Abuso della sua fattispecie dopo i primi due anni di implementazione 16/679 – GDPR
Il consenso al trattamento è per così dire la base giuridica ed espressione del diritto di autodeterminazione informata. In particolare con esso si può manifestare il controllo da parte dell’interessato (i.e. ovvero la persona fisica identificata o identificabile alla quale fanno riferimento i dati) per tutta quella fattispecie di trattamenti che lo prevedono.
Esso deve essere: informato, libero, specifico, inequivocabile ed espresso ed in particolare non deve difettare del principio di inequivocabilità.
Resta come caposaldo di questa base giuridica la sua libertà di manifestazione ed è importante anche sottolineare l’aspetto della concludenza dell’azione (i.e. consenso implicito) da parte dell’interessato come ad esempio la prosecuzione della navigazione in accettazione di cookie di un sito, che comunque non esula dal principio di obbligo di informativa.
Non c’è specificazione se esso debba essere scritto, per cui anche il consenso verbale non è escluso dalla normativa vigente, così come la stessa informativa può appunto anche essere resa verbalmente.
Saper distinguere la vera natura del consenso è il mio personale consiglio agli utenti.
Si tratta di un’azione positiva nella sua identità statica (Privacy e Protezione e Trattamento Dati Personali, Federprivacy, 2020, pag. 70). L’azione negativa invece è tutto ciò che il consenso non è.
La prova del consenso deve essere detenuta dal Titolare del Trattamento ai sensi dell’art. 7 par. 1 del GDPR. Il titolare deve infatti essere in grado di fornirne prova documentata. In generale dovrebbe essere scritta ed in questo caso il tutto sembra collimare con la peculiarità della manifestazione verbale.
Può essere inoltre revocato in maniera unilaterale. Proprio l’unilateralità è caposaldo dell’atto ricettizio della revoca.
In questo periodo di nuova implementazione giuridica si è fatta molta confusione con la circolazione di informative varie, per cui inizialmente il consenso era utilizzato come base giuridica senza se e senza ma, anche laddove non fosse necessario.
Qualora vi trovaste di fronte alla richiesta di manifestare il consenso, anche se questo non fosse necessario, il consiglio è di rivolgervi al Vs. consulente. Tale, per così dire abuso, deve essere contrastato con la corretta assegnazione delle basi giuridiche del trattamento previste dall’art. 6 del GDPR 16/679.
L’avviso ai naviganti è quello di prestare la massima attenzione a questa particolare base giuridica nonché di leggere il documento con attenzione, informandosi dal proprio consulente e sottoponendosi alla formazione in materia che è obbligatoria.
A cura di:
Amedeo Leone | Security Consultant