Gdpr siti web:Cosa cambia per i siti web dopo Maggio 2020

Questo articolo è parte integrante di una serie di approfondimenti che ho scritto in tema di privacy e del suo Regolamento Europeo detto GDPR.

Il primo articolo che ti consiglio di leggere è quello GDPR per siti web, in cui ti descrivo cosa prevede la normativa e come poter adeguare la tua azienda ed il tuo sito web, per non incorrere in pesanti sanzioni.

In questo articolo, riporto per esteso e dopo averlo tradotto, il testo approvato dal Comitato europeo per la protezione dei dati, in relazione all’applicazione dei dettami del regolamento Europeo sulla Privacy, detto GDRP, ai siti web valido dopo il 4 Maggio 2020.

Ti prego di prestare la massima attenzione, poichè potresti scoprire di avere uno dei siti dei siti web oggi ancora difforme, oppure di utilizzare una lista di email marketing in modo difforme.

Cominciamo! Ecco il testo approvato tradotto.

Il comitato europeo per la protezione dei dati

• Visto l’articolo 70, paragrafo (1) lettera (e), del regolamento 2016/679 / UE del Parlamento Europeo e del Consiglio del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione degli stessi, ed abrogando la direttiva 95/46 / EC, (di seguito “GDPR”),

• Visto l’accordo EEA e in particolare l’allegato XI e il protocollo 37, come modificato con decisione del Comitato misto EEA n. 154/2018 del 6 luglio 2018¹

• Visti l’articolo 12 e l’articolo 22 del suo regolamento,

• Visti gli orientamenti dell’articolo 29 sull’autorizzazione ai sensi del regolamento 2016/679, WP259 rev.01,

HA ADOTTATO LE SEGUENTI LINEE GUIDA:

Prefazione

Il 10 aprile 2018 il gruppo di lavoro dell’articolo 29 ha adottato i suoi orientamenti in materia di consenso a norma del regolamento 2016/679 (WP259.01), che sono stati approvati dal Comitato europeo per la protezione dei dati (di seguito “EDPB”) alla sua prima riunione plenaria. 

Questo documento è una versione leggermente aggiornata di quelle Linee guida. Qualsiasi riferimento alle Linee guida WP29 sul consenso (WP259 rev.01) deve essere interpretato d’ora in poi come riferimento a queste linee guida. L’EDPB ha notato la necessità di ulteriori chiarimenti, in particolare per quanto riguarda due domande:

1. La validità del consenso offerto dall’interessato quando interagisce con i cosiddetti “cookie walls”;
2. L’esempio 16 su scrolling e consenso.

I paragrafi riguardanti queste due questioni sono stati rivisti ed aggiornati, mentre la restante parte del documento è stato lasciata invariata, salvo modifiche editoriali. La revisione riguarda, in particolare la:

• Sezione sulla condizionalità (paragrafi 38-41).
• Sezione sull’indicazione univoca dei consensi (paragrafo 86)

Introduzione

1. Queste linee guida forniscono un’analisi approfondita della nozione di consenso di cui al Regolamento 2016/679, Regolamento Generale sulla Protezione dei Dati (di seguito: GDPR). Il concetto di consenso, utilizzato nella direttiva sulla protezione dei dati (di seguito: direttiva 95/46/EC) e nella direttiva sulla e-privacy fino ad oggi, si è evoluto.

2. Il GDPR fornisce ulteriori chiarimenti e specifiche sui requisiti per ottenere e dimostrare un valido consenso. Le presenti Linee guida si concentrano su tali modifiche, fornendo indicazioni pratiche per assicurare il rispetto del GDPR sulla base dell’articolo 29 e del parere del gruppo di lavoro del 15/2011 sul consenso. Spetta ai controllori innovare per trovare nuove soluzioni che operino all’interno dei parametri della legge e che supportino al meglio la protezione dei dati personali dei soggetti interessati ai dati.

3. Il consenso rimane una delle sei basi legali per il trattamento dei dati personali, come elencato nell’Articolo 6 del GDPR. Quando si avviano attività che comportano il trattamento di dati personali, un responsabile del trattamento (controllore) deve sempre prendere il tempo per considerare quale sarebbe il motivo legittimo, appropriato, per il trattamento previsto.
4. In generale, il consenso può essere una base legale appropriata solo se alla persona interessata viene offerto il controllo ed è ha effettuato una scelta effettiva in merito all’accettazione o al rifiuto delle condizioni offerte o al loro rifiuto senza pregiudizio (svantaggio). Quando si chiede il consenso, il controllore ha il dovere di valutare se si incontrano tutti i requisiti per ottenere il valido consenso. Se ottenuto nel pieno rispetto del GDPR, il consenso è uno strumento che dà agli interessati il controllo sull’eventuale presenza o meno dei dati personali trattati che li riguardano. In caso contrario, il controllo dell’interessato diventa illusorio e il consenso sarà una base non valida per trattamento, rendendo illegale³ l’attività di elaborazione.
5. I pareri sul consenso dell’attuale articolo 29 (WP29) da parte del gruppo di lavoro rimangono pertinenti, ove coerenti con il nuovo quadro giuridico, in quanto il GDPR codifica le linee guida WP29 esistenti e le buone pratiche generali e la maggior parte degli elementi chiave del consenso rimangono gli stessi ai sensi del GDPR. Quindi, in questo documento, l’EDPB amplia e completa i precedenti pareri del gruppo di lavoro ai sensi dell’articolo 29 sugli argomenti che includono il riferimento al consenso ai sensi della direttiva 95/46 / EC, anziché sostituirli.
6. Come il WP29 ha affermato nel suo parere 15/2011 sulla definizione del consenso, invitare le persone ad accettare l’operazione di trattamento dei dati dovrebbe essere soggetta a requisiti rigorosi, in quanto riguarda i diritti fondamentali degli interessati e il responsabile del trattamento (controllore) che desidera eseguire un’operazione che sarebbe illegale senza il consenso dell’interessato. Il ruolo cruciale del consenso è sottolineato da Articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, ottenere il consenso non annulla o in alcun modo riduce gli obblighi del responsabile del trattamento di osservare principi sanciti dal GDPR, in particolare l’articolo 5 del GDPR in materia di equità, necessità e proporzionalità, nonché qualità dei dati. Anche se il trattamento dei dati personali è basato previo consenso dell’interessato, ciò non legittima la raccolta di dati che non è necessaria in relazione ad uno specifico scopo del trattamento e sia fondamentalmente ingiusta.
7. Nel frattempo, l’EDPB è consapevole della revisione della direttiva e-privacy (2002/58 / EC). Il concetto di consenso nella bozza del regolamento e-privacy rimane legato all’idea di consenso nel GDPR. È probabile che le organizzazioni abbiano bisogno del consenso nell’ambito dell’E-privacy per la maggior parte dei messaggi nell’online marketing, chiamate pubblicitarie e metodi di tracciamento online incluso l’uso di cookie, App o altro software. L’EDPB ha già fornito raccomandazioni ed indicazioni al legislatore Europeo sulla proposta di regolamento dell’E-privacy.
8. Per quanto riguarda l’attuale direttiva sulla e-privacy, l’EDPB osserva che i riferimenti alla abrogata direttiva 95/46 / EC sono intesi come fatti al GDPR. Ciò vale anche per i riferimenti al consenso nell’attuale direttiva 2002/58 / EC, poiché il regolamento e-privacy non sarà (ancora) in vigore dal 25 maggio 2018. Ai sensi dell’articolo 95 del GDPR, ulteriori obblighi in relazione al trattamento collegato con la fornitura di servizi di comunicazione elettronica accessibili al pubblico nelle reti di comunicazione pubbliche non devono essere imposti nella misura in cui la direttiva sulla privacy elettronica impone obblighi specifici con lo stesso obiettivo. 
   L’EDPB osserva che i requisiti per il consenso ai sensi del GDPR non sono considerati un “obbligo aggiuntivo”, ma piuttosto come presupposti per un trattamento legittimo. Pertanto, le condizioni GDPR, per ottenere il consenso valido, sono applicabili in situazioni che rientrano nell’ambito della direttiva sulla privacy elettronica.

Consenso all’art. 41 del regolamento Europeo

9. L’articolo 4, paragrafo 11, del GDPR definisce il consenso come “liberamente dato, specifico, informato ed inequivocabile indicazione dei desideri dell’interessato con cui lui o lei, da una dichiarazione o una chiara affermativa azione, di consenso significativo al trattamento dei dati personali che lo/la riguardano. “
10. Il concetto di base del consenso rimane simile a quello previsto dalla direttiva 95/46 / EC e il consenso è uno dei motivi legittimi su cui deve basarsi il trattamento dei dati personali, ai sensi dell’articolo 6 del GDPR. Accanto alla definizione modificata di cui all’articolo 4, paragrafo 11, il GDPR fornisce ulteriori indicazioni nell’Articolo 7 e nei resoconti 32, 33, 42 e 43 su come il controllore deve agire per conformarsi ai principali elementi requisiti del consenso¹⁰.
11. Infine, l’inclusione di disposizioni specifiche considerando la revoca del consenso confermano che il consenso dovrebbe essere una decisione reversibile e che permane un certo controllo da parte del soggetto dei dati.

Elementi di consenso validi

12. L’articolo 4(11) del GDPR stabilisce che il consenso dell’interessato si intente:

• dato liberamente, specifico, informato ed inequivocabile indicazione della volontà dell’interessato mediante la quale l’interessato, attraverso una dichiarazione o una chiara azione affermativa, esprime il proprio consenso al trattamento dei dati personali relativi a lui o lei

13. Nelle sezioni a seguito, viene analizzato in che misura la formulazione dell’articolo 4, paragrafo 11, richiede ai responsabili del trattamento di modificare le richieste /moduli di consenso, al fine di garantire la conformità al GDPR¹¹.

Libero / dato liberamente

14. L’elemento “libero” implica una scelta e un controllo reale per gli interessati. Come regola generale, il GDPR prescrive che se l’interessato non ha una vera scelta, si sente in dovere di acconsentire o subirà conseguenze negative non acconsentendo, quindi il consenso non sarà valido¹³. Se il consenso è raggruppato come una parte non negoziabile di termini e condizioni si presume che non sia stato dato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non è in grado di rifiutare o ritirare il proprio consenso senza pregiudizio¹⁴. La nozione di squilibrio tra il responsabile del trattamento (controllore) e l’interessato è preso in considerazione anche dal GDPR.
15. Nel valutare se il consenso sia liberamente concesso, si dovrebbe anche tener conto dello specifico situazione di vincolo del consenso ai contratti o alla prestazione di un servizio come descritto all’articolo 7, paragrafo 4. 
16. L’articolo 7 (4) è stato redatto in modo non esaustivo con le parole “tra l’altro”, nel senso che potrebbero esserci una serie di altre situazioni, che rientrano in questa disposizione. In termini generali, qualsiasi elemento di pressione inappropriata o di influenza sull’interessato (che può manifestarsi in molti modi diversi) che impedisca all’interessato di esercitare il proprio libero arbitrio, rende il consenso non valido.
    
    Esempio 1: un’app mobile per il fotoritocco chiede ai propri utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’app inoltre dice ai suoi utenti che utilizzerà i dati comportamentali raccolti per scopi pubblicitari. Né la geo-localizzazione né la pubblicità comportamentale online sono necessarie per la fornitura del servizio di fotoritocco e vanno oltre la fornitura del servizio principale fornito. Dal momento che gli utenti non possono utilizzare l’app senza acconsentire a tali scopi, il consenso non può essere considerato liberamente dato.

