Visions

Nuovo Regolamento UE Privacy: Parte 9 – Consenso “rafforzato” o vittoria per i “Cookie”?

sure-538718_1280

Dopo un lungo e tortuoso percorso, in data 14 aprile, il Parlamento ha adottato il nuovo pacchetto di riforma sulla protezione dei dati, e continua anche il nostro viaggio tra le nuove regole dell’economia digitale non solo per l’Europa, ma anche per tutti coloro che vorranno lavorare con il vecchio continente.

Il Consenso, insieme all’Informativa, è da sempre stato uno dei pilastri portanti su cui si erge l’intero quadro giuridico della Data Protection, e non poteva essere diversamente anche per il Europeo in materia di Protezione dei Dati. E proprio per questo suo ruolo centrale, il Consenso sarà il tema anche dei prossimi articoli che approfondiranno altri suoi aspetti tra i quali la nuova caratteristica dell’Inequivocabilità, i casi di esclusione del Consenso, una maggiore protezione per i minori, e il rapporto tra Consenso e Profilazione.

In questi quattro anni si è sempre parlato di un nuovo e rafforzato Consenso, ma sarà davvero così?

Per Consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’Interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”, questa è la definizione prevista dal GDPR.

Il Consenso non può essere quindi imposto quale necessario quando non lo è, non può essere obbligatorio quando non indispensabile ad esempio per la fruizione di un servizio on line gratuito, in tal senso tale pilastro portante della Data Protection deve essere inteso quale libero.

Per ogni diversa finalità di trattamento si rende necessario richiedere e ottenere altrettante autorizzazioni affinché i dati raccolti possano essere utilizzati, pertanto consensi specifici per ogni finalità di trattamento che si intende perseguire.

Se la raccolta dei dati personali è finalizzata ad esempio alla gestione di una richiesta di preventivo e tra le finalità esplicitate nella Informativa si intende anche inoltrare a quel richiedente alcune comunicazioni promozionali, si renderà necessario “richiedere” due distinti Consensi: il primo per il Preventivo, che ovviamente nella fattispecie è obbligatorio, mentre il secondo per il Marketing, per il quale si dovrà richiedere un altro consenso facoltativo e specifico, non obbligatorio quindi, non già preselezionato e soprattutto non attraverso la richiesta di un unico Consenso onnicomprensivo per tutte le finalità che si vorrebbero perseguire (Preventivo e Marketing in questo caso).

Il Consenso dovrebbe applicarsi quindi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il Consenso dovrebbe essere pertanto prestato per tutte queste differenti finalità.

Il Consenso deve essere sempre manifestato in presenza di una adeguata Informativa mediante la quale l’Interessato viene portato a conoscenza, ad esempio, di quale soggetto utilizzerà i propri dati e soprattutto per quali finalità saranno trattati. Per tale ragione, il Consenso per essere legittimamente raccolto dovrà essere anche informato.

Il Consenso dovrebbe essere espresso inoltre mediante un’azione positiva inequivocabile, quindi non ambigua, con la quale l’Interessato manifesta l’intenzione di accettare che i propri dati personali vengano trattati, ad esempio tramite una dichiarazione scritta, anche attraverso mezzi elettronici, o verbale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’Interessato autorizzi il trattamento proposto. Non dovrebbe pertanto configurare Consenso il silenzio, l’inattività o la preselezione di caselle.

E fino a qui tutto sommato nessuna grande novità rispetto all’attuale quadro giuridico in vigore. Anche la stessa manifestazione del Consenso per il tramite di un’azione positiva, il c.d. Comportamento Concludente, è già prevista nel nostro ordinamento, introdotta ufficialmente proprio in occasione del recepimento della c.d. Law, anche se in realtà si potrebbe equiparare ad un’azione positiva anche la stessa iscrizione ad una newsletter tramite specifico e inequivocabile form inserendo il solo indirizzo mail e senza Consenso specifico, che peraltro rientra attualmente tra i casi di esclusione dello stesso in quanto la finalità di conferimento e trattamento dei dati è coincidente.

Ma in realtà proprio in quest’ultimo ambito arriva la prima grande novità: se il Consenso dell’Interessato è richiesto attraverso mezzi elettronici, la richiesta rimane chiara e concisa, ma non dovrebbe interferire immotivatamente con il servizio per il quale lo stesso Consenso è espresso.

E tale novità avrà sicuramente un forte impatto sul nostro Provvedimento in materia di Cookie che proprio in merito al c.d. Banner di Consenso, in realtà, richiede che sia ben visibile e posizionato in modo tale da creare una sorta di discontinuità con la stessa pagina alla quale si sta accedendo, addirittura utilizzando caratteri ed effetti che risaltino lo stesso banner ponendo in secondo piano gli stessi contenuti della pagina web.

Schermata 2016-04-26 alle 22.11.04

In realtà con il nuovo GDPR non sarà più così, forse è proprio uno dei pochi punti davvero chiari e senza ombra di dubbio alcuno. Il Consenso richiesto in modalità elettronica non dovrà disturbare “inutilmente” il servizio per il quale lo stesso Consenso è richiesto.

Ci si potrà avvalere, quindi, di banner posizionati a titolo esemplificativo in fondo alla pagina web che con elevata probabilità difficilmente saranno visti dalla stragrande maggioranza degli utenti e tramite anche il solo scroll-on della pagina o un click direttamente sul link di interesse (casi di azione concludente attualmente tra quelli previsti) manifesteranno un Consenso senza neanche rendersene minimamente conto.

Di difficile comprensione il rapporto tra Consenso “chiaro-conciso” e il “non disturbare inutilmente la navigazione”: nuovo paradigma alquanto contradittorio, non trovate?

Se di Consenso se ne è sempre parlato come “rafforzato”, è doveroso l’utilizzo delle stesse virgolette, poiché nel web di sicuro non lo è, immaginabile pensare diversamente?

Al termine della sessione parlamentare post approvazione del nuovo GDPR, tra le prime dichiarazioni, il nuovo Regolamento è stato presentato come una vittoria della Data Protection sui colossi del Web, ma ne siamo davvero sicuri?

Francesco Traficante

Francesco Traficante

Data Protection Officer e Consulente Privacy Certificato ISO 17024 Bureau Veritas e TÜV Italia. Founder e CEO di MicroEll s.r.l. , soluzioni IT, consulenza e formazione in materia privacy, information security management, sicurezza IT e reati informatici.
Laureato in Scienze Politiche ad indirizzo Data Protection Officer e Privacy Specialist.

Facebook Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This