Il GDPR stabilisce standard rigorosi per il consenso riguardante la privacy dei dati personali degli individui nell’Unione Europea. Ecco alcune delle caratteristiche principali.
Privacy: il consenso che cos’è?
Il GDPR (Regolamento Generale sulla protezione dei dati) stabilisce standard rigorosi per il consenso riguardante la privacy dei dati personali degli individui nell’Unione Europea.
Innanzitutto la sua manifestazione deve essere chiara e inequivocabile. Quindi questo vuol dire che l’utente deve compiere un’azione positiva per confermare il suo consenso, come per esempio spuntare una casella di controllo o selezionare un’opzione attiva.
Il consenso, poi, deve essere dato liberamente senza pressioni o coercizioni. Gli utenti devono quindi essere in grado di accettare o rifiutare ogni trattamento dei dati che li riguarda. Le informazioni rese agli utenti prima di prestarlo devo essere fornite in maniera chiara, completa e trasparente e gli utenti devono essere sempre informati, anche tramite lo strumento dell’informativa ex artt. 13 e 14 del GDPR.
Le finalità poi collegate al consenso devono essere limitate, il consenso deve essere genuino e granulare per ognuna di esse e le organizzazioni devo avere procedure semplici e lineari per la revoca dello stesso.
Il consenso del minore
Se sono dati riguardanti i minori di età inferiore ai 16 anni (in alcuni casi le normative nazionali sono più stringenti ed il limite è fissato a 13), ovviamente, la situazione cambia. In questo caso, il consenso del minore deve essere supervisionato e prestato dai genitori.
La tutela dei dati personali dei minori è divenuta un problema rilevante con l'avvento dei Social, ma, prima dell’avvento del Regolamento (Ue) 2016/679 (GDPR), la normativa italiana in materia di privacy non prevedeva un vero e proprio limite di età relativo al trattamento dei dati dei minori (anche se si poteva ricavare un limite dal quadro normativo generale).
La capacità di agire, ovvero l’idoneità di un soggetto di porre in essere atti negoziali che producono effetti nella propria sfera giuridica, si acquista, infatti, con la maggiore età, ovvero a 18 anni (art. 2 Cod. civ.), mentre il minore con età compresa tra 14 e 18 ha una capacità giuridica attenuata e il minore dei 14 anni non ha capacità giuridica alcuna.
Il consenso come base giuridica
Il consenso al trattamento dei dati personali è, per così dire, la base giuridica ed espressione del diritto di autodeterminazione informata.
In particolare, con il consenso si può manifestare il controllo da parte dell’interessato (i.e. ovvero la persona fisica identificata o identificabile alla quale fanno riferimento i dati) per tutta quella fattispecie di trattamenti che lo prevedono. Il consenso deve essere informato, libero, specifico, inequivocabile ed espresso e in particolare non deve difettare del principio di inequivocabilità.
Resta come caposaldo di questa base giuridica la sua libertà di manifestazione ed è importante anche sottolineare l’aspetto della concludenza dell’azione (i.e. consenso implicito) da parte dell’interessato, per esempio la prosecuzione della navigazione in accettazione di cookie di un sito, che comunque non esula dal principio di obbligo di informativa.
Il consenso deve essere scritto?
Non c’è specificazione se esso debba essere scritto, per cui anche il consenso verbale non è escluso dalla normativa vigente, così come la stessa informativa può appunto anche essere resa verbalmente.
Il mio consiglio? Bisogna saper distinguere la vera natura del consenso. Si tratta di un’azione positiva nella sua identità statica (Privacy e Protezione e Trattamento Dati Personali, Federprivacy, 2020, pag. 70). L’azione negativa invece è tutto ciò che il consenso non è.
La prova del consenso
La prova del consenso deve essere detenuta dal Titolare del Trattamento ai sensi dell’art. 7 par. 1 del GDPR. Il titolare deve infatti essere in grado di fornirne prova documentata. In generale dovrebbe essere scritta ed in questo caso il tutto sembra collimare con la peculiarità della manifestazione verbale.
Il consenso, infine, può essere revocato in maniera unilaterale. Anzi, proprio l’unilateralità è caposaldo dell’atto ricettizio della revoca.
In questo periodo di nuova implementazione giuridica si è fatta molta confusione con la circolazione di informative varie, per cui agli inizi il consenso era utilizzato come base giuridica senza se e senza ma, anche laddove non fosse necessario. Qualora vi doveste trovare alla richiesta di dover manifestare il consenso anche qualora non fosse necessario, il consiglio è di rivolgervi al Vs. consulente e far capire che questo - per così dire - “abuso” deve essere contrastato con la corretta assegnazione delle basi giuridiche del trattamento previste dall’art. 6 del GDPR 16/679.
In ultimo, l’avviso ai naviganti (del web) è di prestare la massima attenzione a questa particolare base giuridica nonché di leggere il documento con attenzione, informandosi dal proprio consulente e sottoporsi alla formazione in materia che è obbligatoria.