Squilibrio del potere

17. La parte 43¹⁵ indica chiaramente che è improbabile che le autorità pubbliche possano fare affidamento sul consenso per il trattamento, ogni volta che il responsabile del trattamento (controllore) è un’autorità pubblica, c’è spesso un chiaro squilibrio di potere nel rapporto tra il responsabile del trattamento e l’interessato. È anche chiaro nella maggior parte dei casi che il soggetto non avrà alternative realistiche all’accettazione del trattamento (termini) di questo controller. Il EDPB ritiene che vi siano altre basi legali che sono, in linea di principio, più appropriate all’attività delle autorità¹⁵ pubbliche
18. Fatte salve queste considerazioni generali, l’uso del consenso come base legale per il trattamento dei dati da parte delle autorità pubbliche non è totalmente escluso dal quadro giuridico del GDPR. I seguenti esempi mostrano che l’uso del consenso può essere appropriato in determinate circostanze.
19. Esempio 2: un comune locale sta pianificando lavori di manutenzione stradale. Poiché i lavori stradali potrebbero interrompere il traffico a lungo, il comune offre ai suoi cittadini la possibilità di iscriversi a una mailing list per ricevere aggiornamenti sullo stato di avanzamento dei lavori e sui ritardi previsti. Il comune chiarisce che non vi è alcun obbligo di partecipazione e chiede il consenso all’utilizzo di indirizzi e-mail per questo (esclusivo) scopo. I cittadini che non acconsentono non perderanno alcun servizio principale del comune o del esercizio di qualsiasi diritto, in modo da poter dare o rifiutare il proprio consenso a questo uso dei dati liberamente. Tutti le informazioni sui lavori stradali saranno disponibili anche sul sito web del comune.
20. Esempio 3: una persona proprietaria di terreni necessita di determinati permessi sia dal suo comune locale che dal governo provinciale sotto il quale risiede il comune. Entrambi gli enti pubblici richiedono le stesse informazioni per il rilascio del loro permesso, ma non accedono ai rispettivi database. Perciò, entrambi chiedono le stesse informazioni e il proprietario del terreno invia i suoi dati ad entrambi gli enti pubblici. Il comune e l’autorità provinciale chiedono il suo consenso per unire i file, per evitare duplicati procedure e corrispondenza. Entrambi gli enti pubblici assicurano che ciò sia facoltativo e che l’autorizzazione le richieste verranno comunque elaborate separatamente se decide di non acconsentire alla fusione dei suoi dati. Il proprietario del terreno è in grado di fornire il consenso alle autorità al fine di unire liberamente i file.
21. Esempio 4: una scuola pubblica chiede agli studenti il consenso per utilizzare le loro fotografie in una rivista studentesca stampata. Il consenso in queste situazioni sarebbe una scelta autentica a condizione che agli studenti non vengano negati istruzione o servizi, e che possano rifiutare l’uso di queste fotografie senza alcun danno.
22. Uno squilibrio di potere si verifica anche nel contesto occupazionale. Data la dipendenza che ne deriva dal rapporto datore di lavoro / dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il suo consenso al trattamento dei dati senza provare la paura o il rischio reale di effetti dannosi a seguito di un rifiuto. È improbabile che un dipendente possa rispondere liberamente a una richiesta il consenso del suo datore di lavoro, ad esempio, attivare i sistemi di monitoraggio come la telecamera osservazione sul posto di lavoro o compilazione di moduli di valutazione, senza alcuna pressione per il consenso¹⁸. Pertanto, l’EDPB ritiene problematico per i datori di lavoro l’elaborare dati personali attuali o futuri sui dipendenti sulla base del consenso in quanto è improbabile che venga dato liberamente. Per la maggior parte di tali trattamenti dei dati sul luogo di lavoro, la base lecita non può e non deve essere il consenso dei dipendenti (articolo 6 (1) (a)) a causa della natura del rapporto tra datore di lavoro e dipendente.
23. Tuttavia, ciò non significa che i datori di lavoro non possano mai fare affidamento sul consenso come base legale per il trattamento. Ci possono essere situazioni in cui è possibile per il datore di lavoro dimostrare che il consenso è effettivamente dato liberamente. Dato lo squilibrio di potere tra un datore di lavoro ed i membri del suo staff, i dipendenti possono dare il consenso libero solo in circostanze eccezionali, quando non avrà conseguenze negative per tutti a prescindere dal fatto che forniscano o meno il consenso²⁰.
24. Esempio 5: una troupe cinematografica girerà in una determinata parte di un ufficio. Il datore di lavoro chiede ai dipendenti, che siedono in quella zona, di firmare il consenso poiché potrebbero apparire sullo sfondo del video. Coloro che non vogliono essere ripresi non vengono penalizzati in alcun modo, ma vengono invece dati banchi equivalenti altrove nell’edificio per la durata delle riprese.
25. Gli squilibri di potere non si limitano alle autorità pubbliche e ai datori di lavoro, ma possono verificarsi anche in altre situazioni. Come evidenziato dal WP29 in diversi pareri, il consenso può essere valido solo se l’interessato è in grado di esercitare una scelta reale e non vi è alcun rischio di inganno, intimidazione, coercizione o significative conseguenze negative (ad es. costi aggiuntivi sostanziali) se non acconsente. Il consenso non sarà libero nei casi in cui vi siano elementi di costrizione, pressione o incapacità di esercitare il libero arbitrio.

Condizionalità

26. Per valutare se il consenso è concesso liberamente, l’articolo 7, paragrafo 4, del GDPR svolge un ruolo importante²¹.
27. L’articolo 7(4) del GDPR indica, tra l’altro, che la situazione del consenso “raggruppato in bundle”, con l’accettazione di termini o condizioni, o “vincolo” della fornitura di un contratto, o di un servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione di tale contratto, o servizio, è considerato altamente indesiderabile. In tal caso, si presume che il consenso non sia dato liberamente (considerando 43). L’articolo 7(4) mira a garantire che lo scopo del trattamento dei dati personali non sia dissimulato né combinato con la fornitura di un contratto di un servizio per il quale tali dati personali non sono necessari. In tal modo, il GDPR garantisce che il trattamento dei dati personali per i quali viene richiesto il consenso non possa diventare, direttamente o indirettamente, la contropartita di un contratto. Le due basi legali per il trattamento lecito dei dati personali, vale a dire consenso e contratto, non possono essere fusi e offuscati.
28. L’obbligo di accettare l’uso dei dati personali, oltre a quanto strettamente necessario, limita le scelte dell’interessato ed ostacola il libero consenso. Poiché la legge sulla protezione dei dati mira alla protezione dei diritti fondamentali, il controllo di una persona sui propri dati personali è essenziale e vi è una forte presunzione che il consenso al trattamento dei dati personali sia superfluo, non può essere considerato come un corrispettivo obbligatorio in cambio dell’esecuzione di un contratto o fornitura di un servizio.
29. Pertanto, ogni volta che una richiesta di consenso è legata all’esecuzione di un contratto da parte del responsabile del trattamento (controllore), al soggetto che non desidera rendere i propri dati personali disponibili per l’elaborazione, corre il rischio di veder negati i servizi che ha richiesto da parte del responsabile del trattamento.
30. Per valutare se si verifica una tale situazione di raggruppamento o vincolo, è importante determinare quale sia la portata del contratto e quali dati sarebbero necessari per l’esecuzione di tale contratto.
31. Secondo il parere 06/2014 del WP29, il termine “necessario per l’esecuzione di un contratto” deve essere interpretato rigorosamente. Il trattamento deve essere necessario per adempiere al contratto con ciascun individuo soggetto ai dati. Ciò può comprendere, ad esempio, l’elaborazione dell’indirizzo dell’interessato in modo tale che le merci acquistate online possano essere consegnate o elaborando i dettagli della carta di credito al fine di facilitare il pagamento. In un contesto occupazionale, questo motivo può consentire, ad esempio, al trattamento delle informazioni sugli stipendi ed i dettagli del conto bancario in modo da poter pagare i salari. È necessario un legame diretto ed oggettivo tra il trattamento dei dati e lo scopo dell’esecuzione del contratto.
32. Se un responsabile del trattamento cerca di elaborare dati personali che sono effettivamente necessari per l’esecuzione di un contratto, il consenso non è la base lecita appropriata.
33. L’articolo 7, paragrafo 4, è pertinente solo se i dati richiesti non sono necessari per l’esecuzione del contratto (inclusa la fornitura di un servizio) e l’esecuzione di tale contratto subordinato all’ottenimento di questi dati sulla base del consenso. Al contrario, se l’elaborazione è necessaria per eseguire il contratto (anche per fornire un servizio), non si applica l’articolo 7, paragrafo 4.
34. Esempio 6: una banca chiede ai clienti il consenso per consentire a terzi di utilizzare i propri dettagli di pagamento per scopi di marketing diretto. Questa attività di elaborazione non è necessaria per l’esecuzione del contratto con il cliente e la consegna dei normali servizi di conto bancario. Se il rifiuto al consenso a tale finalità di trattamento comporterebbe al cliente la negazione dei servizi bancari, la chiusura del conto in banca o, a seconda del caso, un aumento della tariffa, il consenso non può essere dato liberamente.
35. La scelta del legislatore di evidenziare la condizionalità, tra l’altro, come presunzione di mancanza della libertà del consenso, dimostra che il verificarsi della condizionalità deve essere attentamente esaminato. Il termine “massimo conto” nell’articolo 7, paragrafo 4, suggerisce che è necessaria una particolare cautela da parte del responsabile del trattamento quando un contratto (che potrebbe includere la fornitura di un servizio) ha una richiesta di consenso per l’elaborazione dei dati personali ad esso collegati.
36. Poiché la formulazione dell’articolo 7, paragrafo 4, non è interpretata in modo assoluto, potrebbe esserci un limitato spazio per casi in cui questa condizionalità non renderebbe il consenso non valido. Tuttavia, la parola “Presunto” nel considerato 43 indica chiaramente che tali casi saranno estremamente eccezionali.
37. In ogni caso, l’onere della prova di cui all’articolo 7, paragrafo 4, è a carico del responsabile del trattamento. Questa regola specifica riflette il principio generale di responsabilità, che si estende a tutto il GDPR. Tuttavia, quando l’articolo 7, paragrafo 4 si applica, sarà più difficile per il responsabile del trattamento (controllore) dimostrare che il consenso è stato fornito liberamente dall’interessato .
38. Il titolare del trattamento potrebbe sostenere che la sua organizzazione offre agli interessati la possibilità di scegliere tra un servizio che include il consenso all’uso dei dati personali per scopi aggiuntivi, da un lato, e un servizio equivalente offerto dallo stesso titolare del trattamento che non comporti il consenso all’utilizzo dei dati per finalità aggiuntive. Fintantoché vi è la possibilità di eseguire il contratto, o il servizio appaltato, fornito dal titolare del trattamento, senza acconsentire all’altro uso dei dati o ad altri dati aggiuntivi in questione, ciò significa che non esiste più un servizio condizionato. Tuttavia, entrambi i servizi devono essere realmente equivalenti.
39. L’EDPB ritiene che il consenso non possa essere considerato come concesso liberamente se un responsabile del trattamento sostiene che esiste una scelta tra i suoi servizi che include il consenso all’uso dei dati personali per ulteriori scopi e, da un lato, esiste un servizio equivalente offerto da un controller diverso. In tal caso, la libertà di scelta dipenderebbe dall’operato di altri operatori di mercato e dal fatto che una singola persona interessata troverebbe i servizi dell’altro titolare del trattamento realmente equivalenti. Ciò implicherebbe inoltre un obbligo per i controllori di monitorare gli sviluppi del mercato per assicurare la costante validità del consenso per le loro attività di trattamento dei dati, in quanto un concorrente può modificare il suo servizio in una fase successiva. Pertanto, l’utilizzo di questo argomento implica che un consenso basato su un’opzione alternativa offerta da una terza parte non rispetta il GDPR, il che significa che un fornitore di servizi non può impedire agli interessati di accedere a un servizio sulla base del fatto che non acconsentono.
40. Affinché il consenso possa essere dato liberamente, l’accesso ai servizi ed alle funzionalità non deve essere effettuato subordinatamente al consenso di un utente alla memorizzazione delle informazioni, o all’ottenimento dell’accesso alle informazioni già memorizzate, nell’apparecchiatura terminale di un utente (i cosiddetti cookie walls).
41. Esempio 6a: un provider di siti Web mette in atto uno script che bloccherà la visualizzazione dei contenuti, tranne con richiesta d’accettazione di cookie ed informativa su quali cookie vengono impostati e per quali finalità saranno trattati. Non è possibile accedere al contenuto senza fare clic su Pulsante “Accetta i cookie”. Poiché l’interessato non si presenta con una scelta autentica, il suo consenso è non dato liberamente.
42. Ciò non costituisce un consenso valido, poiché la fornitura del servizio si basa sul clic dell’interessato il pulsante “Accetta i cookie”. Non si presenta con una scelta genuina.

