GDPR: c’è chi dice no - MailUp...Proseguire la navigazione dopo aver visualizzato un banner che...

@mailupDal flusso dei dati all’azione

03.05.2018

Relatori:

Avv. Marco Maglio

Maria Giulia Ganassini

@mailup

GDPR: c’è chi dice no

@mailupC’è chi dice no

MARIA GIULIA GANASSINICOMMUNICATIONS MANAGER, MAILUP

linkedin.com/in/mgganassini

mailup

AVV. MARCO MAGLIOPRESIDENTE DELL’OSSERVATORIO EUROPEO SULLA DATA PROTECTION

linkedin.com/in/marcomaglio


DI CHE COSA PARLIAMO NEL WEBINAR DI OGGI?

Come si raccoglie il consenso al trattamento in base al GDPR?

Vediamo nel concreto cosa cambia rispetto al passato: non più caselle da barrare, ma manifestazioni di volontà libera,

specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso.

@mailupMailUp Seminar | Milano | 06.04.18


WORKSHOP: GDPR & DELIVERABILITY

11 maggio 2018

Milano, Spazio Copernico

mailup.it/workshop

2 posti rimasti


COME CAMBIA LA RACCOLTA

DEL CONSENSO?


IL CONSENSO È UNA DELLE BASI GIURIDICHE DEL TRATTAMENTO

Il consenso rientra tra le condizioni di liceità del trattamento, elencate dall’art. 6 del GDPR, e rappresenta il principale diritto di controllo, in capo all’interessato, per autorizzare il trattamento e per revocarlo – una volta accettato – in ogni momento senza ottenere pregiudizio.


DEFINIZIONE DEL CONSENSO

Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il

proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di

trattamento.

Come definisce il consenso l’art. 4 (11) del GDPR?


CARATTERISTICHE DEL CONSENSO

Il consenso deve essere quindi:

● Informato● Specifico● Libero● Inequivocabile, manifestato attraverso azioni positive

Solo in alcuni casi specifici è richiesto che il consenso sia esplicito cioè espresso con dichiarazioni orali o scritte.


IL CONSENSO INFORMATOIl consenso deve essere preceduto da una valida informativa. Solo fornendo agli interessati le giuste e chiare informazioni sul trattamento, sarà possibile per l’interessato capire quello che sta accettando e decidere consapevolmente se fornire il consenso o meno.

L’informativa, ai sensi dell’art. 13 e 14 del GDPR, deve contenere almeno l’indicazione di:

● L’identità del titolare● Le finalità del trattamento di cui si richiede il consenso● La natura dei dati trattati● L’esistenza del diritto di revoca● La presenza di trasferimenti dei dati in paesi extra UE in assenza di una decisione di

adeguatezza da parte della Commissione● La presenza di un processo decisionale automatizzato, compresa la profilazione,

l’elenco dei destinatari a cui i dati possono essere comunicati.


L’APPROCCIO DEL GDPR SULL’INFORMATIVASi dovrebbe tener conto che:• L’informativa può essere trasmessa nei media più diversificati (cartacea; web e mobile; messaggi di testo;

telefonica) e va tenuto in debito conto lo spazio utilizzabile, la leggibilità, l’estensione, la possibilità effettiva di collegare le informazioni

• Non solo testi più diretti e meno «tecnici»: in funzione del target a cui è destinata si dovrebbe fare il massimo sforzo per facilitare la migliore comprensione anche a particolari categorie (es. minori, età avanzate, soggetti con disabilità visive…)

• Utilizzare linguaggi anche diversificati e più adeguati al contesto di oggi, funzionali al coinvolgimento e ad una comprensione «rapida»

• Occorre disabituarci all’idea che l’Informativa sia un passaggio di «somministrazione una-tantum» (es. limitata al momento della raccolta): pensare ad un sistema che possa dispensare, lungo il ciclo di vita del rapporto con l’interessato, pillole di informativa che ricordino i fatti salienti dei trattamenti in corso


COSA VUOL DIRE «INFORMATO»?

Un valido consenso può essere fornito anche se non tutti gli elementi di cui agli artt. 13 e 14 del GDPR sono menzionati nell’informativa di riferimento.

L’importante è che questa informativa, che si può ritenere “minima”, rimandi ad un’informativa più estesa che integri la prima e che sia posizionata in un livello o luogo diverso: in questo caso, la priorità del titolare è la chiarezza ed immediatezza del contenuto a scapito, almeno in una prima fase, della completezza dell’informazione.

Elemento essenziale e indispensabile per rendere valido il consenso appare il principio di trasparenza che prevede l’uso di un linguaggio chiaro, semplice, comprensibile ad una persona di media cultura e facilmente accessibile.


IL CONSENSO SPECIFICO E «GRANULARE»Il Considerando 32 del GDPR recita: ”il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o per le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.”

