You are currently viewing Quando è obbligatorio il consenso al trattamento dei dati?

Quando è obbligatorio il consenso al trattamento dei dati?

Cos’è il consenso al trattamento dei dati personali?

Il consenso rappresenta una base giuridica nell’ambito del GDPR e come sancito dallo stesso, per consenso si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Quali sono gli elementi essenziali del consenso?

Prima di esaminare i  casi nei quali è necessario richiedere il consenso dell’interessato, è opportuno esaminare gli elementi del consenso (tassativamente elencati dal legislatore) in quanto se non rispettati il consenso sarebbe nullo in ogni caso.

Il Regolamento prevede che affinché il consenso sia valido deve essere:

  • inequivocabile  – ci deve essere un’azione chiara e positiva dell’interessato che non lasci dubbi sul fatto che la sua intenzione era quella di prestare il consenso;
  • libero – l’interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze negative a seguito del mancato conferimento del consenso;
  • specifico – i dati devono essere pertinenti alla finalità, cioè deve essere espresso per ogni finalità del trattamento. Esempio: il mio sito utilizza più tipologie di cookie. Il consenso deve essere specifico in relazione alla finalità dei cookie, non può essere unico per tutti i cookie se questi hanno finalità differenti;
  • informato – all’interessato deve essere fornita l’informativa quindi deve sapere quali dati sono trattati, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge. Inoltre l’interessato deve essere opportunamente informato sulle conseguenze del suo consenso;
  • verificabile – l’azienda deve essere in grado di dimostrare che l’interessato ha conferito il consenso con riferimento a quello specifico trattamento  e per tutto il periodo nel quale il trattamento viene effettuato;
  • revocabile – deve essere prevista la possibilità di revocare il consenso in qualsiasi momento e con la stessa facilità con la quale è stato prestato.

Quando è obbligatorio richiedere il consenso al trattamento dei dati personali?

In linea generale, i dati personali possono essere raccolti e trattati solo con il consenso dell’interessato però ci sono casi di esclusione che tratteremo fra poco. Ad ogni modo, il consenso è obbligatorio quando trattiamo i dati per finalità come marketing, profilazione,  quando sono previsti trasferimenti di dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate e soprattutto quando vengono trattati dati particolari (ex sensibili). 

Quando non serve il consenso?

Nello svolgimento dell’ordinaria attività d’impresa, non è necessario il consenso sul trattamento dei dati personali quando:

  • i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale;
  • il trattamento viene fatto per dare esecuzione a un obbligo legale;
  • i dati provengono da registri ed elenchi pubblici;
  • i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato;
  • il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  • è necessario ai fini dello svolgimento delle investigazioni difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario;
  • è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato;
  • è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

Esempi

  • Il supermercato che raccoglie i miei dati per fare attività promozionali deve chiedere il mio consenso? SÌ, trattandosi di procedure automatizzate è obbligatorio il consenso dell’interessato affinché il trattamento sia lecito.
  • Ho un sito web ma utilizzo solo cookie tecnici. Devo chiedere il consenso ai visitatori del mio sito? NO, se non vengono utilizzati altri cookie oltre a quelli tecnici non si deve chiedere il consenso ma permane l’obbligo di fornire l’informativa al visitatore.
  • Fornisco i miei dati personali come nome, cognome, data di nascita e stato civile al notaio per la stipula del mutuo. Il notaio mi deve chiedere il consenso? NO, in quanto in questo caso la base giuridica del trattamento è l’esecuzione di un contratto (in assenza di tali dati, il notaio non potrebbe stipulare il mutuo) ma permane l’obbligo, per il notaio, di fornire l’informativa.
  • Il mio sito web utilizza cookie di terze parti e trasferisce dati negli Stati Uniti. Devo chiedere il consenso ai visitatori del sito? SI, in questo caso il consenso è assolutamente necessario in quanto si verifica il trasferimento verso un paese extra UE.

 

 

Veronica Mandrila

Consulente privacy e tecnico dei sistemi informativi aziendali. Libera professionista dal 2015. Segue i percorsi di formazione e le fasi di assessment dei dati presso le aziende.