Granularità

43. Un servizio può comportare più operazioni di elaborazione per più di uno scopo. In tali casi, gli interessati dovrebbero essere liberi di scegliere quale scopo accettare, piuttosto che dovere acconsentire ad un insieme di finalità di trattamento. Nei singoli casi, possono essere garantiti più consensi per iniziare ad offrire un servizio ai sensi del GDPR.
44. Il resoconto 43 chiarisce che si presume che il consenso non sia dato liberamente se il metodo / procedura dell’ottenimento del consenso non permette agli interessati di fornire un consenso separato per il trattamento rispettivo dei dati personali (ad esempio solo per alcune operazioni di elaborazione e non per altre) nonostante sia appropriato nel singolo caso. Il resoconto 32 stabilisce che: “Il consenso dovrebbe riguardare tutte le attività di trattamento effettuate per lo stesso scopo o scopi. Quando l’elaborazione ha molteplici scopi, il consenso dovrebbe essere dato per ciascuno di loro”.
45. Se il titolare del trattamento ha confuso diverse finalità del trattamento e non ha tentato di chiedere un consenso separato per ciascuna finalità, vi è una mancanza di libertà. Questa granularità è strettamente correlata alla necessità che il consenso sia specifico, come discusso nella sezione 3.2 più avanti. Quando il trattamento dei dati avviene nel perseguimento di più finalità, la soluzione per il rispetto delle condizioni di validità del consenso risiede nella granularità, vale a dire nella separazione di tali finalità e nell’ottenimento del consenso per ogni finalità.
46. Esempio 7: nell’ambito della stessa richiesta di consenso, un rivenditore chiede ai propri clienti il consenso all’utilizzo dei propri dati per inviare loro marketing tramite e-mail e anche per condividere i loro dettagli con altre società all’interno del loro gruppo. Questo consenso non è granulare in quanto non esistono consensi separati per queste due distinte finalità, pertanto il consenso non sarà valido. In questo caso, è necessario raccogliere un consenso specifico per inviare i dati di contatto ai partner commerciali. Tale consenso specifico sarà ritenuto valido per ciascun partner (vedere anche la sezione 3.3.1), la cui identità è stata fornita all’interessato al momento della raccolta del suo consenso, nella misura in cui viene inviato loro per lo stesso scopo (in questo esempio: a scopo di marketing).

Detrimento

47. Il controllore deve dimostrare che è possibile rifiutare o revocare il consenso senza pregiudizio (considerando il 42). Ad esempio, il controllore deve dimostrare che il consenso alla revoca non comporta costi per l’interessato e quindi nessun chiaro svantaggio per coloro che revocano il consenso.
48. Altri esempi di detrimento sono l’inganno, l’intimidazione, la coercizione o le negative conseguenze se l’interessato non acconsente. Il responsabile del trattamento dovrebbe essere in grado di dimostrare che l’interessato aveva una scelta libera o genuina sull’opportunità o meno di acconsentire e che era possibile ritirare consenso senza pregiudizio.
49. Se un responsabile del trattamento è in grado di dimostrare che un servizio include la possibilità di revocare il consenso senza alcuna conseguenza negativa, ad es. senza che le prestazioni del servizio vengano ridotte a discapito dell’utente, ciò può servire a dimostrare che il consenso è stato dato liberamente. Il GDPR non preclude tutti gli incentivi, ma spetterebbe al controllore l’onere di dimostrare che il consenso era dato liberamente in tutte le circostanze.
50. Esempio 8: quando si scarica un’App mobile lifestyle, l’App richiede il consenso per accedere all’accelerometro sul telefono. Questo non è necessario per il funzionamento dell’App, ma è utile per il controller che lo desidera, per saperne di più sui movimenti e sui livelli di attività dei suoi utenti. Quando l’utente lo revoca in seguito consenso, scopre che l’App ora funziona solo in misura limitata. Questo è un esempio di danno come indicato nel considerato 42, il che significa che il consenso non è mai stato validamente ottenuto (e quindi il responsabile del trattamento deve eliminare tutti i dati personali sui movimenti degli utenti raccolti in questo modo).
51. Esempio 9: una persona interessata si abbona alla newsletter di un rivenditore di moda con sconti generali. Il rivenditore chiede all’interessato il consenso per raccogliere ulteriori dati sulle preferenze d’acquisto, per adattare le sue offerte alle preferenze, in base alla cronologia degli acquisti o ad un questionario da compilare su base volontaria. Quando l’interessato in seguito revoca il consenso, riceverà di nuovo sconti sulla moda non personalizzati. Ciò non equivale a detrimento in quanto è stato perso solo l’incentivo ammissibile.
52. Esempio 10: una rivista di moda offre ai lettori l’accesso per acquistare nuovi prodotti di bellezza prima del lancio ufficiale.
53. I prodotti saranno presto disponibili per la vendita, ma ai lettori di questa rivista viene offerta una anteprima esclusiva di questi prodotti. Per beneficiare di questo vantaggio, le persone devono dare il loro indirizzo postale ed accettare di iscriversi alla mailing list della rivista. L’indirizzo postale è necessario per la spedizione e la mailing list viene utilizzata per l’invio di offerte commerciali per prodotti come i cosmetici o magliette tutto l’anno.
54. La società spiega che i dati nella mailing list verranno utilizzati solo per l’invio di merce e pubblicità cartacea da parte della rivista stessa e non saranno condivisi con nessun’altra organizzazione.
55. Nel caso in cui il lettore non desideri rivelare il proprio indirizzo per questo motivo, non vi è alcun danno, in quanto i prodotti saranno comunque disponibili per loro.

Specifico

56. L’articolo 6, paragrafo 1, lettera a), conferma che il consenso dell’interessato deve essere dato in relazione a “uno o più dati specifici” e che la persona interessata ha una scelta in relazione a ciascuna di esse. Il requisito del consenso deve essere “specifico” al fine di garantire un certo grado di controllo dell’utente e di trasparenza dell’individuo. Questo requisito non è stato modificato dal GDPR e rimane strettamente collegato al requisito del consenso “informato”. Allo stesso tempo, deve essere interpretato in linea con il requisito della “granularità” per ottenere un consenso “libero”. In sintesi, per soddisfare l’elemento “specifico” il responsabile del trattamento deve:

• Specificare i propositi come salvaguardia contro lo scorrimento funzionale,
• Granularità nelle richieste di consenso, e
• Chiara separazione delle informazioni relative all’ottenimento del consenso per le attività di trattamento dei dati da quelle relative ad altre questioni.

57. Ad. (i): ai sensi dell’articolo 5, paragrafo 1, lettera b), del GDPR, l’ottenimento di un consenso valido è sempre preceduto dalla determinazione di uno scopo specifico, esplicito e legittimo per l’attività di trattamento prevista. La necessità di un consenso specifico in combinazione con la nozione di limitazione della finalità di cui all’articolo 5, paragrafo 1, lettera b) funge da salvaguardia contro il progressivo ampliamento o sfocatura degli scopi per i quali i dati sono elaborati, dopo che una persona interessata ha accettato la raccolta iniziale dei dati. Anche questo fenomeno noto come funzione “creep”, è un rischio per gli interessati, in quanto può comportare un uso imprevisto dei dati personali, da parte del responsabile del trattamento o di terzi, e la perdita del controllo dell’interessato.
58. Se il responsabile del trattamento fa affidamento sull’articolo 6, paragrafo 1, lettera a), gli interessati devono sempre dare il consenso per una specifica finalità del trattamento. In linea con il concetto di limitazione delle finalità, articolo 5, paragrafo 1, lettera b) e considerando il 32, il consenso può riguardare operazioni diverse, purché tali operazioni abbiano lo stesso scopo. Vale a dire che il consenso specifico può essere ottenuto solo quando gli interessati sono specificamente informati sugli scopi previsti dall’uso dei dati che li riguardano.
59. Nonostante le disposizioni sulla compatibilità degli scopi, il consenso deve essere specifico alle finalità. Le persone interessate daranno il loro consenso con la consapevolezza che hanno il controllo e che i loro dati saranno trattati solo per gli obiettivi specificati. Se un responsabile del trattamento elabora i dati in base al consenso e desidera elaborare i dati anche per un altro scopo deve richiedere un consenso aggiuntivo per questo altro scopo, a meno che non ci sia un’altra base legale, che rifletta meglio la situazione.
60. Esempio 11: una rete TV via cavo raccoglie i dati personali degli abbonati, in base al loro consenso, per presentare suggerimenti personali sui nuovi film a cui potrebbero essere interessati in base alle loro abitudini visive. Dopo un po’, la rete TV decide che vorrebbe consentire a terzi di inviare (o visualizzare) pubblicità mirata sulla base delle abitudini di visualizzazione dell’abbonato. Dato questo nuovo scopo, un nuovo consenso è necessario.
61. Ad. (ii): i meccanismi di consenso devono essere non solo granulari per soddisfare il requisito di “libero”, ma anche per incontrare l’elemento di “specifico”. Ciò significa che un controller che cerca il consenso per vari differenti scopi dovrebbe fornire un’adesione (opt-it) separata per ogni obiettivo, per consentire agli utenti di dare un consenso specifico per finalità specifiche.
62. Anno Domini. (iii): Infine, i responsabili del trattamento dovrebbero fornire, unitamente ad ogni richiesta di consenso separata, informazioni specifiche sui dati trattati per ciascuna finalità, al fine di rendere gli interessati consapevoli dell’impatto delle diverse scelte effettuate. Pertanto, gli interessati sono autorizzati a fornire un consenso specifico. Questo problema si sovrappone al requisito secondo cui, i controller, devono fornire informazioni chiare, come discusso in paragrafo 3.3 sotto.

