Questa storica normativa ha cambiato il modo in cui le organizzazioni si approcciano alla privacy dei dati e ha riportato i consumatori al posto di guida, dando loro un maggiore controllo sulle modalità di archiviazione e trattamento dei loro dati.

Quando il GDPR è entrato in vigore il 25 maggio 2018, ha rappresentato il più grande cambiamento delle leggi sulla privacy dei dati degli ultimi 20 anni.

La normativa è stata introdotta per riflettere il nostro mondo sempre più digitalizzato e riconoscere i diritti degli individui in merito all’utilizzo dei loro dati personali.

Quasi tutti i servizi che utilizziamo, che si tratti di una piattaforma di social media, di un rivenditore o di una banca, raccolgono, analizzano e conservano i nostri dati personali. In base al GDPR, le organizzazioni sono ora tenute a dimostrare di gestire questi dati in modo lecito, equo e trasparente.

L’Unione Europea definisce “dati personali” tutte le informazioni che possono essere utilizzate per identificare direttamente o indirettamente un individuo (soggetto interessato). Questo può includere qualsiasi cosa, dal nome, all’indirizzo e-mail, all’indirizzo IP e alle immagini. Sono inclusi anche i dati personali sensibili come i dati biometrici o i dati genetici che potrebbero essere elaborati per identificare un individuo.

Il trattamento dei dati personali è generalmente vietato a meno che non sia consentito dalla legge in vigore o che la persona interessata abbia acconsentito al trattamento. Tuttavia, il consenso è solo una delle sei finalità legittime richieste per il trattamento dei dati personali.

Consenso GDPR valido

Ai sensi del GDPR, il “trattamento lecito” è possibile solo quando:

  • Esiste il consenso dell’interessato
  • Il trattamento è necessario per l’esecuzione di un contratto con l’interessato
  • Il trattamento è necessario per adempiere a un obbligo legale
  • L’elaborazione è necessaria per proteggere gli interessi vitali di un soggetto interessato o di un’altra persona
  • Il trattamento è necessario per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio dei poteri ufficiali conferiti al responsabile del trattamento.
  • Il trattamento è necessario ai fini dei legittimi interessi perseguiti dal responsabile del trattamento o da una terza parte, tranne nel caso in cui gli interessi prevalgano sugli interessi, i diritti o le libertà dell’interessato.

Che cos’è il consenso?

Cos'è il consenso secondo il GDPR

Il consenso è un modo per creare fiducia tra un utente e un’organizzazione. Secondo la definizione del GDPR: “Il consenso è un’indicazione libera, specifica, informata e inequivocabile della volontà dell’interessato che, con una dichiarazione o una chiara azione affermativa, acconsente al trattamento dei dati che lo riguardano”.

Il consenso è definito in modo piuttosto restrittivo dal punto di vista del GDPR. Ad esempio, se un utente fornisce il consenso per l’utilizzo dei suoi dati ai fini del rilevamento di una frode informatica e successivamente i suoi dati vengono utilizzati per scopi di marketing senza che l’utente ne sia a conoscenza o lo scelga, si tratta di una violazione della privacy personale dell’interessato.

Inoltre, i moduli di consenso non possono essere incorporati in lunghi contratti di servizio. Per garantire la trasparenza, i moduli di consenso devono essere separati, specifici ed espliciti.      

Cosa rende valido il consenso?

Consenso valido ai sensi del GDPR

Quando è richiesto il consenso per il trattamento dei dati personali, affinché tale consenso sia valido devono essere soddisfatte le seguenti condizioni:

1. Il consenso deve essere dato liberamente

Affinché il consenso sia dato liberamente, l’individuo deve essere in grado di scegliere se vuole che i suoi dati siano trattati o meno. Se l’individuo non ha alcuna possibilità di scelta nel trattamento dei suoi dati, il consenso non è stato dato liberamente e sarà considerato non valido. L’individuo deve inoltre poter rifiutare il consenso senza alcuna ripercussione negativa e avere la possibilità di ritirarlo in qualsiasi momento. Il consenso deve essere disgiunto da altri termini e condizioni, ove possibile.

2. Il consenso deve essere specifico

Il consenso deve essere specifico per le finalità effettive per cui i dati saranno utilizzati. Come specificato dal GDPR: “l’ottenimento di un consenso valido può avvenire solo dopo che il titolare del trattamento ha determinato una finalità specifica, esplicita e legittima per l’attività di trattamento prevista”. Quando il trattamento ha più finalità, il consenso deve essere dato solo per le finalità basate sul consenso.

3. Il consenso deve essere informato

Affinché il consenso sia considerato valido, l’individuo deve sapere:

  • L’identità dell’organizzazione che tratta i dati
  • Le finalità del trattamento dei dati
  • Il tipo di dati che verranno elaborati
  • La possibilità di ritirare il consenso

4. Il consenso deve essere inequivocabile

Il consenso deve essere dato con un chiaro atto affermativo, in modo che la volontà dell’individuo sia chiara. La richiesta di consenso deve essere formulata in un linguaggio chiaro e semplice, comprensibile e facilmente accessibile. Può trattarsi di una dichiarazione scritta o orale. Il silenzio, le caselle pre-selezionate o l’inattività non costituiscono un consenso valido.

Quali sono le regole sul consenso dei bambini?

Il consenso dei genitori è generalmente richiesto per i minori di 16 anni, anche se l’età richiesta per il consenso varia a seconda del paese partecipante all’UE. Inoltre, è necessario compiere sforzi ragionevoli per verificare l’identità della persona che fornisce il consenso per conto del minore.

Il processo di consenso può essere più severo ai sensi del GDPR, ma offre alle organizzazioni l’opportunità di sviluppare maggiori livelli di fiducia e trasparenza con i propri clienti.

MetaPrivacy è stato progettato per fornire un approccio ottimale alla conformità dei dati personali. Contattaci per avere maggiori informazioni su come possiamo aiutare la tua organizzazione a migliorare la sua struttura di conformità.

Ulteriori letture:

Come il GDPR influenzerà il diritto all’oblio

I 5 principali miti sul GDPR

Cinque modi in cui la tua azienda può trarre vantaggio dal GDPR

DISCLAIMER: Il contenuto e le opinioni contenute in questo blog hanno uno scopo puramente informativo. Non intendono costituire una consulenza legale o professionale di altro tipo e non devono essere considerati come sostitutivi di una consulenza specifica relativa a circostanze particolari, al Data Protection Act o a qualsiasi altra legislazione attuale o futura. MetaCompliance non si assume alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, né per eventuali perdite derivanti dall’aver fatto affidamento sui materiali contenuti in questo blog.