Le linee guida del WP29 sul consenso dell’interessato

 Le linee guida del WP29 sul consenso dell’interessato

Il 12 dicembre 2017 è stata pubblicata la bozza di linee guida in materia di consenso dell’interessato.

In questo contributo si cercheranno di affrontare le tematiche principali.

Il consenso dell’interessato, come definito dall’art. 4, deve essere inequivocabile, nonché:

– libero;

– specifico;

– informato.

1) Il requisito “Libero”

Si ribadisce che l’interessato non compie una scelta reale e si sente obbligato a prestare il proprio consenso anche per evitare conseguenze negative nel caso rifiutasse, allora il consenso non potrà essere considerato come valido.

Il WP29 specifica che se è pur vero che il trattamento risulta essere necessario per l’esecuzione del contratto (e pertanto giustificato, ciò soprattutto nei rapporti di lavoro), tale ultima espressione deve essere interpretata rigorosamente; deve sussistere infatti un collegamento diretto e oggettivo tra il trattamento e la prestazione e o il servizio.

2) Il requisito “Specifico”

Il Gruppo di lavoro individua tre componenti per garantire questo requisito:

  1. Indicazione esatta dello scopo, come salvaguardia contro l’abuso di trattamento;
  2. Granularità nelle richieste di consenso;
  3. Chiara separazione delle informazioni relative all’ottenimento del consenso per le attività di elaborazione dati da informazioni su altri argomenti. I titolari del trattamento che desiderano utilizzare i dati raccolti per nuovi scopi sono obbligati ad ottenere dagli interessati il nuovo consenso prima di procedere.

3) Il requisito “Informato”

Il Gruppo ha identificato sei categorie di informazioni minime necessarie:

  1. L’identità del titolare;
  2. Lo scopo di ciascuna delle operazioni di trattamento per le quali è richiesto il consenso;
  3. Quali tipo di dati saranno raccolti e trattati;
  4. L’esistenza del diritto di revocare il consenso;
  5. Informazioni sull’uso dei dati per le decisioni basate esclusivamente sull’elaborazione automatica (inclusa la profilazione);
  6. Se il consenso riguarda trasferimenti, circa i possibili rischi di trasferimenti di dati verso paesi terzi in assenza di una decisione di adeguatezza / garanzie appropriate.

Un consenso esplicito è richiesto nelle ipotesi in cui emergono gravi rischi per la protezione dei dati, quelli che attualmente vengono identificati come dati sensibili.

Il Gruppo di lavoro suggerisce per esempio che il consenso dato attraverso una espressa e formale dichiarazione scritta (firmata dall’interessato) è da considerarsi esplicito. Altri modalità, in particolare nel contesto elettronico, includono il coinvolgimento dell’interessato: compilare un modulo elettronico; inviare una mail; caricare un documento scansionato con firma; registrare una dichiarazione orale, o verificare il consenso tramite un processo di autenticazione a due fasi (come un’e-mail seguita da un messaggio SMS).

Il Gruppo di lavoro fornisce importanti indicazioni in merito al mantenimento della prova del consenso. I responsabili ed i titolare del trattamento terranno prova del consenso per tutta la durata dell’attività connessa all’elaborazione dei dati; quando questa termina la prova del consenso deve essere mantenuta soltanto al fine di adempiere agli obblighi di legge o per stabilire, esercitare o difendere i diritti legali.

Infine, si ribadisce, il consenso pre-Regolamento conforme alla legge nazionale non deve essere necessariamente riformulato e riottenuto, il WP29 riconosce infatti che “il consenso … ottenuto fino ad oggi continua ad essere valido nella misura in cui è in linea con le condizioni stabilite nel GDPR”.

Avv. Emiliano Vitelli

Emiliano Vitelli

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.