Informato

63. Il GDPR rafforza il requisito di consenso informato. Sulla base dell’articolo 5 del GDPR, il requisito della trasparenza è uno dei principi fondamentali e, strettamente legato ai principi di equità e liceità. Fornire informazioni agli interessati prima di ottenere il loro consenso è essenziale al fine di consentire loro di prendere decisioni informate, capire cosa stanno accettando e, ad esempio, esercitare il diritto di revocare del proprio consenso. Se il controller non fornisce informazioni accessibili, il controllo dell’utente diventa illusorio e il consenso non sarà valido per la lavorazione.
64. La conseguenza del mancato rispetto dei requisiti per il consenso informato è che il consenso non sarà valido e il controllore potrebbe violare l’articolo 6 del GDPR.

Requisiti minimi di contenuto affinché il consenso sia “informato”

65. Affinché il consenso sia informato, è necessario informare l’interessato di alcuni elementi che sono cruciali per fare una scelta. Pertanto, l’EDPB è del parere che siano necessarie almeno le seguenti informazioni per ottenere il consenso valido:

• l’identità del responsabile del trattamento, 
• lo scopo di ciascuna delle operazioni di trattamento per le quali si richiede il consenso,
• quali (tipo di) dati saranno raccolti e utilizzati, 
• l’esistenza del diritto di revoca del consenso, 
• informazioni sull’uso dei dati per il processo decisionale automatizzato in conformità con Articolo 22, paragrafo 2, lettera c) se pertinente,
• sui possibili rischi di trasferimento dei dati a causa dell’assenza di una decisione di adeguatezza e di garanzie di cui all’articolo 46.

66. Per quanto riguarda i punti (i) e (iii), l’EDPB rileva che nel caso in cui si debba fare affidamento sul consenso richiesto da più controllori (in comune) o se i dati devono essere trasferiti o elaborati da altri responsabili del trattamento che desiderano fare affidamento sul consenso originale, è necessario nominare tutte queste organizzazioni. I responsabili del trattamento non devono essere nominati come parte dei requisiti per il consenso, sebbene siano conformi Articoli 13 e 14 del GDPR, i responsabili del trattamento dovranno fornire un elenco completo dei destinatari o delle categorie destinatarie, responsabili inclusi. Per concludere, l’EDPB osserva che, a seconda delle circostanze e del contesto di un caso, potrebbero essere necessarie maggiori informazioni per consentire all’interessato di comprendere realmente le operazioni del trattamento in questione.

Come fornire informazioni

67. Il GDPR non prescrive il modulo o la forma in cui le informazioni devono essere fornite al fine di soddisfare il requisito del consenso informato. Ciò significa che le informazioni valide possono essere presentate in vari modi, come dichiarazioni scritte o orali o messaggi audio o video. Tuttavia, il GDPR mette in atto diversi requisiti per il consenso informato, principalmente nell’articolo 7, paragrafo 2 e nel considerando il 32. Ciò porta a uno standard più elevato di chiarezza e accessibilità delle informazioni.
68. Quando chiedono il consenso, i responsabili del trattamento dovrebbero assicurarsi di utilizzare un linguaggio semplice e chiaro in tutti i casi. Ciò significa che un messaggio dovrebbe essere facilmente comprensibile dall’individuo medio e non solo dagli avvocati. I responsabili del trattamento non possono utilizzare lunghe politiche sulla privacy difficili da comprendere o dichiarazioni in gergo legale. Il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma comprensibile e facilmente accessibile. Questo requisito essenzialmente significa che le informazioni rilevanti per prendere decisioni informate, sull’opportunità o meno di acconsentire, non può essere nascosto in termini e condizioni generali.
69. Il titolare del trattamento deve garantire che il consenso sia fornito sulla base delle informazioni che consentono agli interessati di identificare facilmente chi è il responsabile del trattamento e di capire cosa stanno accettando. Il responsabile del trattamento deve descrivere chiaramente lo scopo del trattamento dei dati per il quale è richiesto il consenso.
70. Altri orientamenti specifici sull’accessibilità sono stati forniti negli orientamenti WP29 sulla trasparenza. Se il consenso deve essere fornito con mezzi elettronici, la richiesta deve essere chiara e concisa. Le informazioni a strati e granulari possono essere un modo appropriato per affrontare il duplice obbligo di essere precisi e completi da un lato, e comprensibili dall’altro.
71. Un responsabile del trattamento deve valutare il tipo di pubblico che fornisce dati personali alla propria organizzazione. Ad esempio, nel caso in cui il pubblico interessato includa soggetti minorenni, il responsabile del trattamento dovrebbe assicurarsi che le informazioni siano comprensibili per i minori³⁸. Dopo aver identificato il loro pubblico, i responsabili del trattamento devono determinare quali informazioni devono fornire e, successivamente, come presentare le informazioni agli interessati.
72. L’articolo 7, paragrafo 2, riguarda le dichiarazioni scritte di consenso pre-formulato, che riguardano anche altre questioni. Quando viene richiesto il consenso come parte di un contratto (cartaceo), la richiesta di consenso dovrebbe essere chiaramente distinguibile dalle altre questioni. Se il contratto cartaceo include molti aspetti estranei alla questione del consenso all’uso dei dati personali, la questione del consenso dovrebbe essere trattata in un modo che risalti chiaramente, o in un documento separato. Allo stesso modo, se il consenso è richiesto da mezzi elettronici, la richiesta di consenso deve essere separata e distinta, non può essere semplicemente un paragrafo nei termini e condizioni, ai sensi del considerando 32. Per adattarsi a schermi o situazioni di piccole dimensioni con spazio limitato per l’informazione, si può prendere in considerazione un modo stratificato di presentare informazioni, se del caso, per evitare un eccessivo disturbo dell’esperienza dell’utente o della progettazione del prodotto
73. Il titolare del trattamento che si avvale del consenso dell’interessato deve altresì occuparsi dei distinti obblighi di informazione di cui agli articoli 13 e 14 per essere conforme al GDPR. In pratica, il rispetto degli obblighi d’informazione ed il rispetto dell’obbligo di consenso informato possono, in molti casi, condurre a un approccio integrato. Tuttavia, questa sezione è scritta con l’intesa che può esistere un valido consenso “informato”, anche quando non tutti gli elementi degli articoli 13 e/o 14 sono menzionati nel processo di ottenimento del consenso (questi punti dovrebbero naturalmente essere menzionati in altri luoghi, come l’avviso sulla privacy di una società). Il WP29 ha pubblicato linee guida separate sul requisito della trasparenza.
74. Esempio 12: la società X è un responsabile del trattamento che ha ricevuto reclami per i quali non è chiaro agli interessati a quali scopi di utilizzo dei dati viene richiesto il consenso. La società vede la necessità di verificare se le sue informazioni, nella richiesta di consenso, sono comprensibili per gli interessati. X organizza gruppi di prova volontari per categorie specifiche dei suoi clienti e presenta a questi nuovi aggiornamenti delle sue informazioni di consenso testando il pubblico prima di comunicarlo esternamente. La selezione del pannello rispetta il principio di indipendenza ed è fatto sulla base di standard che garantiscono un rappresentante, non distorto risultato. Il gruppo riceve un questionario e indica ciò che ha capito delle informazioni e come le classificherebbero in termini di informazioni comprensibili e pertinenti. Il controller continua i test fino a quando i quadri indicano che le informazioni sono comprensibili. X redige un rapporto del test e lo tiene disponibile come riferimento futuro. Questo esempio mostra un modo possibile per X di dimostrare che gli interessati ricevevano informazioni chiare prima di acconsentire ai dati personali elaborazione di X.
75. Esempio 13: una società si impegna nel trattamento dei dati sulla base del consenso. L’azienda utilizza una informativa sulla privacy a più livelli che include una richiesta di consenso. La società divulga tutti i dettagli di base del responsabile del trattamento e le attività di trattamento dei dati previste⁴⁰. Tuttavia, la società non indica come il loro responsabile della protezione dei dati può essere contattato nel primo strato informativo dell’avviso. Ai fini del possesso di una base legale valida ai sensi dell’articolo 6, questo responsabile del trattamento ha ottenuto un valido “informato” consenso, anche quando i dati di contatto del responsabile della protezione dei dati non sono stati comunicati l’interessato (nel primo strato informativo), ai sensi dell’articolo 13, paragrafo 1, lettera b) o 14, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati.

