Quando va richiesto il consenso su un sito web o un app?
La richiesta consenso privacy deve per legge essere data prima della raccolta dei dati personali. Con questi si intende qualsiasi informazione che possa identificare gli utenti o possa ricondurre alla loro identità.
Il consenso non va richiesto invece quando i dati vengono raccolti:
- da una persona fisica solo per scopi personali o domestici;
- esclusivamente per l’esecuzione di un contratto (es. indirizzo di consegna per un prodotto acquistato);
- per obbligo di legge/pubblica utilità (es. richiesta dei dati di fatturazione);
- per esercitare un interesse legittimo (es. difendersi in giudizio, alcune particolari attività di marketing diretto);
- nel caso in sui si voglia salvaguardare gli interessi vitali dell’interessato o di altra persona fisica.
Fondamentale è la libertà di scelta dell’utente nel dare l’autorizzazione al trattamento dei dati personali. Questo significa, ad esempio, che non sarà possibile impedire all’utente di utilizzare un servizio nel caso in cui egli non conceda l’autorizzazione ad un trattamento particolare dei suoi dati (per es. se non accetti di ricevere la newsletter non puoi essere aggiornato). Inoltre il consenso deve poter essere concesso e revocato in qualsiasi momento e con la massima semplicità.
Come comportarsi nella pratica per la richiesta consenso privacy
Nella pratica il consenso al trattamento dei dati personali deve essere richiesto per:
- finalità diverse da quelle di erogazione del servizio da parte del sito (per es. finalità di marketing);
- l’uso di dati sensibili (dati relativi alla salute, alla sfera sessuale, religiosa, politica, alla origine razziale o etnica, all’appartenenza sindacale, nonché dati genetici, dati biometrici, etc.);
- il trasferimento dei dati personali a Paese extra UE od organizzazione internazionale in assenza di decisione di adeguatezza e di garanzie adeguate;
- per un processo decisionale automatizzato (per es. profilazione)
- per la comunicazione o la cessione dei dati a terzi (per es. se si devono inviare i dati al consulente per una campagna pubblicitaria).
Il sistema più semplice e diretto per far esprimere il consenso ai propri utenti è la presenza di una check-box (una casella) in corrispondenza del link per la privacy policy. È importante che la check-box non sia precompilata (c.d. preflagging) ma che l’utente selezioni manualmente la casella. Non può più essere utilizzata una medesima check-box per ottenere il consenso di più informative contemporaneamente. Ogni check-box dovrà essere relativo ad un singolo trattamento specifico. Ad esempio non si può utilizzare una sola casella per accettare sia termini e condizioni che la privacy policy.
Il titolare di un sito web deve tenere traccia di ogni consenso ricevuto all’interno di un registro elettronico, cosi da poter dimostrare quando e in che modo l’utente lo abbia prestato. Deve inoltre verificare che i consensi raccolti precedentemente al 25 maggio 2018 (la data di entrata in vigore della GDPR) rispettino le condizioni del nuovo regolamento GDPR. Se questi non sono conformi occorre raccoglierli di nuovo.
Nuove caratteristiche del consenso privacy secondo la GDPR
Il nuovo Regolamento GDPR (art. 4) stabilisce che per consenso si intende qualsiasi manifestazione di volontà libera, informata, specifica e inequivocabile dell’utente con cui quest’ultimo autorizza il trattamento dei propri dati. Questa manifestazione di volontà deve avvenire mediante una dichiarazione o azione positiva inequivocabile.
CARATTERISTICHE DEL CONSENSO | |
LIBERO | DEVE ESSERE DATO LIBERAMENTE SENZA SUBIRE INTIMIDAZIONI O RAGGIRI |
SPECIFICO | NON È VALIDO SE PRESTATO IN MODO GENERICO |
INFORMATO | L’INTERESSATO DEVE CONOSCERE QUALI DATI VERRANNO TRATTATI |
INEQUIVOCABILE | DEVE ESSERE TALE DA ESCLUDERE QUALSIASI INCERTEZZA O DUBBIO |
ESPLICITO | MANIFESTATO AD ES. ATTRAVERSO LA COMPILAZIONE DA PARTE DELL’UTENTE DI UN MODULO ELETTRONICO |
VERIFICABILE | IL TITOLARE DOVRÀ TENERE TRACCIA DI OGNI CONSENSO |
REVOCABILE | È POSSIBILE REVOCARLO IN QUALSIASI MOMENTO |
Come creare documenti privacy aggiornati alla GDPR
Puoi personalizzare e scaricare subito tutti i documenti necessari per informare correttamente gli utenti semplicemente rispondendo a poche domande guidate:
- Privacy policy per sito web o app
- Cookie policy per sito web
- Registro dei trattamenti dei dati personali
Inoltre la nostra Consulenza di Adeguamento GDPR siti web permette di adeguare il tuo sito o app a tutti gli adempimenti necessari previsti dal nuovo regolamento europeo privacy. Attraverso un’analisi specifica ti indicheremo i passi necessari per mettere in regola tutti gli aspetti del tuo sito per rispettare il GDPR ed evitare sanzioni.
Una volta informato sul trattamento dei suoi dati, l’utente dovrà esprimere il proprio consenso privacy secondo le regole illustrate nell’articolo.