ADEMPIMENTI PRIVACY

Consenso privacy: requisiti e consigli di accountability per la corretta raccolta a norma GDPR

La raccolta del consenso privacy è essenziale per dimostrare che la raccolta avviene seguendo delle regole specifiche identificate con l’informativa e che l’interessato è a conoscenza del trattamento dei dati nei suoi confronti. Ecco alcune regole pratiche per essere compliance al GDPR

23 Dic 2019
V
Alfredo Visconti

Amministratore unico Brain-it, consulente esperto privacy


A seguire, dopo l’informativa, nasce immediatamente l’obbligo ma soprattutto l’esigenza di avere i documenti per la richiesta dei consensi che diventano essenziali per dimostrare che la raccolta avviene seguendo delle regole specifiche identificate con l’informativa, e che è stato raccolto il consenso privacy specifico per cui l’interessato è a conoscenza del trattamento dei dati nei suoi confronti.

Consenso privacy: cosa cambia col GDPR

Il consenso privacy, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale si esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano.

Se il titolare decide di basare il trattamento sul consenso deve assicurarsi che esso presenti le seguenti caratteristiche:

  1. inequivocabile;
  2. libero;
  3. specifico;
  4. informato;
  5. verificabile;
  6. revocabile.

Quando si raccolgono dati personali occorre informare l’interessato della durata della conservazione (e quindi del trattamento) del dato, scaduta la quale il dato va o anonimizzato oppure cancellato.

Per i dati soggetti a trattamento speciale, cioè quelli che una volta si definivano dati sensibili, con in più i dati biometrici e genetici, sussiste un generale divieto di trattamento, con una serie di esenzioni, tra i quali il consenso esplicito.

Il consenso privacy per i minori

Anche la minore età è legata a diritti rafforzati rispetto agli adulti, per cui il trattamento da parte delle aziende dei loro dati deve essere regolamentato in maniera differente, prestando non una maggiore attenzione, ma una diversa attenzione.

Il consenso dei minori è valido a partire dai 16 anni di età. Prima dei 16 anni occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Prestiamo sempre attenzione alla normativa europea che prevede espressamente che solo a 16 anni un soggetto può dare autonomamente il proprio consenso al trattamento medico, mentre al di sotto dei 16 anni il medico dovrebbe valutare il grado di maturità del minore per verificare se è in grado di prendere decisioni autonome, oppure raccogliere il consenso di un genitore o tutore.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

L’adolescente, tra i 16 e i 18 anni non soggetto ad obbligo scolastico, ha una capacità giuridica attenuata, può sottoscrivere un contratto (come quello di iscrizione ad un social), ma non dovrebbe poter acconsentire ad atti che richiedono un consenso libero, specifico ed informato, come accade per la profilazione.

Il Regolamento europeo (GDPR) ha fissato, con l’articolo 8, una regolamentazione specifica, che però non tocca la capacità di agire del minore, la quale rimane fissata dall’ordinamento civile nazionale. La norma non riguarda genericamente tutti i trattamenti di dati di minori, ma per la sua applicabilità richiede due requisiti:

  1. che vi sia un’offerta diretta di servizi della società dell’informazione a soggetti minori di 16 anni;
  2. che il trattamento dei dati dei minori sia basato sul consenso.

Se, invece, il trattamento ha altra base giuridica, come ad esempio il rispetto di un obbligo di legge, i legittimi interessi e via dicendo, non si applica la norma.

In presenza di questi due requisiti, l’articolo 8 prevede il divieto di offerta diretta di servizi digitali (quindi iscrizione ai social network e ai servizi di messaggistica), ai minori di 16 anni, a meno che non sia raccolto il consenso dei genitori (occorre accertare che il consenso sia dato dall’esercente la patria potestà) o di chi ne fa le veci.

In sostanza, il GDPR introduce una deroga per i casi specifici indicati (i requisiti) alla regola generale fissata dall’ordinamento, abbassando il limite dei 18 anni (per l’Italia), quindi una sorta di maggiore età digitale raggiunta la quale è ammesso il consenso al trattamento dei propri dati personali anche con riferimento a profilazione.

