dell’informativa?
  2. Quali sono gli elementi imprescindibili per la costruzione di una buona informativa?
  3. Che senso ha leggere l’informativa soprattutto quando siamo costretti a prestare il nostro consenso al trattamento dei dati anche quando non vorremmo?

In questo articolo cercheremo di dare una risposta a queste 3 domande e nel fare ciò capiremo anche se l’informativa tuteli davvero i nostri diritti.

Ma perché l’informativa è così importante?

Partiamo dalla base. Cos’è l’informativa? È quel documento che deve essere fornito al soggetto interessato e in cui vengono spiegate tutta una serie di cose. È proprio la ricchezza di informazioni che ci vengono fornite attraverso l’informativa che ne determinano la sua importanza. Tra queste:

  • come verranno usati i dati personali;
  • per quali finalità vengono usati i dati personali;
  • quali siano i diritti dell’interessato previsti dagli artt. 13 e 14 del GDPR che il titolare del trattamento si incarica di rendere noti all’interessato.
  • ecc…

 

Quali sono gli elementi imprescindibili per la costruzione di una buona informativa?

Gli elementi che devono caratterizzare ogni informativa rispondono all’acronimo CBC e sono:

  • Completezza;
  • Brevità;
  • Comprensibilità.

Perché leggere l’informativa nei casi in cui siamo costretti a prestare il nostro consenso al trattamento dei dati?

A volte capita che navigando su internet ci venga richiesto di prestare il nostro consenso al trattamento dei nostri dati. Se non lo facessimo non potremmo continuare a fare quello che stavamo facendo. Ma allora, se siamo costretti a dare il consenso, potremmo chiederci: perché dovremmo anche perdere il tempo di leggere l’informativa?

Risposta: dovremmo leggerla perché in questo modo avremo la consapevolezza di cosa venga fatto con i nostri dati e chi li usi. Insomma, l’importanza della lettura dell’informativa risiede nel principio dell’autodeterminazione informativa, dell’Habeas Data. Infatti leggendo questo documento avremo la possibilità di controllare come i nostri dati circolino in rete e di esercitare i nostri diritti. E quindi in poche parole di “provare” ad essere padroni della nostra privacy.

Conclusioni

Per concludere potremmo porci un’ulteriore domanda.

Qual’è il tallone d’Achille dell’informativa?

Sulla base di quanto abbiamo detto, essa deve essere completa, breve e comprensibile. Ma questi sono dei concetti molto vaghi. Infatti cosa significa breve? Non si dice nel GDPR che breve corrisponda ad un certo tot di pagine o di righe. Così come non si chiarisce esattamente come sia una informativa breve e concisa. Ovviamente, tutta questa “ambiguità“, è il pane di avvocati senza scrupoli. Essi, approfittando delle imprecisioni del GDPR, spingono il loro agire fin laddove sanno di non essere colpiti dalle sanzioni. Così a volte ci troviamo di fronte anche ad informative lunghe 20 pagine. Oppure in altre situazioni abbiamo continui rimandi ad articoli, che agli occhi dell’interessato sono l’opposto della chiarezza.

Il tutto, con l’obiettivo di spingere l’interessato a prestare il consenso al trattamento dei suoi dati senza leggere in tutto o in parte l’informativa. Il classico: accetto…accetto…accetto… che si tende a dare al trattamento dei nostri dati senza aver letto l’informativa.

Quindi, se a redigere l’informativa è un avvocato in gamba e che rispetta il Regolamento seguendo i valori dell’etica che la sua professione gli impone, leggere l’informativa aiuta a tutelare i diritti degli interessati. I diritti saranno invece ben poco tutelati, nel caso in cui chi redige l’informativa lo fa con lo scopo di carpire più dati possibili in modo poco onesto.

Contattaci subito per un preventivo

10 + 7 =

Call Now Button
Open chat