Vuoi tu gentile utente, fornire i tuoi dati sempre, nella gioia e nel dolore, nella prenotazione delle vacanze, nell’acquisto di medicinali, nella riscossione di pagamenti e nel versamento di tributi, per tutte le sessioni internet della tua vita?
Ovviamente non rappresenta la formula esatta da richiedere all’utente per il consenso al trattamento dei dati personali, ma probabilmente si avvicina maggiormente alla formula erroneamente molto diffusa.
Monica Gobbato, tra le altre cose Avvocato digitale e Data Protection Officer, durante un’intervista a Ius Law Web Radio ha risposto e fatto chiarezza su tanti aspetti legati al consenso al trattamento di dati personali spiegando con chiarezza il delicato rapporto anche con i temi della profilazione e della decisione automatizzata.
“Spesso si riduce tutto a Consenso sì o consenso no, invece occorre dotarsi in azienda di persone qualificate e ferrate in materia che permettano di ridurre gli adempimenti, individuando le circostanze in cui è necessario chiedere il consenso e le occasioni in cui non serve”.
Il GDPR decentralizza il consenso
Tra i numerosi cambiamenti apportati dal GDPR (General Data Protection Regulation), una delle tematiche più calde riguarda la decentralizzazione del consenso dell’interessato riguardo il trattamento dei dati personali.
Nell’art. 6 del GDPR sono elencate tutte le possibili alternative che garantiscono la liceità del trattamento. Tra queste, è ovviamente presente il consenso del titolare del trattamento, ma solamente come alternativa e non più come prerogativa.
La base giuridica o presupposto di liceità di un trattamento è ciò che rende lecita una determinata finalità e fa in modo che l'attività di trattamento e lo scopo perseguito non sia contrario alla legge.
Il discorso non cambia nemmeno quando il trattamento riguarda categorie particolari di dati personali. Nel paragrafo 2 dell’art. 9 del GDPR dedicato alle deroghe al divieto di trattamento di categorie particolari di dati personali viene stilato un elenco di deroghe tra cui scegliere per garantire la liceità di un trattamento.
Il rapporto tra marketing e consenso
In maniera troppo semplicistica si associa il concetto di consenso a tutti i processi di trattamento legati ad attività di marketing.
Il Garante per la protezione dei dati personali, ma oltrepassando i confini nazionali anche i Garanti di altri paesi sono sulla stessa lunghezza d’onda, ha individuato 3 tipologie differenti di consenso:
- Consenso per marketing generale - Tutte le attività condotte attraverso strumenti elettronici, digitali e automatici per finalità commerciali;
- Consenso alla comunicazione dei dati personali a terzi - Questione delicata perché spesso non viene definita l’identità dei soggetti terzi destinatari a cui saranno comunicati i dati personali. Spesso nelle informative l’identità di questi non viene definita, e in presenza di soggetti indeterminati si tratterebbe di diffusione anziché di comunicazione;
- Consenso alla profilazione - Ambito più discusso perché riguarda la raccolta di dati comportamentali che determinano una profilazione.