Questo limite può essere rivisto dagli Stati nazionali ma non sotto i tredici anni ed in proposito il legislatore italiano ha fissato il limite di età da applicare in Italia in 14 anni, col decreto di adeguamento del Codice Privacy decreto 101 del 2018.

Il Considerando 38 specifica anche che “il consenso del titolare della responsabilità genitoriale non deve essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente ai minori“.

Il riferimento è a servizi di tutela dei minori quali quelli previsti in materia di cyber bullismo o in genere di sostegno all’infanzia (es. Telefono azzurro). Le norme in materia riconoscono al minore ultraquattordicenne la possibilità di esercitare i diritti previsti a propria tutela contro il cyberbullismo.

C’è da dire, infine, che l’ordinamento italiano consente al minore che abbia compiuto 14 anni anche di prestare il proprio consenso all’adozione, cosa che sembrerebbe in contrasto con l’impossibilità di iscriversi ad un social network.

Lettera ai dipendenti per comunicazione attività privacy

All’interno delle aziende, studi professionali o altro, anche se non obbligatoria si rende necessaria ai fini sia di informativa che di consenso privacy inviare a tutti i dipendenti una lettera, di cui se ne prende la presa visione, che ha lo scopo di informare tutti sui trattamenti e sui diritti che loro hanno rispetto alla tutela dei dati personali.

Come detto, ciò non è un obbligo ma rappresenta sicuramente la prova che si è provveduto ad informare il personale, evitando cosi che poi si possa dichiarare di non essere stati edotti o altro.

Comunicazione per riprese eventi

Per quanto attiene eventuali manifestazioni o eventi organizzati, a prescindere dalla eventuale divulgazione delle immagini o meno, occorre avere ben visibile l’informativa e predisporre un paio di cartelli uno sicuramente all’entrata con la seguente dicitura:

“Si comunica che gli eventi organizzati dalla (Nome Società) potranno eventualmente essere oggetto di riprese e registrazioni audio-video. I dati oggetto del trattamento, incluse le immagini, delle riprese e delle registrazioni audio/video (in seguito, le “Immagini”), anche in forma parziale e/o modificata o adattata, realizzate nel corso dell’evento verranno trattati, nel pieno rispetto del GDPR. I dati saranno trattati, anche con l’ausilio di mezzi elettronici, da soggetti specificatamente incaricati, per le attività di divulgazione e comunicazione. Le Immagini raccolte saranno conservate, anche in forma elettronica e su qualsiasi supporto tecnologico per le finalità e nei limiti sopra definiti e potranno essere diffuse ai sensi della Legge n. 150/2000 sui siti istituzionali nonché attraverso canali social network (Facebook, Twitter, Youtube a titolo esemplificativo ma non esaustivo). L’uso delle immagini non dà diritto ad alcun compenso. La (Nome Società) ha la facoltà di accedere o divulgare le Immagini dell’utente senza alcun consenso, in ragione dell’art. 97 della legge n. 633/1941. Tale autorizzazione implica la concessione di una licenza non esclusiva, senza limiti di durata e per tutto il mondo, trasferibile a terzi, per l’utilizzazione dei materiali e include i diritti di cui agli artt. da 12 a 19 della legge 22 aprile 1941, n. 633, compresi a titolo esemplificativo e non esaustivo:

  1. diritto di pubblicazione;
  2. diritto di riproduzione in qualunque modo o forma;
  3. diritto di trascrizione, montaggio, adattamento, elaborazione e riduzione;
  4. diritto di comunicazione e distribuzione al pubblico, comprendente i diritti di proiezione, trasmissione e diffusione anche in versione riassuntiva e/o ridotta, con qualsiasi mezzo tecnico, diritto di conservare copia dei Materiali, anche in forma elettronica e su qualsiasi supporto tecnologico noto o di futuro sviluppo per le finalità e nei limiti sopra definiti.

È in ogni caso esclusa ai sensi del citato articolo e ai sensi dell’art. 10 del Codice Civile qualunque utilizzazione delle Immagini che possa arrecare pregiudizio all’onore, alla reputazione o al decoro della persona ritratta”.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Sia ben chiaro che la presenza di questo avviso non esclude che venga anche raccolto il consenso se vi sono persone come i minori o comunque particolarmente attenzionate.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3