Regolamento Privacy UE: necessaria verifica tempestiva per i consensi
Le imprese devono verificare se i consensi privacy raccolti sono in linea con il regolamento europeo sulla protezione dei dati (operativo dal 25 maggio 2018). E se così non fosse devono muoversi per tempo. Anche se, sulla carta, ci sono alcune semplificazioni. Il regolamento stabilisce, infatti, che il consenso non deve essere necessariamente documento per iscritto e non è richiesta la forma scritta; peraltro la documentazione scritta o la scrittura blindano la prova dell’avvenuta adesione dell’interessato.
A spiegare tutto ciò è il Garante della privacy, che ha stilato una guida al nuovo regolamento, indicando che cosa cambia e che cosa non cambia.
Il consenso cambia per i dati sensibili, per i quali l’articolo 9 del regolamento, deve essere esplicito e lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione, articolo 22).
Inoltre cambia il fatto che il consenso non deve essere necessariamente documentato per iscritto, né è richiesta la forma scritta. Il Garante aggiunge, però, che la scrittura, però, è la modalità idonea a configurare l’inequivocabilità del consenso e il suo essere esplicito (per i dati sensibili). D’altra parte, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Cambia anche il consenso per i minori: l’assenso del minore di età è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
Il Garante illustra l’argomento occupandosi di che cosa devono fare imprese e altri titolari del trattamento che hanno già raccolto consensi sulla base del codice della privacy italiano. Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. Bisogna anche verificare con attenzione la formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara.
Alcune cose, invece, non cambiano. Per esempio il consenso continua a dover essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (non vanno bene le caselle pre-spuntate su un modulo).
Inoltre il consenso deve essere manifestato attraverso dichiarazione o azione positiva inequivocabile.