L’interessato si dovrà trovare nella possibilità di accettare o rifiutare il consenso per ogni singola finalità prevista di trattamento.

Non è lecito raggruppare più finalità all’interno di un unico consenso poiché verrebbe, così facendo, a mancare la libertà di scelta dell’interessato: in questo caso, l’interessato sarebbe obbligato ad accettare in blocco o rifiutare tutte le finalità senza altre possibilità di scelta.

Per esempio non è corretto il comportamento di una azienda che, all’interno della stessa richiesta di consenso, chieda ai suoi clienti l’autorizzazione a trattare i loro dati sia per invio di email pubblicitarie sia per comunicare i dati ad altre società.


IL CONSENSO LIBEROL’elemento di libertà del consenso implica un pieno potere in capo all’interessato di scegliere se accettare o meno un trattamento senza ricevere condizionamenti e vincoli e senza ottenere conseguenze negative in caso di rifiuto a conferire i dati.

Per valutare se il consenso è liberamente prestato, l’art. 7 comma 4 prevede che: “(…..) si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.”

L’interessato dovrà prestare particolare attenzione quando , accanto ad una finalità per il trattamento di dati necessari all’esecuzione di un contratto, sia richiesto il consenso per dati ulteriori non necessari all’esecuzione del contratto.

Una circostanza che ricorre quando un titolare vuole condizionare l’accettazione di condizioni contrattuali al consenso per finalità di marketing: “ti fornisco un tale prodotto/servizio a condizione che accetti di ricevere le mie comunicazioni pubblicitarie”. Tale consenso è, quindi, invalido secondo il Regolamento europeo poiché viene a mancare il requisito della libertà del consenso.


IL CONSENSO INEQUIVOCABILEIl consenso è inequivocabile quando il titolare è in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali (art. 7 comma 1 del GDPR).

Per avere la certezza del consenso, pertanto, è necessario che il consenso si basi su una dichiarazione orale o scritta, svolta anche per via elettronica, comunque un’azione attiva, concludente. Di conseguenza, l’inattività e il silenzio non possono essere considerati un’indicazione attiva di scelta.

Il consenso deve essere precedente all’inizio del trattamento e deve essere somministrato una volta sola.

Si richiederà un nuovo consenso solo se cambiano le finalità del trattamento.


IL CONSENSO MEDIANTE AZIONI POSITIVEIl consenso è inequivocabile quando è frutto di azioni positive e documentabili.

Caso tipico di consenso espresso mediante azione positiva è quello relativo all’uso dei cookies.

Proseguire la navigazione dopo aver visualizzato un banner che avvisa dell’utilizzo di cookies è un classico caso di consenso manifestato mediante azioni positive.

Occorre essere in grado di dimostrare che l’interessato ha compiuto tale azione positiva.

Anche apporre un dato in un campo facoltativo di un form e inviarlo, se si è stati informati in modo chiaro e trasparente che quel dato sarà usato a fini di marketing è una forma di consenso inequivocabile.


LA PROVA DEL CONSENSOIn presenza di situazioni di rischio per la protezione dei dati – come i trattamenti di categorie particolari di dati, in materia di trasferimenti di dati verso paesi terzi in assenza di adeguate garanzie di cui all’art. 49 del GDPR o in presenza di processi decisionali tra cui la profilazione – il GDPR prevede che il consenso sia esplicito ossia che risulti da una manifestazione di pensiero espressa e non da comportamento concludente.

Tale elemento potrà essere ottenuto attraverso la forma scritta; online, l’interessato potrà fornire un consenso esplicito compilando un modulo elettronico, inviando di una e-mail, scansionando un documento che porti la firma dell’interessato o infine attraverso firma digitale o un processo di autenticazione a due fasi (email seguita da un SMS).

Anche l’uso di dichiarazioni orali potrebbe, di per sé, risultare valido per ottenere un consenso esplicito; tuttavia, potrebbe essere difficile per il titolare dimostrare la regolarità del trattamento (principio di accountability).


REVOCA DEL CONSENSOIl consenso può essere revocato in ogni momento e deve poter essere esercitato con facilità, senza impedimenti, utilizzando, se possibile, gli stessi canali usati per fornire il consenso (se il consenso è ottenuto attraverso mezzi elettronici, l’interessato deve poter revocare il consenso attraverso la stessa interfaccia elettronica).

L’esercizio è gratuito e a forma libera.

La revoca del consenso dell’interessato comporta, in capo al titolare, l’obbligo di cancellare i dati o trasformarli in forma anonima, sempre che il trattamento non possa poggiare su altra base giuridica.


DOMANDE?

GDPR: c’è chi dice no - MailUp...Proseguire la navigazione dopo aver visualizzato un banner che...

Documents

Transcript of GDPR: c’è chi dice no - MailUp...Proseguire la navigazione dopo aver visualizzato un banner che...