Indicazione inequivocabile

76. Il GDPR è chiaro il consenso richiede una dichiarazione dell’interessato o un chiaro atto affermativo, il che significa che deve sempre essere dato attraverso una mozione o una dichiarazione attiva. Deve essere ovvio che l’interessato ha acconsentito al trattamento particolare.
77. L’articolo 2, lettera h), della direttiva 95/46 / EC ha descritto il consenso come “l’indicazione dei desideri con cui l’interessato esprime il proprio consenso al trattamento dei dati personali che lo riguardano”. Articolo 4 (11) GDPR si basa su questa definizione, chiarendo che il valido consenso richiede un’indicazione inequivocabile per mezzo di una dichiarazione o di una chiara azione affermativa, in linea con le precedenti linee guida emesse dal WP29.
78. Un “chiaro atto affermativo” significa che l’interessato deve aver intrapreso un’azione deliberata per acconsentire al particolare trattamento. Il resoconto 32 stabilisce ulteriori orientamenti a riguardo. Il consenso può essere raccolto attraverso una dichiarazione scritta o (registrata) orale, anche per via elettronica.
79. Forse il modo più letterale per soddisfare il criterio di una “dichiarazione scritta” è quello di assicurarsi che l’interessato scriva in una lettera o digiti un’e-mail al responsabile del trattamento spiegando esattamente cosa accetta. Tuttavia, questo spesso non è realistico. Le dichiarazioni scritte possono avere molte forme e dimensioni che potrebbero essere conformi al GDPR.
80. Fatta salva la normativa contrattuale (nazionale) esistente, il consenso può essere ottenuto attraverso una dichiarazione orale, sebbene sia necessario tenere debitamente conto delle informazioni disponibili all’interessato, prima di indicare il consenso. L’uso delle caselle di opt-in preselezionate non è valido ai sensi del GDPR. Silenzio o l’inattività da parte dell’interessato, così come il semplice procedere con un servizio non può essere considerato come un’indicazione attiva di scelta.
81. Esempio 14: durante l’installazione del software, l’applicazione richiede il consenso dell’interessato ad utilizzare rapporti sugli arresti anomali non anonimi per migliorare il software. Un avviso sulla privacy stratificato che fornisce le informazioni necessarie che accompagna la richiesta di consenso. Spuntando attivamente la casella opzionale indicando “Acconsento”, l’utente è in grado di compiere validamente un “atto affermativo chiaro” per acconsentire al trattamento.
82. Un controllore deve anche fare attenzione che il consenso non può essere ottenuto attraverso la stessa mozione di accordo ad un contratto o delle condizioni generali di un servizio. L’accettazione generalizzata di termini e condizioni generali non può essere vista come una chiara azione affermativa per acconsentire all’uso dei dati personali. Il GDPR non consente ai controller di offrire caselle pre-barrate o costruzioni di opt-out che richiedono un intervento dell’interessato per impedire l’accordo (ad esempio “opt-out box”).
83. Quando il consenso deve essere dato a seguito di una richiesta per via elettronica, la richiesta di consenso dovrebbe non perturbare inutilmente l’utilizzo del servizio per il quale è fornito il consenso. Un movimento affermativo, in base al quale l’interessato indica il consenso, può essere necessario quando un modus meno offensivo o disturbante comporterebbe ad una ambiguità. Pertanto, potrebbe essere necessario che una richiesta di consenso interrompa in una certa misura l’esperienza d’uso per rendere efficace tale richiesta.
84. Tuttavia, nell’ambito dei requisiti del GDPR, i responsabili del trattamento hanno la libertà di sviluppare un flusso di consenso che si adatta alla loro organizzazione. A questo proposito, i movimenti fisici possono essere qualificati come chiara ed affermativa azione conforme al GDPR.
85. I responsabili del trattamento (controller) dovrebbero progettare meccanismi di consenso in modo chiaro per gli interessati. I controller devono evitare ambiguità e garantire che si possa distinguere l’azione con cui viene dato il consenso dalle altre azioni. Pertanto, il semplice proseguimento dell’uso ordinario di un sito Web non è una condotta da cui si può dedurre un’indicazione di desideri da parte dell’interessato per indicare il proprio consenso a una operazione di elaborazione.
86. Esempio 15: scorrere una barra su uno schermo, rinunciare a una smart camera, girare uno smartphone in senso orario o in figura otto possono essere opzioni per indicare un accordo, purché vengano fornite chiare informazioni ed è chiaro che la mozione in questione indica un accordo con una specifica richiesta (ad es. se si fa scorrere questa barra verso sinistra, si accetta l’uso delle informazioni X a scopo Y. Ripetere il movimento per confermare. “). Il responsabile del trattamento deve essere in grado di dimostrare che il consenso è stato ottenuto in questo modo e gli interessati devono essere in grado di revocare il consenso con la stessa facilità con cui sono stati forniti.
87. Esempio 16: considerando il 32, azioni come lo scorrimento o lo sfiorare una pagina Web o di una simile attività utente non soddisferà in nessun caso il requisito di un’azione chiara e affermativa: tali azioni possono essere difficili da distinguere da altre attività o interazioni da parte di un utente e quindi non sarà inoltre possibile determinare un consenso inequivocabile. Inoltre, in tal caso, sarà difficile fornire all’utente un modo per ritirare il consenso in un modo che sia semplice quanto concederlo.
88. Nel contesto digitale, molti servizi hanno bisogno dei dati personali per funzionare, quindi gli interessati ricevono richieste di consenso multiplo che richiedono risposte attraverso clicca e scorri ogni giorno. Ciò può comportare a certo grado di affaticamento dei clic: quando riscontrato troppe volte, l’effettivo e reale effetto di avviso del consenso come meccanismo diminuisce.
89. Ciò si traduce in una situazione in cui le domande di consenso non vengono più lette. Si tratta di un rischio particolare per le persone interessate, in quanto, in genere, viene richiesto il consenso per azioni che sono in linea di principio illegali senza il loro consenso. Il GDPR impone ai controllori l’obbligo di sviluppare dei modi per affrontare questo problema.
90. Un esempio spesso citato per farlo nel contesto online è ottenere il consenso degli utenti di Internet tramite le loro impostazioni del browser. Tali impostazioni dovrebbero essere sviluppate in linea con le condizioni per un consenso valido nel GDPR, come ad esempio che il consenso deve essere granulare per ciascuna delle finalità previste e che le informazioni da fornire debbano nominare i responsabili del trattamento.
91. In ogni caso, il consenso deve essere sempre ottenuto prima che il responsabile del trattamento inizi a elaborare i dati personali per cui è necessario il consenso. WP29 ha costantemente sostenuto che dovrebbe essere dato il consenso prima dell’attività di trattamento. Sebbene il GDPR non prescriva letteralmente nell’articolo 4, paragrafo 11, che il consenso deve essere fornito prima dell’attività di elaborazione, ciò è chiaramente implicito. Il titolo dell’articolo 6 (1) e la formulazione “ha dato” nell’articolo 6, paragrafo 1, lettera a), supporta questa interpretazione. Segue logicamente da Articolo 6 e il resoconto 40 secondo cui deve essere presente una base lecita valida prima di iniziare il trattamento dei dati. Pertanto, è necessario fornire il consenso prima dell’attività di elaborazione. In linea di principio, può essere sufficiente chiedere il consenso dell’interessato una volta. Tuttavia, i controller devono ottenere un nuovo e specifico consenso se le finalità del trattamento dei dati cambiano dopo che è stato ottenuto il consenso o se è prevista una ulteriore finalità.

Ottenere il consenso esplicito

92. È necessario il consenso esplicito in determinate situazioni in cui emergono gravi rischi per la protezione dei dati, quindi, dove un livello elevato di controllo individuale sui dati personali è ritenuto appropriato. Ai sensi del GDPR, il consenso esplicito svolge un ruolo nell’articolo 9 sul trattamento di categorie speciali di dati, le disposizioni sui trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguati garanzie di cui all’articolo 49 e all’articolo 22 sul processo decisionale individuale automatizzato, tra cui profiling.
93. Il GDPR prescrive che una “dichiarazione o chiara azione affermativa” è un prerequisito per il “normale” consenso. Poiché il requisito del consenso “regolare” nel GDPR è già elevato a uno standard più elevato rispetto al requisito del consenso previsto dalla direttiva 95/46 / EC, è necessario chiarire quali sforzi supplementari un responsabile del trattamento dovrebbe impegnarsi ad ottenere al fine di esplicitare il consenso dell’interessato in linea col GDPR.
94. Il termine esplicito si riferisce al modo in cui l’interessato esprime il consenso. Significa che il soggetto deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi che il consenso sia esplicito sarebbe espressamente confermare il consenso in una dichiarazione scritta. Se del caso, il controller potrebbe assicurarsi che la dichiarazione scritta sia firmata dall’interessato, al fine di eliminare ogni possibile dubbio e la potenziale mancanza di prove in futuro.
95. Tuttavia, una simile dichiarazione firmata non è l’unico modo per ottenere il consenso esplicito e non si può dire che il GDPR prescrive dichiarazioni scritte e firmate in tutte le circostanze che richiedono un esplicito valido consenso. Ad esempio, nel contesto digitale o online, l’interessato potrebbe essere in grado di emettere la necessaria dichiarazione compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato recante la firma dell’interessato o utilizzando una firma elettronica. In teoria, l’uso di dichiarazioni orali possono anche essere sufficientemente espresse per ottenere un consenso esplicito valido, tuttavia, può essere difficile al responsabile del trattamento dimostrare che tutte le condizioni per un consenso esplicito valido erano soddisfatte al momento della dichiarazione registrata.
96. Un’organizzazione può anche ottenere il consenso esplicito attraverso una conversazione telefonica, a condizione che le informazioni sulla scelta sono corrette, comprensibili e chiare e richiedono una conferma specifica da parte dell’interessato (ad es. premendo un pulsante o fornendo conferma orale).
97. Esempio 17: un responsabile del trattamento dei dati può anche ottenere il consenso esplicito di un visitatore del proprio sito Web offrendo una schermata di consenso esplicito che contiene caselle di controllo “Sì”, “No”, a condizione che il testo indichi chiaramente il consenso, ad esempio “Acconsento al trattamento dei miei dati” e non, ad esempio, “Mi è chiaro che i miei dati saranno elaborati”. Inutile dire che le condizioni per il consenso informato e le altre condizioni per ottenere un consenso valido devono essere soddisfatte.
98. Esempio 18: Una clinica di chirurgia estetica chiede il consenso esplicito di un paziente per trasferire la sua cartella clinica ad un esperto il cui secondo parere è chiesto sulla condizione del paziente. La cartella clinica è un file digitale. Data la natura specifica delle informazioni in questione, la clinica chiede una firma elettronica della persona interessata per ottenere un valido consenso e per poter dimostrare che è stato ottenuto il consenso esplicito.
99. La verifica in due fasi del consenso può anche essere un modo per assicurarsi che il consenso esplicito sia valido. Per esempio, l’interessato riceve un’email che notifica loro l’intenzione del responsabile del trattamento di elaborare un record contenente dati medici. Il controller spiega nell’e-mail che chiede il consenso per l’uso di un set specifico di informazioni per uno scopo specifico. Se l’interessato accetta l’uso di tali dati, il responsabile del trattamento gli chiede una risposta via email contenente la dichiarazione “Accetto”. Dopo l’invio della risposta, i dati l’oggetto riceve un collegamento di verifica a cui è necessario fare clic o un messaggio SMS con un codice di verifica a confermare l’accordo.
100. L’articolo 9, paragrafo 2, non riconosce il “necessario per l’esecuzione di un contratto” come un’eccezione al divieto generale di elaborare categorie speciali di dati. Pertanto, i responsabili del trattamento e gli Stati membri che si occupano di questa situazione dovrebbero esplorare le specifiche eccezioni di cui all’articolo 9, paragrafo 2, lettere da b) a (J). Se nessuna delle eccezioni da (b) a (j) si applica, ottenere il consenso esplicito in conformità con le condizioni per un consenso valido nel GDPR rimane la sola eccezione legale possibile per elaborare tale dati.
101. Esempio 19: una compagnia aerea, Holiday Airways, offre un servizio di viaggio assistito per i passeggeri che non possono viaggiare senza assistenza, ad esempio a causa di una disabilità. Un cliente prenota un volo da Amsterdam a Budapest e richiede assistenza per viaggiare a bordo dell’aereo. Holiday Airways gli impone di fornire informazioni sulle sue condizioni di salute per essere in grado di organizzare servizi appropriati (quindi, ci sono molte possibilità, ad esempio sedia a rotelle sul cancello di arrivo o un assistente in viaggio dalla A alla B.) Holiday Airways richiede il consenso esplicito al trattamento dei dati sanitari di questo cliente allo scopo di organizzare l’assistenza di viaggio richiesta. – I dati elaborati sulla base del consenso dovrebbe essere necessari per il servizio richiesto. Inoltre, rimangono voli per Budapest disponibili senza assistenza di viaggio. Si noti che poiché tali dati sono necessari per la fornitura del servizio richiesto, l’articolo 7, paragrafo 4, non si applica.
102. Esempio 20: un’azienda di successo è specializzata nella fornitura di sci, snowboard e occhiali personalizzati per gli sport all’aria aperta. L’idea è che le persone potrebbero indossarle senza gli occhiali. La società riceve gli ordini in un punto centrale e consegna prodotti da un’unica sede in tutta l’UE.
103. Per poter fornire i suoi prodotti personalizzati ai clienti miopi, questo il controller richiede il consenso per l’uso delle informazioni sulla condizione oculare dei clienti. I clienti forniscono i dati sanitari necessari, come i loro dati di prescrizione online quando effettuano l’ordine. Senza questo, non è possibile fornire gli occhiali personalizzati richiesti. L’azienda offre anche serie di occhiali con valori correttivi standardizzati. I clienti che non desiderano condividere i dati sanitari potrebbero optare per le versioni standard. Pertanto, è richiesto un consenso esplicito ai sensi dell’articolo 9 e il consenso può essere considerato come dato liberamente.

