Richiesta consenso privacy: come adeguare il tuo sito web al nuovo GDPR

Hai già un sito web e lo devi adeguare sulla base del nuovo regolamento GDPR? Il consenso è uno degli adempimenti privacy previsti dalla GDPR e deve essere richiesto solo in certi casi e rispettando specifici requisiti per essere valido. Ecco i passaggi fondamentali per adeguare la richiesta consenso privacy alla nuova normativa.

Richiesta consenso privacy: come adeguare il tuo sito web al nuovo GDPR

Quando va richiesto il consenso su un sito web o un app?

La richiesta consenso privacy deve per legge essere data prima della raccolta dei dati personali. Con questi si intende qualsiasi informazione che possa identificare gli utenti o possa ricondurre alla loro identità.

Il consenso non va richiesto invece quando i dati vengono raccolti:

  • da una persona fisica solo per scopi personali o domestici;
  • esclusivamente per l’esecuzione di un contratto (es. indirizzo di consegna per un prodotto acquistato);
  • per obbligo di legge/pubblica utilità (es. richiesta dei dati di fatturazione);
  • per esercitare un interesse legittimo (es. difendersi in giudizio);
  • nel caso in sui si voglia salvaguardare gli interessi vitali dell’interessato o di altra persona fisica.

Fondamentale è la libertà di scelta dell’utente nel dare l’autorizzazione al trattamento dei dati personali. Questo significa, ad esempio, che non sarà possibile impedire all’utente di utilizzare un servizio nel caso in cui egli non conceda l’autorizzazione ad un trattamento particolare dei suoi dati (per es. se non accetti di ricevere la newsletter non puoi essere aggiornato). Inoltre il consenso deve poter essere concesso e revocato in qualsiasi momento e con la massima semplicità.

Come comportarsi nella pratica per la richiesta consenso privacy

Nella pratica il consenso al trattamento dei dati personali deve essere richiesto per: 

  • finalità diverse da quelle di erogazione del servizio da parte del sito (per es. finalità di marketing);
  • l’uso di dati sensibili (dati relativi alla salute, alla sfera sessuale, religiosa, politica, alla origine razziale o etnica, all’appartenenza sindacale, nonché dati genetici, dati biometrici, etc.);
  • il trasferimento dei dati personali a Paese extra UE od organizzazione internazionale in assenza di decisione di adeguatezza e di garanzie adeguate;
  • per un processo decisionale automatizzato (per es. profilazione)
  • per la comunicazione o la cessione dei dati a terzi (per es. se si devono inviare i dati al consulente per una campagna pubblicitaria).

Il sistema più semplice e diretto per far esprimere il consenso ai propri utenti è la presenza di una check-box (una casella) in corrispondenza del link per la privacy policy. È importante che la check-box non sia precompilata (c.d. preflagging) ma che l’utente selezioni manualmente la casella. Non può più essere utilizzata una medesima check-box per ottenere il consenso di più informative contemporaneamente. Ogni check-box dovrà essere relativo ad un singolo trattamento specifico. Ad esempio non si può utilizzare una sola casella per accettare sia termini e condizioni che la privacy policy.

Il titolare di un sito web deve tenere traccia di ogni consenso ricevuto all’interno di un registro elettronico, cosi da poter dimostrare quando e in che modo l’utente lo abbia prestato. Deve inoltre verificare che i consensi raccolti precedentemente al 25 maggio 2018 (la data di entrata in vigore della GDPR) rispettino le condizioni del nuovo regolamento GDPR. Se questi non sono conformi occorre raccoglierli di nuovo.

Nuove caratteristiche del consenso privacy secondo la GDPR

Il nuovo Regolamento GDPR (art. 4) stabilisce che per consenso si intende qualsiasi manifestazione di volontà libera, informata, specifica e inequivocabile dell’utente con cui quest’ultimo autorizza il trattamento dei propri dati. Questa manifestazione di volontà deve avvenire mediante una dichiarazione o azione positiva inequivocabile.

CARATTERISTICHE DEL CONSENSO
LIBERO DEVE ESSERE DATO LIBERAMENTE SENZA SUBIRE INTIMIDAZIONI O RAGGIRI
SPECIFICO NON È VALIDO SE PRESTATO IN MODO GENERICO
INFORMATO L’INTERESSATO DEVE CONOSCERE QUALI DATI VERRANNO TRATTATI
INEQUIVOCABILE DEVE ESSERE TALE DA ESCLUDERE QUALSIASI INCERTEZZA O DUBBIO 
ESPLICITO MANIFESTATO AD ES. ATTRAVERSO LA COMPILAZIONE DA PARTE DELL’UTENTE DI UN MODULO ELETTRONICO
VERIFICABILE IL TITOLARE DOVRÀ TENERE TRACCIA DI OGNI CONSENSO
REVOCABILE È POSSIBILE REVOCARLO IN QUALSIASI MOMENTO

Come creare documenti privacy aggiornati alla GDPR

Puoi personalizzare e scaricare subito tutti i documenti necessari per informare correttamente gli utenti semplicemente rispondendo a poche domande guidate:

Una volta informato sul trattamento dei suoi dati, l’utente dovrà esprimere il proprio consenso privacy secondo le regole illustrate nell’articolo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *