Consenso" è una parola che compare sempre nelle notizie e nelle discussioni sulla privacy, ed è facile capire perché. Tutti sanno cosa significa consenso, almeno in senso quotidiano. A tutti dovrebbe piacere l'idea del consenso in relazione all'autonomia e alla libertà individuale. È bello pensare che i propri dati appartengano a noi e che non possano essere usati contro la nostra volontà.
D'altra parte, poiché tutti comprendono il consenso in senso quotidiano, è facile cadere in alcuni errori comuni e sopravvalutare le loro implicazioni legali. Questo blog risponderà a due domande comuni sul consenso nel GDPR e vi darà un quadro più chiaro di cosa sia il consenso e di come funzioni.
- Posso fare qualsiasi cosa finché ho il consenso?
- Ho sempre bisogno del consenso ai sensi del GDPR?
- Che cos'è il consenso esplicito?
- I dati sono sempre vostri?
- È sempre necessario il consenso per i cookie?
- Riflessioni finali
Immergiamoci!
Posso fare qualsiasi cosa finché ho il consenso?
No, non è possibile. Ci sono cose che semplicemente non si possono fare, con o senza consenso. Il GDPR comprende un lungo elenco di obblighi per il responsabile del trattamento dei dati. La violazione di queste regole è una violazione anche se gli interessati acconsentono a tutto ciò che state facendo.
Ad esempio, il principio di minimizzazione dei dati1 significa che potete trattare solo i dati necessari per il vostro scopo e non di più. Ad esempio, quando vi iscrivete alla nostra fantastica newsletter sulla privacy, non possiamo chiedervi di fornirci il vostro indirizzo di casa, perché abbiamo bisogno del vostro indirizzo e-mail solo per inviare le notizie. Raccogliere il vostro indirizzo di casa per questo scopo violerebbe il GDPR anche con il vostro consenso.
Allo stesso modo, i dati personali devono sempre essere trattati in modo sicuro2. Il trattamento non sicuro costituisce una violazione anche se l'utente acconsente espressamente al trattamento non sicuro dei propri dati. In questo caso, il GDPR semplicemente non si preoccupa del consenso.
In conclusione: La conformità va oltre la raccolta del consenso e il consenso non è una soluzione per la non conformità.
Ho sempre bisogno del consenso ai sensi del GDPR?
No, non è così. È possibile trattare legittimamente i dati senza consenso, ma è necessaria un'altra base giuridica.
In base al principio di liceità, il trattamento dei dati personali richiede sempre una base giuridica. Il GDPR elenca sei basi giuridiche3</a> (spesso indicate come motivi legali) tra cui scegliere, ciascuna con i propri requisiti e limiti. È necessario scegliere una di queste basi ogni volta che si trattano dati personali e attenersi ad essa. Il consenso è uno di questi motivi, ma in alcuni scenari è perfettamente legittimo affidarsi a una base giuridica diversa.
Ad esempio, supponiamo che stiate gestendo il sito web di un negozio di scarpe online. Quando un cliente acquista dal negozio, il venditore ha bisogno dei dati di fatturazione, dell'indirizzo di consegna, del numero di scarpe del cliente e di alcune informazioni di contatto per garantire che la consegna vada a buon fine. Tutte queste informazioni sono dati personali e il trattamento richiede una base giuridica.
In questo caso avete tre opzioni:
- potete raccogliere il consenso dell'utente prima che l'acquisto sia finalizzato;
- potete basarvi sull'"esecuzione di un contratto" (in questo caso, la vendita);
- potete fare affidamento sul "legittimo interesse del responsabile del trattamento" (in questo caso, l'interesse del negozio a svolgere la propria attività).
Se si sceglie come motivazione legale il legittimo interesse o l'esecuzione di un contratto, non è necessario chiedere il consenso. In questo caso, tutte e tre le opzioni sono perfettamente conformi e la scelta tra di esse è una questione di ponderazione dei pro e dei contro di ciascuna.
Per essere chiari: ogni base giuridica comporta requisiti specifici. Ciò significa che nessuna base giuridica si applica a tutti gli scenari possibili. Ad esempio, non potete basarvi sull'"esecuzione di un contratto" per inviare materiale promozionale ai vostri clienti, che va oltre quanto strettamente necessario per l'esecuzione del contratto. E se scegliete il "legittimo interesse" come base giuridica, dovete bilanciare il vostro interesse con i diritti dell'interessato.
Come le altre basi giuridiche, anche il consenso è soggetto a requisiti ai sensi del GDPR: deve essere dato liberamente, informato, specifico e inequivocabile4 e deve essere possibile revocare il consenso in qualsiasi momento5. Se questi requisiti non possono essere soddisfatti, è necessario un motivo giuridico diverso6.
Pertanto, il motivo giuridico deve essere individuato caso per caso. A volte sono disponibili più motivi. Altre volte ne è disponibile solo uno, o nessuno, il che significa che i dati non possono essere trattati.
Che cos'è il consenso esplicito?
Il GDPR menziona anche un tipo "speciale" di consenso, chiamato consenso esplicito.