Condizioni aggiuntive per ottenere un consenso valido

104. Il GDPR introduce i requisiti per i controllori di prendere disposizioni aggiuntive per garantire che ottengano, mantengano e siano in grado di dimostrare, il consenso valido. L’articolo 7 del GDPR stabilisce queste condizioni aggiuntive per il consenso valido, con disposizioni specifiche sulla conservazione dei registri di consenso e il diritto di revocare facilmente il consenso. L’articolo 7 si applica anche al consenso di cui in altri articoli del GDPR, per esempio Articoli 8 e 9. Di seguito sono fornite indicazioni sull’obbligo supplementare di dimostrare il consenso valido e sulla revoca del consenso.

Dimostrare il consenso

105. All’articolo 7, paragrafo 1, il GDPR delinea chiaramente l’obbligo esplicito del responsabile del trattamento di dimostrare i dati consenso del soggetto. L’onere della prova sarà a carico del responsabile del trattamento, ai sensi dell’articolo 7, paragrafo 1.
106. Il considerando 42 afferma: “Laddove il trattamento si basi sul consenso dell’interessato, il responsabile del trattamento dovrebbe esserlo in grado di dimostrare che l’interessato ha dato il consenso al trattamento.”
107. I controllori sono liberi di mettere a punto metodi per conformarsi a questa disposizione in modo adeguato alle loro operazioni quotidiane. Allo stesso tempo, l’obbligo di dimostrare che il consenso valido è stato ottenuto da un titolare del trattamento non dovrebbe di per sé portare a quantità eccessive di ulteriori trattamenti dei dati. Ciò significa che i responsabili del trattamento dovrebbero avere dati sufficienti per mostrare un link al trattamento (per dimostrare il consenso è stato ottenuto) ma non dovrebbero raccogliere più informazioni del necessario.
108. Spetta al titolare del trattamento provare che è stato ottenuto un consenso valido dall’interessato. Il GDPR non prescrive esattamente come ciò debba essere fatto. Tuttavia, il titolare del trattamento deve essere in grado di dimostrare che l’interessato in un determinato caso ha acconsentito. Finché dura un’attività di trattamento dei dati in questione, esiste l’obbligo di dimostrare il consenso. Una volta terminata l’attività di trattamento, la prova del consenso non dovrebbe più essere ritenuta strettamente necessaria per l’adempimento di un obbligo di legge o per l’accertamento, l’esercizio o la difesa di azioni legali, ai sensi dell’articolo 17(3)(b) e (e)
109. Ad esempio, il responsabile del trattamento può tenere un registro delle dichiarazioni di consenso ricevute, in modo da poter mostrare come è stato ottenuto il consenso, quando è stato ottenuto il consenso e le informazioni fornite all’interessato in quel momento sono dimostrabili. Il controllore deve anche essere in grado di dimostrare che l’interessato era informato e il flusso di lavoro del responsabile del trattamento ha soddisfatto tutti i criteri pertinenti per un consenso valido. La logica dietro questo obbligo nel GDPR è che i responsabili del trattamento devono essere responsabili in merito all’ottenimento del consenso valido degli interessati e dei meccanismi di consenso da essi predisposti. Ad esempio, in un contesto online, un responsabile del trattamento potrebbe conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione del flusso di lavoro del consenso al momento della sessione e una copia delle informazioni che sono state presentate all’interessato in quel momento. Non sarebbe sufficiente semplicemente fare riferimento a una corretta configurazione del rispettivo sito Web.
110. Esempio 21: un ospedale istituisce un programma di ricerca scientifica, chiamato progetto X, per il quale sono necessarie registrazioni dentali di pazienti reali. I partecipanti vengono reclutati tramite telefonate ai pazienti che ha accettato volontariamente di essere in un elenco di candidati disponibili ad essere contattati a tale scopo. Il controller chiede il consenso esplicito degli interessati per l’uso della loro cartella dentale. Il consenso è ottenuto durante una telefonata registrando una dichiarazione orale dell’interessato in cui l’interessato conferma di accettare l’uso dei propri dati ai fini del progetto X.
111. Non vi è alcun limite di tempo specifico nel GDPR per quanto tempo durerà il consenso. Quanto dura il consenso dipendono dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se le operazioni di elaborazione cambiano o evolvono considerevolmente, quindi il consenso originale non è più valido. In tal caso, è necessario ottenere un nuovo consenso.
112. L’EDPB raccomanda come migliore pratica di aggiornare il consenso a intervalli appropriati. Fornire nuovamente tutte le informazioni aiuta a garantire che gli individui rimangano ben informati su come i loro dati vengono utilizzati e come esercitare i loro diritti.

Revoca del consenso

113. La revoca del consenso ha un posto di rilievo nel GDPR. Le disposizioni e i resoconti relativi alla revoca del consenso nel GDPR possono essere considerati come codificazione dell’interpretazione esistente in materia dei pareri del WP29.
114. L’articolo 7(3) del GDPR stabilisce che il titolare del trattamento deve garantire che il consenso possa essere revocato dalla persona interessata con la stessa facilità con cui fornisce il consenso ed in qualsiasi momento. Il GDPR non dice che dare e revocare il consenso deve sempre essere fatto attraverso la stessa azione.
115. Tuttavia, quando il consenso viene ottenuto per via elettronica con un solo clic del mouse, scorrendo o con sequenza di tasti, gli interessati devono, in pratica, essere in grado di revocare il consenso altrettanto facilmente. Dove il consenso viene ottenuto tramite l’uso di un’interfaccia utente specifica del servizio (ad esempio, tramite un sito Web, un’app, un account di accesso, l’interfaccia di un dispositivo IoT o via e-mail), non c’è dubbio che l’interessato debba essere in grado di revocare il consenso tramite la stessa interfaccia elettronica, poiché passando a un’altra interfaccia per l’unico motivo di revocare il consenso richiederebbe uno sforzo eccessivo. Inoltre, l’interessato dovrebbe essere in grado di revocare il proprio consenso senza pregiudizio. Ciò significa, tra l’altro, che un controllore deve rendere possibile la revoca del consenso liberamente o senza abbassare i livelli di servizio.
116. Esempio 22: un festival di musica vende biglietti tramite un agente di biglietti online. Con ogni vendita di biglietti online, è richiesto il consenso per utilizzare i dettagli di contatto a fini di marketing. Per indicare il consenso per tale scopo, i clienti possono selezionare “No” o “Sì”. Il controller informa i clienti che hanno la possibilità di revocare il consenso. Per fare ciò, potrebbero contattare un call center nei giorni lavorativi 8: 00-17: 00, gratuitamente. Il controller in questo esempio non è conforme all’articolo 7 (3) del GDPR. La revoca del consenso in questo caso richiede una telefonata durante l’orario di lavoro, questo è più oneroso del solo clic del mouse necessario per dare il consenso attraverso il ticket online fornitore, che è aperto 24/7.
117. Il requisito di una facile revoca è descritto come un aspetto necessario del consenso valido nel GDPR. Se il diritto di recesso non soddisfa i requisiti del GDPR, il meccanismo di consenso del titolare del trattamento non è conforme al GDPR. Come indicato nella sezione 3.1 sulla condizione del consenso informato, il titolare del trattamento deve informare l’interessato del diritto di revocare il consenso prima di dare effettivamente il consenso, ai sensi dell’articolo 7(3) del GDPR. Inoltre, nell’ambito dell’obbligo di trasparenza, il titolare del trattamento deve informare gli interessati sulle modalità di esercizio dei loro diritti.
118. Come regola generale, se il consenso viene revocato, tutte le operazioni di trattamento dei dati che erano basate sul consenso e che hanno avuto luogo prima della revoca del consenso – e in conformità con il GDPR – rimangono legittime, tuttavia, il titolare del trattamento deve interrompere le azioni di trattamento in questione. Se non esiste un’altra base legittima che giustifichi il trattamento (ad es. l’ulteriore memorizzazione) dei dati, essi devono essere cancellati dal titolare del trattamento.
119. Come accennato in precedenza in queste linee guida, è molto importante che i responsabili del trattamento valutino gli scopi per cui i dati vengono effettivamente elaborati e i motivi legali su cui si basano prima della raccolta dei dati. Spesso le aziende hanno bisogno di dati personali per diversi scopi e il trattamento si basa su di più di una base lecita, ad es. i dati dei clienti possono essere basati su contratto e consenso. Quindi, un ritiro di consenso non significa che un responsabile del trattamento deve cancellare i dati che vengono elaborati per uno scopo basato sull’esecuzione del contratto con l’interessato. I controllori dovrebbero quindi essere chiari da all’inizio su quale finalità si applica a ciascun elemento di dati e su quale base legittima si fa affidamento.
120. I responsabili del trattamento hanno l’obbligo di eliminare i dati che sono stati elaborati sulla base del consenso una volta il consenso viene revocato, supponendo che non vi siano altri scopi che giustificano la conservazione continuata⁵². Oltre a questa situazione, di cui all’articolo 17, paragrafo 1, lettera b), una persona interessata può chiedere la cancellazione di altri dati che la riguardano che vengono trattati su un’altra base lecita, ad es. sulla base dell’articolo 6 (1) (b) .53 I responsabili del trattamento sono tenuti a valutare se sia continuato il trattamento dei dati in modo appropriato, anche in assenza di una richiesta di cancellazione da parte dell’interessato.
121. Nei casi in cui l’interessato ritira il proprio consenso e il responsabile del trattamento desidera continuare a elaborare i dati personali su un’altra base lecita, non possono migrare silenziosamente dal consenso (che è ritirato) a questa altra base lecita. Qualsiasi modifica della base legale per l’elaborazione deve essere notificata a una persona interessata conformemente agli obblighi di informazione di cui agli articoli 13 e 14 e ai sensi del principio generale di trasparenza.

Interazione tra consenso ed altri motivi come da articolo 6 del Regolamento Euroepeo

122. L’articolo 6 stabilisce le condizioni per un trattamento legittimo dei dati personali e descrive sei basi legali su cui un controller può fare affidamento. L’applicazione di una di queste sei basi deve essere stabilita prima dell’attività di elaborazione e in relazione a uno scopo specifico.
123. È importante notare qui che se un controllore sceglie di fare affidamento sul consenso per qualsiasi parte del trattamento, deve essere pronto a rispettare tale scelta e interrompere quella parte del trattamento se un individuo revoca il consenso. Inviare il messaggio che i dati saranno trattati sulla base del consenso, mentre in realtà si fa affidamento su qualche altra base legale, sarebbe fondamentalmente ingiusto nei confronti degli individui.
124. In altre parole, il controllore non può passare dal consenso ad altre basi legali. Ad esempio, non è consentito utilizzare retroattivamente la base dell’interesse legittimo per giustificare il trattamento, qualora siano stati riscontrati problemi di validità del consenso. A causa dell’obbligo di divulgare la base giuridica, su cui il titolare del trattamento si basa al momento della raccolta dei dati personali, i responsabili del trattamento devono aver deciso in anticipo quale sia la base giuridica applicabile.

