lunedì 2 luglio 2018

Consenso e Informativa nel nuovo GDPR


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Seppur debba essere un consenso pieno e quindi “informato”, quello di cui al GDPR è solo ed esclusivamente il consenso al trattamento dei Dati Personali e sensibili che vengono forniti ad enti pubblici o privati per lo svolgimento delle loro attività. Niente a che vedere con il consenso informato rilasciato a un medico o un avvocato per l’esercizio del loro incarico. Il GDPR infatti si occupa solo ed esclusivamente delle attività di raccolta, trattamento e conservazione di dati personali, senza entrare nel merito delle singole attività.

Nei suoi 173 “Considerata” e nei 95 articoli che lo compongono, il Regolamento Generale Protezione Dati (GDPR), si occupa in maniera esaustiva e puntuale del consenso dell’Interessato al trattamento dati personali e sensibili e, conseguentemente, dell’informativa che deve essere fornita dal Titolare del trattamento stesso.

In un sistema che vede l’Interessato quale figura maggiormente tutelata, anche quale titolare di diritti ben individuati, è logico che il legislatore europeo abbia voluto porre una particolare attenzione alla sua tutela sia nella fase di Trattamento vero e proprio, sia in quella antecedente alla raccolta dati, ma anche alla consapevolezza con precisi obblighi a carico dei Titolari. Alcuni dubbi interpretativi che sembrano sorgere dalle traduzioni potranno essere chiariti quando le normative nazionali saranno emanate e, possibilmente, allineate, ma è chiaro dallo spirito della norma che le prescrizioni sono obblighi per tutti i destinatari: i singoli Stati e gli operatori.
Ad esempio al numero 32 dei considerata nella versione inglese si legge: "Consent should be given by a clear affirmative act". Si usa un condizionale che si trova anche nella versione italiana. Ma è chiaro che, al momento della prestazione del consenso, l’interessato “dovrà” prestare il proprio consenso in maniera chiara, con un atto dal contenuto inequivocabile, in forma scritta, digitale o, laddove possibile, orale con i chiari limiti che questa modalità comporta. L’Interessato dovrà quindi esprimere in forma chiara il proprio consenso al Trattamento, ma solo dopo essere stato informato compiutamente dal Titolare e aver ricevuto una serie di elementi dettagliati negli articoli 13 e 14 del regolamento (nei quali viene dettagliato escplicitamente quali debbano essere le informazioni che il Titolare del Trattamento Dati dovrà fornire all’interessato). Non solo: il Titolare dovrà fornire anche tutte le comunicazioni che, secono le prescrizioni degli artt. dal 15 al 22, dettaglieranno i diritti che l'Interessato potrà esercitare nell'ambito del Trattamento.

Premesso che il Trattamento deve comunque rispondere ai requisiti di liceità come disciplinato dall’art. 6 GDPR,  è particolarmente significativo questo aspetto in cui, rispetto alla precedente normativa 196/2003, è il Titolare del Trattamento che deve, fra gli altri elementi, fornire dati rilevanti quali:
  • l'identità e i dati di contatto del Titolare del Trattamento e, laddove possibile, anche di un suo rappresentante;
  • i dati riguardanti il responsabile al Trattamento (DPO);
  • le finalità e i termini del trattamento stesso;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
Sembra quindi un controsenso che tutti questi elementi debbano essere forniti in maniera chiara, concisa e trasparente, in maniera intelligibile e di facile accesso. Ma in una disciplina che pone al suo centro la figura dell’Interessato, appare una scelta inevitabile.
Rilevando peraltro come il termine “informativa” non sia contenuto nel Regolamento, questa dovrà comunque essere necessariamente predisposta dal Titolare e contenere tutte le indicazioni richieste in maniera concisa, trasparente, intelligibile per l´interessato e facilmente accessibile. Per i minori occorre prevedere non solo informative idonee ai fini di una loro più completa tutela, ma anche, e di certo questo è aspetto singolare, comprensibili anche a loro. Prendendo probabilmente atto e coscienza che i minori sono spesso al di fuori del controllo delle famiglie e costantemente in contatto (mediante dispositivi elettronici e/o con l’utilizzo dei social) con soggetti che entrano nella disponibilità dei loro dati personali, il GDPR pare voler sensibilizzare queste categorie di Titolari ad una maggiore attenzione nella predisposizione delle loro informative e raccolta del consenso da parte di una delle categorie maggiormente esposte.  

Nessun commento:

Posta un commento