Requisiti chiave del GDPR e come adeguarsi
Requisiti chiave del GDPR e come adeguarsi.
Basi giuridiche del trattamento
Ai sensi del GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento.
Segue un elenco delle possibili basi giuridiche del trattamento:
- L’utente ha prestato il proprio consenso per una o più specifiche finalità;
- Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
- Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
- Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
- Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
- Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.
Consenso
Al fine di effettuare un’attività di trattamento dei dati, l’organizzazione deve ottenere un consenso inequivocabile da parte degli utenti.
Nel caso di utenti minori, l’organizzazione è tenuta ad ottenere un consenso verificabile da parte di un genitore o tutore del minore, a meno che il servizio offerto non sia di prevenzione o consulenza. L’organizzazione deve altresì compiere sforzi ragionevoli (utilizzando ogni tecnologia disponibile) per verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore.
In generale, al fine di ottenere il consenso al trattamento dei dati, l’organizzazione non può utilizzare termini eccessivamente complicati o indecifrabili. Ciò include il linguaggio giuridico, nonché l’uso di un gergo tecnico superfluo.
Per queste ragioni, le privacy policy devono essere redatte in modo leggibile, utilizzando un linguaggio e delle clausole comprensibili, in modo che gli utenti siano pienamente consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso.
Il regolamento vieta espressamente il ricorso a checkbox preselezionate
Le organizzazioni devono essere trasparenti in merito alle finalità della raccolta dei dati e il consenso deve essere “esplicito e libero”. Ciò significa che la modalità di acquisizione del consenso deve essere inequivocabile e prevedere una chiara azione di “opt-in” (il regolamento vieta espressamente il ricorso a checkbox preselezionate o ad altre metodologie alternative di “opt-out”). Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento.
Registro dei consensi
Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso; in caso di problemi, l’onere della prova è a carico del titolare del trattamento, quindi la tenuta di un registro accurato è vitale.
Il registro dovrebbe includere:
- chi ha fornito il consenso;
- quando e come è stato acquisito il consenso del singolo utente;
- il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
- un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.
Seguono degli esempi di archiviazione conforme o non conforme dei consensi.
| Archiviazione non conforme | Archiviazione conforme |
|---|---|
| Tenere semplicemente un foglio con i nomi degli utenti e un’indicazione sul conferimento o meno del consenso | Conservare una copia del modulo compilato dall’utente, che mostra l’azione intrapresa dallo stesso per prestare il consenso a specifici trattamenti |
| Annotare semplicemente la data e l’ora in cui il consenso è stato prestato, associate all’indirizzo IP dell’utente e ad un link alle pagine che ospitano il modulo compilato dall’utente e la privacy policy | Conservare delle informazioni complete che includano un identificativo univoco dell’utente insieme con la data – certificata con marca temporale – in cui il modulo è stato compilato e ad una copia della versione del modulo stesso e dei documenti legali utilizzati nel momento in cui l’utente ha prestato il consenso |
Mantenere un registro conforme, per quanto obbligatorio, può rivelarsi una sfida dal punto di vista tecnico. La nostra Consent Solution semplifica questo processo permettendoti di registrare, gestire ed esportare facilmente le prove del consenso per ogni tuo utente.
Avvertenza sul consenso: il consenso non è la sola base giuridica per effetto della quale un’organizzazione può trattare i dati degli utenti, ma è solo una delle “basi giuridiche” del trattamento. Ai sensi del GDPR, le organizzazioni possono dunque avvalersi anche di altre basi giuridiche del trattamento (tuttavia, è meglio affidarsi ad un avvocato per determinare se la tua organizzazione possa o meno avvalersi di un’altra base giuridica). Ciò premesso, è bene chiarire che per alcune attività di trattamento dei dati il consenso resta comunque la soluzione migliore, se non l’unica strada percorribile.
Sempre in materia di consenso, un’altra normativa europea che merita di essere menzionata è la Direttiva ePrivacy (nota anche come Cookie Law). Si tratta infatti di una legge ancora applicabile in quanto non abrogata dal GDPR. In futuro, la Direttiva ePrivacy sarà sostituita dal Regolamento ePrivacy che, in quanto tale, lavorerà a fianco del GDPR. Il nuovo Regolamento ePrivacy dovrebbe comunque mantenere invariate le disposizioni della precedente direttiva.
La Cookie Law richiede il consenso informato degli utenti prima di installare cookie sui loro dispositivi e di iniziare il tracciamento.
In estrema sintesi, la Cookie Law richiede il consenso informato degli utenti prima di installare cookie sui loro dispositivi e di iniziare il tracciamento.
fonte: Iubenda.com