Aree specifiche di interesse del Regolamento Europeo

Bambini (articolo 8)

125. Rispetto alla direttiva attuale, il GDPR crea un ulteriore livello di protezione in cui i dati personali delle persone fisiche vulnerabili, in particolare i bambini, vengono trattati. L’articolo 8 introduce ulteriori obblighi per garantire un livello più elevato di protezione dei dati relativi ai servizi della società dell’informazione. Le ragioni del rafforzamento della protezione sono specificate al resoconto 38: “[…] possono essere meno consapevoli dei rischi, delle conseguenze e delle garanzie in questione e dei loro diritti in relazione al trattamento dei dati personali […]. Il resoconto 38 afferma inoltre che “Tale protezione specifica dovrebbe applicarsi, in particolare, all’uso di dati personali di minori a fini di commercializzazione o creazione di profili di personalità o di utenti e alla raccolta di dati personali relativi a minori quando si utilizzano servizi offerti direttamente a un minore”. Le parole “In particolare” indicano che la protezione specifica non è limitata al marketing o alla profilazione, ma comprende una più ampia raccolta di dati personali per quanto riguarda i bambini.
126. L’articolo 8(1) stabilisce che, quando si applica il consenso, in relazione all’offerta di servizi della società dell’informazione direttamente a un minore, il trattamento dei dati personali di un minore è lecito se il minore ha almeno 16 anni. Qualora il minore abbia meno di 16 anni di età, tale trattamento sarà lecito solo se e nella misura in cui tale consenso sia dato o autorizzato dal titolare della responsabilità genitoriale sul minore. Per quanto riguarda il limite di età del consenso valido il GDPR offre flessibilità, Gli Stati membri possono prevedere per legge un’età inferiore, ma tale età non può essere inferiore a 13 anni
127. Come indicato nella sezione 3.1. sul consenso informato, le informazioni sono comprensibili per il pubblico cui si rivolge il titolare del trattamento, con particolare attenzione alla posizione dei minori. Per ottenere il consenso informato «da un bambino, il controllore deve spiegare in un linguaggio chiaro e semplice per i bambini come intende trattare i dati che raccoglie⁵⁹. Se è il genitore che dovrebbe acconsentire, in tal caso può essere richiesta una serie di informazioni che consenta agli adulti di prendere una decisione informata.
128. Da quanto precede risulta che l’articolo 8 si applica solo quando sono soddisfatte le seguenti condizioni:

• Il trattamento è collegato all’offerta di servizi della società dell’informazione direttamente a un minore.
• Il trattamento si basa sul consenso.

Servizio della società dell’informazione

129. Per determinare l’ambito di applicazione del termine “servizio della società dell’informazione” nel GDPR, si fa riferimento all’articolo 4(25) GDPR alla direttiva 2015/1535.
130. Nel valutare il campo di applicazione di questa definizione, l’EDPB fa riferimento anche alla giurisprudenza della Corte di giustizia europea. Qualora un servizio abbia due componenti economicamente indipendenti, una componente online, quale l’offerta e l’accettazione di un’offerta nel contesto della conclusione di un contratto o le informazioni relative a prodotti o servizi, comprese le attività di marketing, questa componente è definita come un servizio della società dell’informazione e l’altra componente è la consegna fisica o la distribuzione di beni non rientra nella nozione di servizio della società dell’informazione. La fornitura online di un servizio rientrerebbe nel campo di applicazione del termine servizio della società dell’informazione di cui all’articolo 8 GDPR.

Offerto direttamente a un bambino

128. L’inclusione della dicitura “offerto direttamente a un minore” indica che si intende applicare l’articolo 8 ad alcuni non tutti i servizi della società dell’informazione. A questo proposito, se un fornitore di servizi della società dell’informazione chiarisce ai potenziali utenti che sta offrendo il suo servizio solo a persone di età pari o superiore a 18 anni, e questo non è compromesso da altre prove (come il contenuto del sito o piani di marketing) quindi il servizio non sarà considerato “offerto direttamente a un bambino” l’articolo 8 non si applicherà.

Età

132. Il GDPR specifica che “gli Stati membri possono prevedere per legge un’età inferiore per tali scopi purché tale età inferiore non sia inferiore a 13 anni “. Il controller deve essere a conoscenza di queste diverse leggi nazionali, tenendo conto del pubblico preso di mira dai suoi servizi. In particolare, va notato che un controllore che fornisce un servizio transfrontaliero non può sempre fare affidamento sul rispetto della sola legge dello Stato membro in cui ha la sede principale ma potrebbe essere necessario conformarsi alle rispettive le leggi nazionali di ciascuno Stato membro in cui offre i servizi della società dell’informazione. Questo dipende se uno Stato membro sceglie di utilizzare il luogo di stabilimento principale del responsabile del trattamento come punto di riferimento nella sua legislazione nazionale o residenza dell’interessato. Innanzitutto gli Stati membri considerare l’interesse superiore del minore durante la scelta. Il gruppo di lavoro incoraggia il Gli Stati membri cercano una soluzione armonizzata in materia
133. Nel fornire i servizi della società dell’informazione ai minori sulla base del consenso, i controllori ci si aspetta che facciano sforzi ragionevoli per verificare che l’utente abbia superato il consenso digitale e queste misure dovrebbero essere proporzionate alla natura e ai rischi delle attività di trattamento.
134. Se gli utenti dichiarano di avere superato l’età del consenso digitale, il responsabile del trattamento può effettuare controlli appropriati per verificare che questa affermazione sia vera. Sebbene la necessità di intraprendere ragionevoli sforzi per verificare l’età non sono espliciti nel GDPR sono implicitamente richiesti, poiché se un bambino dà il consenso mentre non abbastanza grande da fornire un consenso valido per proprio conto, questo renderà il trattamento dei dati illegale.
135. Se l’utente dichiara che lui/ lei è al di sotto dell’età del consenso digitale il controllore può accettare questa dichiarazione senza ulteriori controlli, ma dovrà andare avanti per ottenere l’autorizzazione dei genitori e verificare che la persona che fornisce tale consenso è titolare della responsabilità genitoriale.
136. La verifica dell’età non dovrebbe comportare un trattamento eccessivo dei dati. Il meccanismo scelto per verificare l’età di una persona interessata dovrebbe comportare una valutazione del rischio del trattamento proposto. In alcune situazioni a basso rischio, potrebbe essere appropriato richiedere a un nuovo abbonato di un servizio di rivelare il proprio anno di nascita o per compilare un modulo affermando che sono (non) un minore. In caso di dubbi, il responsabile del trattamento dovrebbe rivedere i meccanismi di verifica dell’età nel determinato caso e valutare se sono necessari controlli alternativi

Consenso e responsabilità genitoriale dei minori

137. Per quanto riguarda l’autorizzazione di un detentore della responsabilità genitoriale, il GDPR non specifica le modalità pratiche per ottenere il consenso dei genitori o per stabilire che qualcuno ha il diritto di eseguire questa azione. Pertanto, l’EDPB raccomanda l’adozione di un approccio proporzionato, in linea con l’articolo 8, paragrafo 2 GDPR e articolo 5 (1) (c) GDPR (minimizzazione dei dati). Un approccio proporzionato può essere quello di concentrarsi ad ottenere una quantità limitata di informazioni, come i dettagli di contatto di un genitore o tutore.
138. Ciò che è ragionevole, in termini di verifica che un utente sia abbastanza vecchio da fornire il proprio consenso, e in termini di verifica che una persona che fornisce il consenso per conto di un bambino sia titolare della responsabilità genitoriale, possono dipendere dai rischi inerenti al trattamento e dalla tecnologia disponibile. In casi a basso rischio, la verifica della responsabilità genitoriale via e-mail può essere sufficiente. Nei casi a basso rischio, la verifica della responsabilità genitoriale via e-mail può essere sufficiente. Al contrario, in casi ad alto rischio, può essere opportuno chiedere ulteriori prove, in modo che il titolare del trattamento sia in grado di verificare e conservare le informazioni ai sensi dell’articolo 7 (1) GDPR . I servizi di verifica di terze parti attendibili possono offrire soluzioni che riducono al minimo la quantità di dati personali che il responsabile del trattamento deve elaborare.
139. Esempio 23: Una piattaforma di gioco online vuole assicurarsi che i clienti minorenni sottoscrivano i suoi servizi solo con il consenso dei loro genitori o tutori. Il controller segue questi passaggi:
     Passaggio 1: chiedi all’utente di indicare se ha un’età inferiore o superiore ai 16 anni (o l’età alternativa del digitale consenso) se l’utente dichiara di avere un’età inferiore al consenso digitale:
     Passaggio 2: il servizio informa il bambino che un genitore o tutore deve acconsentire o autorizzare il trattamento prima che il servizio sia fornito al minore. All’utente è richiesto di rivelare l’indirizzo e-mail di a genitore o tutore.
     Passaggio 3: il servizio contatta il genitore o il tutore e ottiene il loro consenso via e-mail per l’elaborazione ed adottare misure ragionevoli per confermare che l’adulto ha la responsabilità genitoriale.
     Passaggio 4: in caso di reclami, la piattaforma esegue ulteriori passaggi per verificare l’età dell’abbonato
     Se la piattaforma ha soddisfatto gli altri requisiti di consenso, la piattaforma può rispettare i criteri aggiuntivi di cui all’articolo 8 GDPR seguendo questi passaggi
140. L’esempio mostra che il titolare del trattamento può mettersi in condizione di dimostrare che sono stati compiuti sforzi ragionevoli per garantire che sia stato ottenuto un valido consenso, in relazione ai servizi forniti a un minore. L’articolo 8, paragrafo 2, aggiunge in particolare che ” Il titolare del trattamento compie sforzi ragionevoli per verificare che il consenso sia dato o autorizzato dal titolare della responsabilità genitoriale nei confronti del minore, tenendo conto della tecnologia disponibile “.
141. Spetta al responsabile del trattamento determinare quali misure sono appropriate in un caso specifico. In generale di norma, i responsabili del trattamento dovrebbero evitare soluzioni di verifica che comportino anch’esse un’eccessiva raccolta di dati personali.
142. L’EDPB riconosce che potrebbero esserci casi in cui la verifica è impegnativa (ad esempio dove i minori che forniscono il proprio consenso non hanno ancora stabilito un ‘”impronta di identità”, o dove la responsabilità genitoriale non è facilmente verificabile. Questo può essere preso in considerazione quando si decide quali sono gli sforzi ragionevoli, ma ci si aspetta che anche i controller mantengano i loro processi e la tecnologia disponibile in costante revisione.
143. Per quanto riguarda l’autonomia dell’interessato di acconsentire il trattamento dei propri dati personali e avere il pieno controllo sul trattamento, il consenso di un titolare della responsabilità genitoriale o dell’autorizzato dal titolare della responsabilità genitoriale per il trattamento dei dati personali dei minori può essere confermato, modificato o ritirato, quando l’interessato raggiunge l’età del consenso digitale
144. In pratica, ciò significa che se il minore non intraprende alcuna azione, il consenso dato da un titolare di responsabilità genitoriale o dal possessore di autorizzazione del titolare della responsabilità genitoriale per il trattamento dei dati personali dato prima dell’età del consenso digitale, rimarrà un valido terreno per l’elaborazione.
145. Dopo aver raggiunto l’età del consenso digitale, il bambino avrà la possibilità di revocare il consenso stesso, in linea con l’articolo 7, paragrafo 3. In conformità con i principi di equità e responsabilità, il responsabile del trattamento deve informare il minore su questa possibilità.
146. È importante sottolineare che, conformemente al resoconto 38, il consenso di un genitore o tutore non è richiesto nel contesto di servizi preventivi o di consulenza offerti direttamente a un bambino. Per esempio la fornitura di servizi di protezione dei minori offerti online a un minore mediante un servizio di chat online non richiedono un’autorizzazione parentale preventiva.
147. Infine, il GDPR afferma che le norme relative ai requisiti di autorizzazione dei genitori nei confronti dei minori non interferisce con il “diritto contrattuale generale degli Stati membri come le norme sulla validità, formazione o effetto di un contratto in relazione a un bambino”. Pertanto, i requisiti per un consenso valido per l’uso dei dati sui minori fanno parte di un quadro giuridico che deve essere considerato separato dal diritto contrattuale nazionale. Pertanto, questo documento di orientamento non tratta la questione se esso è lecito per un minore concludere contratti online. Entrambi i regimi giuridici possono essere applicati contemporaneamente e, l’ambito di applicazione del GDPR non comprende l’armonizzazione delle disposizioni nazionali di diritto contrattuale.