Il consenso esplicito è un'eccezione a diverse regole riguardanti i dati sensibili, il processo decisionale automatizzato e i trasferimenti di dati7. Pertanto, il consenso esplicito o meno è importante solo in situazioni specifiche, una delle quali è il trattamento dei dati sensibili. Come abbiamo spiegato, questo scenario potrebbe diventare molto frequente nel prossimo futuro.
Il consenso esplicito deve soddisfare tutti i requisiti del consenso "normale" ed essere anche esplicito. Questo requisito aggiuntivo è un po' confuso8, ma come regola generale si può pensare al consenso esplicito come a un consenso molto inequivocabile9.
I dati sono sempre vostri?
Come già detto, in alcuni casi il GDPR consente il trattamento dei dati personali senza il consenso di qualcuno. Come possiamo quindi affermare in tutta onestà che i vostri dati sono vostri e che siete voi a decidere cosa ne verrà fatto?
Ecco come stanno le cose. Il GDPR protegge la privacy, ma non è il suo unico scopo. Il GDPR afferma che il diritto alla protezione dei dati non è assoluto e deve essere bilanciato con altri diritti10. Questo equilibrio è ciò che il GDPR cerca di raggiungere.
In molti casi, affidarsi al consenso è impossibile, eppure i dati devono essere trattati. Ad esempio, un'azienda che negozia un contratto online con un cliente deve utilizzare le sue informazioni di contatto, il che costituisce un trattamento di dati personali e richiede una base giuridica. Il consenso non può funzionare perché dovrebbe contattare il cliente per raccogliere il consenso e per farlo dovrebbe trattare i suoi dati. In questo caso, consentire il trattamento dei dati senza consenso è nell'interesse di tutti.
Non utilizzare il consenso non significa che la persona interessata non riceva alcuna protezione. Tutti i fondamenti giuridici hanno le loro limitazioni, che offrono agli interessati una certa protezione. A volte il consenso fornisce una protezione minore rispetto ad altri motivi.
Ad esempio, i datori di lavoro non possono trattare i dati dei dipendenti sulla base del consenso11 perché sono in grado di esercitare pressioni sul dipendente affinché acconsenta. Il GDPR vieta quindi ai datori di lavoro di utilizzare il consenso, ma fornisce loro anche altri motivi per il trattamento dei dati. Questi motivi offrono al dipendente un certo grado di protezione, che è meglio di nessuna protezione.
È sempre necessario il consenso per i cookie?
Come abbiamo detto, i cookie "non essenziali" richiedono sempre il consenso ai sensi della Direttiva ePrivacy. La direttiva ePrivacy è più vecchia del GDPR e vi è una certa sovrapposizione tra le due. Entrambe si applicano ai cookie, poiché i cookie sono sempre dati personali.
Questa sovrapposizione è importante nella pratica. In base alla Direttiva ePrivacy, i cookie "non essenziali" necessitano sempre del consenso. E a causa del GDPR, questo consenso deve essere informato. Per questo motivo i siti web che utilizzano analisi basate sui cookie, come Google Analytics, richiedono cookiebanner che forniscano determinate informazioni sull'elaborazione dei cookie. Senza queste informazioni, il consenso non sarebbe informato e valido ai sensi del GDPR.
Riflessioni finali
La protezione dei dati personali è importante. Il GDPR ha fornito linee guida e stabilito i confini di ciò che è possibile e ciò che non lo è. Come azienda, dovete aderire a queste leggi per proteggere la privacy dei vostri clienti. Navigare in queste leggi sulla privacy può rivelarsi difficile, perché ci sono molte cose da capire e da tenere in considerazione, come mostrato sopra.
Un quadro e dei processi chiari riducono il rischio di violazione dei dati o di altri pericoli per l'azienda. Tuttavia, seguire il principio della minimizzazione dei dati, raccogliendo solo le informazioni strettamente necessarie per la gestione della vostra attività, è un ottimo primo passo.
Noi di Simple Analytics crediamo che non sia necessario raccogliere dati personali o installare cookie per ottenere informazioni utili sull'analisi del vostro sito web. Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito e che fornisca al contempo gli approfondimenti necessari per gestire la vostra attività. Se tutto ciò è di vostro gradimento, provateci.
#1 Art. 5(1)(c) GD. 5(1)(c) GDPR. [^2]: Art. 5(1)(f) e Art. 5(1)(f) e 32 GDPR. [^3]: Art. 6(1) GDPR. [^4]: Art. 4(11) GDPR. [^5]: Art. 7.3 GDPR [^6]: Ad esempio, il consenso non può essere dato liberamente nel contesto di un rapporto di lavoro, salvo eccezioni molto limitate. Si vedano le Linee guida EDPB 05/2020 sul consenso ai sensi del Regolamento 2016/679. [^7]: Art. 9(2)(a), 22(2)(c) e 49(1)(a) GDPR [^8]: Abbiamo alcune indicazioni dalle Linee guida EDPB 05/2020 sul consenso, capitolo IV, ma nessuna vera definizione [^9]: È stato anche sostenuto che il consenso esplicito dovrebbe essere raccolto separatamente. Si veda Kuner, Christopher e altri (eds), The EU General Data Protection Regulation (GDPR): A Commentary (New York, 2020; Oxford University Press), pag. 185. [^10]: Considerando 47 [^11]: Linee guida EDPB 05/2020 sul consenso, par. 21 e seguenti