GDPR 679-2016: focus sulle norme sul consenso

Il Regolamento Generale sulla Protezione dei Dati (GDPR) richiede nuove procedure per la raccolta del consenso da parte degli utenti. Ecco cosa bisogna sapere.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) entrerà in vigore il 25 maggio 2018. Un elemento centrale del nuovo regolamento è il rafforzamento delle norme relative al consenso sul trattamento dei dati personali. L’obiettivo dei legislatori è consentire ai singoli di scegliere e controllare costantemente i loro dati.

Le norme generali sul consenso sono introdotte negli articoli 6, 7 e 8 del GPDR. L’articolo 15 esprime il diritto all’accesso ai dati, mentre l’articolo 17 contiene il diritto all’oblio e alla cancellazione dei dati.

Complessivamente, il regolamento pone l’accento sulla chiarezza: le condizioni per cui l’utente esprime il proprio consenso devono essere scritte in modo trasparente e con un linguaggio semplice, e vanno descritte le esatte implicazioni di ciò a cui si acconsente. È necessario che l’utente affermi in modo esplicito di dare il proprio consenso; il consenso di default non è sufficiente e le caselle spuntate in automatico sono state esplicitamente vietate.
Ogni specifica operazione richiede un consenso granulare e tutte le terze parti che si basano sul consenso devono essere chiaramente nominate. I meccanismi di consenso devono essere evidenti, brevi e facilmente comprensibili per ogni tipo di dato e metodo di raccolta. Se si apportano modifiche alle condizioni originali per cui si è chiesto il consenso, per esempio cambia lo scopo dell’elaborazione dei dati, è necessario richiedere un ulteriore consenso.
L’utente ha diritto di revocare il proprio consenso in qualsiasi momento; chi gestisce i dati deve mettere in atto procedure che facilitino questa opzione, di cui gli utenti devono essere informati fin dall’inizio. Il loro consenso deve essere una vera scelta e non può essere una condizione di servizio.
Qualsiasi complessa tecnologia utilizzata deve essere spiegata con termini semplici e resa pienamente comprensibile all’utente. L’Intelligenza Artificiale, per esempio, richiederà un livello di trasparenza degli algoritmi che può essere capito da un utente medio.

Le best practice

La forma di consenso ora richiesta potrebbe obbligare alcune società a ricontattare gli stessi individui per ottenere ulteriori autorizzazioni per utilizzare i loro dati, ma quelle che seguono già best practice potrebbero già essere conformi al regolamento.
“Le aziende che hanno adottato uno standard elevato per i dati personali che elaborano possono continuare a utilizzare le stesse procedure nell’ambito del GDPR”, ha commentato Steve Wood, responsabile della strategia e dell’intelligence internazionali presso l’Information Commissioner’s Office (ICO) inglese. “Lo scopo del GDPR è garantire che il consenso sia specifico e granulare”.
Il GDPR focalizza l’attenzione anche sul mantenimento dei record di consenso e del percorso di verifica necessario. Le società che trattano dati devono tenere traccia di ogni consenso raccolto, memorizzando dettagli sugli individui interessati, ciò a cui hanno acconsentito, quando hanno fornito il consenso e quali informazioni sono state fornite. E’ necessario documentare anche l’eventuale revoca del consenso da parte di un utente. Tutta la documentazione sul consenso dovrebbe essere separata da qualsiasi altro documento aziendale.
La documentazione deve includere l’identità del controllore, gli scopi esatti dell’utilizzo dei dati, le attività di elaborazione e il diritto di recesso del consenso, in modo da garantire che l’individuo sia pienamente informato.
E’ necessario stabilire meccanismi di recesso chiari e rivedere regolarmente le procedure per assicurarsi che le modifiche ai processi siano conformi alle richieste.

Quando è necessario il consenso

In linea di massima è richiesto il consenso se è necessario fornire una reale scelta e un controllo sull’utilizzo dei dati, per esempio l’invio di materiale pubblicitario, l’installazione di applicazioni mobili o il monitoraggio dei cookie sui siti web.
Tuttavia, il consenso non è sempre necessario. Nei casi in cui non è possibile fornire una scelta possono esserci altre procedure più appropriate per l’utilizzo dei dati.
Situazioni nelle quali non è richiesto il consenso esplicito sono i casi in cui l’utilizzo dei dati è una condizione preliminare per utilizzare il servizio, i dati vengono comunque trattati legalmente, la società che raccoglie i dati è in una posizione di potere sul consenso individuale, i dati sono richiesti per legge o l’espletamento di un servizio pubblico, o se l’impossibilità di elaborare i dati mette in pericolo la vita di un individuo.

Le nuove norme possono apparire scoraggianti all’inizio, ma rappresentano anche un’opportunità per le aziende di costruire la fiducia dei clienti e rafforzare la loro reputazione. Il valore dei dati continuerà ad aumentare e per le aziende diventerà sempre più importante gestirli nel modo corretto.