Ricerca scientifica

148. La definizione di scopi di ricerca scientifica ha implicazioni sostanziali per la gamma di dati attività di trattamento che un responsabile del trattamento può svolgere. Il termine “ricerca scientifica” non è definito nel GDPR. Il considerando 159 afferma “(…) Ai fini del presente regolamento, il trattamento dei dati personali per gli scopi della ricerca scientifica dovrebbero essere interpretati in modo ampio. (…) “, tuttavia l’EDPB ritiene che il concetto non possa essere esteso oltre il suo significato comune e lo comprende “Ricerca scientifica” in questo contesto significa un progetto di ricerca istituito conformemente alle pertinenti norme metodologiche ed etiche relative al settore, in conformità con le buone pratiche.
149. Quando il consenso è la base giuridica per condurre ricerche in conformità con il GDPR, questo consenso per l’uso dei dati personali dovrebbe essere distinto da altri requisiti di consenso che servono come standard etico o obbligo procedurale. Un esempio di tale obbligo procedurale, in cui il trattamento non si basa sul consenso, ma su un’altra base giuridica, si trova nel regolamento sulle sperimentazioni cliniche. Nel contesto della normativa sulla protezione dei dati, quest’ultima forma di consenso potrebbe essere considerata come una garanzia supplementare. Allo stesso tempo, il GDPR non limita l’applicazione dell’articolo 6 a solo il consenso al trattamento dei dati per finalità di ricerca. Fintantoché esistono garanzie adeguate, quali i requisiti di cui all’articolo 89(1), e il trattamento è equo, lecito, trasparente e conforme alle norme di minimizzazione dei dati e ai diritti individuali, possono essere disponibili⁶⁵ altre basi legali come l’articolo 6(1)(e) o (f). Ciò vale anche per categorie speciali di dati ai sensi della deroga all’articolo 9, paragrafo 2, lettera j).
150. Il resoconto 33 sembra offrire una certa flessibilità al grado di specificazione e alla granularità del consenso nel contesto della ricerca scientifica. Considerando il 33: “Spesso non è possibile identificare pienamente lo scopo del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Perciò, le persone interessate dovrebbero essere autorizzate a dare il proprio consenso a determinate aree della ricerca scientifica quando mantenere gli standard etici riconosciuti per la ricerca scientifica. Gli interessati dovrebbero avere l’opportunità di dare il proprio consenso solo a determinate aree di ricerca o parti di progetti di ricerca nella misura consentita dallo scopo previsto.”
151. In primo luogo, si deve rilevare che il resoconto 33 non viola gli obblighi relativi al requisito di consenso specifico. Ciò significa che, in linea di principio, i progetti di ricerca scientifica possono solo includere dati personali sulla base del consenso se hanno uno scopo ben descritto. Per i casi dove non è possibile specificare dall’inizio le finalità del trattamento dei dati nell’ambito di un progetto di ricerca scientifica, il 33 consente in via eccezionale che lo scopo possa essere descritto a un livello più generale.
152. Considerando le rigide condizioni stabilite dall’articolo 9 del GDPR in merito al trattamento di categorie speciali di dati, l’EDPB rileva che quando vengono elaborate categorie speciali di dati sulla base di esplicito consenso, l’applicazione dell’approccio flessibile di cui al resoconto 33 sarà soggetto ad un’interpretazione più rigorosa e richiede un alto livello di controllo.
153. Se considerato nel suo insieme, il GDPR non può essere interpretato in modo da consentire al titolare del trattamento di aggirare il principio chiave di specificare le finalità per le quali è richiesto il consenso dell’interessato.
154. Quando le finalità della ricerca non possono essere pienamente specificate, il controllore deve cercare altri modi per garantire che l’essenza dei requisiti di consenso sia servita al meglio, ad esempio, consentire alle persone interessate di acconsentire a uno scopo di ricerca in termini più generali e per fasi specifiche di un progetto di ricerca già note all’inizio. Man mano che la ricerca procede, è possibile ottenere il consenso per le fasi successive del progetto prima del l’inizio della fase successiva. Tuttavia, tale consenso dovrebbe essere ancora in linea con le norme etiche applicabili alla ricerca scientifica.
155. Inoltre, il responsabile del trattamento può applicare ulteriori garanzie in tali casi. Articolo 89, paragrafo 1, ad esempio, sottolinea la necessità di garanzie nelle attività di elaborazione dei dati a fini scientifici, storici o statistici scopi. Tali scopi “sono soggetti a garanzie adeguate, in conformità con questo regolamentazione, per i diritti e le libertà dell’interessato. ” Riduzione al minimo dei dati, anonimizzazione e la sicurezza dei dati è menzionata come possibile salvaguardia. L’anonimizzazione è la soluzione preferita non appena lo scopo della ricerca può essere raggiunto senza il trattamento dei dati personali.
156. La trasparenza è un’ulteriore salvaguardia quando le circostanze della ricerca non consentono un consenso specifico. La mancanza di una specifica finalità può essere compensata da informazioni sull’evoluzione della finalità fornite regolarmente dai responsabili del trattamento man mano che il progetto di ricerca procede in modo che, nel tempo, il consenso sia il più specifico possibile. In tal caso, l’interessato ha almeno una base comprensibile dello stato di avanzamento, permettendogli di valutare se utilizzare o meno, ad esempio, il diritto di revocare del consenso ai sensi dell’articolo 7, paragrafo 3.
157. Inoltre, avendo a disposizione un piano di ricerca completo di cui gli interessati possono prendere atto, prima del loro consenso, potrebbe aiutare a compensare la mancanza di specificazione delle finalità. Questo piano di ricerca dovrebbe specificare le domande di ricerca e i metodi di lavoro previsti nel modo più chiaro possibile. Il piano di ricerca potrebbe contribuire anche alla conformità con l’articolo 7, paragrafo 1, poiché i responsabili del trattamento devono mostrare quali informazioni fossero a disposizione degli interessati al momento del consenso per poter dimostrare che il consenso è valido.
158. È importante ricordare che laddove il consenso viene utilizzato come base legale per l’elaborazione, è necessaria la possibilità per l’interessato di revocare tale consenso. L’EDPB rileva che la revoca del consenso potrebbe minare quei tipi di ricerca scientifica che richiedono dati che possono essere collegati agli individui, tuttavia il GDPR è chiaro che il consenso può essere revocato ed i controllori devono agire su questo – non c’è esenzione da questo requisito per la ricerca scientifica. Se un titolare del trattamento riceve una richiesta di revoca, deve in linea di principio cancellare immediatamente i dati personali se desidera continuare ad utilizzare i dati per finalità della ricerca.

Diritti dell’interessato

159. Se un’attività di elaborazione dei dati si basa sul consenso dell’interessato, ciò influirà sui diritti di tale individuo. Gli interessati possono avere il diritto alla portabilità dei dati (articolo 20) quando il trattamento si basa sul consenso. Allo stesso tempo, il diritto di opposizione (articolo 21) non si applica quando il trattamento si basa sul consenso, sebbene il diritto di revocare il consenso in qualsiasi momento possa fornire un risultato simile.
160. Gli articoli da 16 a 20 del GDPR indicano che (quando l’elaborazione dei dati si basa sul consenso), gli interessati hanno il diritto alla cancellazione quando il consenso è stato revocato e nei diritti di restrizione, rettifica ed accesso.

Consenso ottenuto ai sensi della direttiva 95/46/CE

161. Responsabili del trattamento che attualmente trattano dati sulla base del consenso in conformità ai dati nazionali la legge di protezione non sono automaticamente tenuti ad aggiornare completamente tutte le relazioni esistenti consenso con soggetti interessati in preparazione per il GDPR. Il consenso, che è stato ottenuto, ad oggi continua ad essere valido nella misura in cui è in linea con le condizioni stabilite nel GDPR.
162. È importante che i responsabili del controllo riesaminino dettagliatamente i processi e le registrazioni attuali, prima del 25 maggio 2018, per essere sicuri che i consensi esistenti soddisfino lo standard GDPR (vedere il considerando 171 del GDPR72). In pratica, il GDPR innalza l’asticella per quanto riguarda l’attuazione dei meccanismi di consenso e introduce diversi nuovi requisiti che richiedono ai controllori di modificare i meccanismi di consenso, piuttosto che riscrivere le politiche sulla privacy da soli.
163. Ad esempio, poiché il GDPR richiede che un controllore sia in grado di dimostrare che è stato ottenuto un consenso valido, tutti i presunti consensi di cui non sono conservati riferimenti saranno automaticamente al di sotto dello standard di consenso del GDPR e dovranno essere rinnovati. Allo stesso modo, poiché il GDPR richiede un’esplicita dichiarazione o una chiara azione affermativa, tutti i presunti consensi basati su una forma più implicita di azione da parte dell’interessato (ad es. una casella di consenso predefinita) non saranno adatti allo standard di consenso GDPR.
164. Inoltre, per essere in grado di dimostrare che il consenso è stato ottenuto o per consentire una maggiore granularità le indicazioni dei desideri dell’interessato, le operazioni ed i sistemi IT potrebbero dover essere rivisti. Inoltre, devono essere disponibili informazioni e meccanismi per consentire agli interessati di revocare facilmente il proprio consenso ed esser fornite indicazioni su come revocarlo. Se le procedure esistenti per l’ottenimento e la gestione del consenso non soddisfano gli standard del GDPR, i controllori dovranno ottenere un nuovo consenso conforme al GDPR.
165. D’altra parte, poiché non tutti gli elementi di cui agli articoli 13 e 14 devono sempre essere presenti come condizione per il consenso informato, gli obblighi di informazione estesi ai sensi del GDPR non si oppongono necessariamente alla continuità del consenso, che è stato concesso prima dell’entrata in vigore del GDPR (vedi pagina 15 sopra). Ai sensi della direttiva 95/46/EC, non vi era alcun obbligo di informare le persone interessate in merito alla base su cui il trattamento veniva effettuato.
166. Se un controllore rileva che il consenso precedentemente ottenuto ai sensi della vecchia legislazione non rispetterà lo standard del consenso GDPR, allora deve intraprendere un’azione per conformarsi a tali standard, per esempio aggiornando il consenso in modo conforme al GDPR. Ai sensi del GDPR, non è possibile passare da una base legale ad un’altra. Se un titolare del trattamento non è in grado di rinnovare il consenso in modo conforme e non è nemmeno in grado di effettuare la transizione verso la conformità al GDPR basando il trattamento dei dati su una base legale diversa, garantendo nel contempo che il trattamento continuato sia equo e giustificato, le attività di elaborazione devono essere interrotte. In ogni caso, il titolare del trattamento deve rispettare i principi del trattamento lecito, equo e trasparente.