3 cose da sapere se vuoi trattare dati personali nel rispetto del GDPR

In questo articolo affronteremo in maniera sintetica il Consenso ai fini del GDPR. Vedremo in particolare:

 

Che tu sia un imprenditore, un commerciante o un professionista, nell’ambito del tuo lavoro hai quasi certamente la necessità di trattare dati personali per offrire un servizio, un prodotto, una consulenza.
Ma se non hai ben chiaro il “perimetro” in cui muoverti, è fin troppo facile incappare in una violazione del Regolamento europeo (GDPR).
Questo breve articolo può aiutarti a ridurre il rischio di errori, contestazioni e sanzioni, affrontando un argomento poco conosciuto ma di fondamentale importanza: la corretta raccolta e gestione del consenso al trattamento dati.

1. Cos’è il consenso

L’articolo 4, punto 11, del Regolamento UE 2018/679 sulla protezione dei dati definisce il consenso dell’interessato come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Quando per un trattamento è necessario il (previo) consenso dell’interessato, la richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Ricorda che, in caso di richiesta da parte delle autorità preposte o dell’interessato dovrai essere in grado di dimostrare che il consenso è stato effettivamente prestato.

2. Cosa si intende con Gestione del consenso?

La gestione del consenso consiste essenzialmente nel permettere ai tuoi utenti di esercitare il loro diritto alla privacy.

Un sistema di gestione del consenso sarà quindi strutturato per:

  • Richiedere il consenso comunicando in maniera inequivocabile all’interessato a cosa esso si riferisce e come verranno utilizzati i dati raccolti,
  • Bloccare ogni attività di trattamento dei dati personali fino a quando non è stato raccolto un apposito consenso,
  • Conservare in modo sicuro i consensi raccolti per poter documentare quando e come ogni consenso è stato ottenuto,
  • Consentire agli interessati di poter ritirare il loro consenso in qualsiasi momento.

3. Quali obblighi devo assolvere per gestire correttamente i consensi?

Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso; in caso di contestazione, l’onere della prova è a carico del titolare del trattamento, quindi la tenuta di un registro accurato è vitale.

Il registro dovrebbe includere:

  • chi ha fornito il consenso;
  • quando e come è stato acquisito il consenso del singolo utente;
  • il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
  • un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.

Se per la tua attività devi registrare e documentare pochi consensi può essere sufficiente mantenere un foglio di calcolo o un documento di testo. Un numero più elevato di consensi da gestire (centinaia o addirittura migliaia) è un’operazione impossibile da fare a mano, dispendiosa in termini di tempo e fonte di possibili violazioni. In questo caso è utile dotarsi di una Consent Management Platform (qui trovi una breve panoramica informativa).

Se offri servizi di consulenza, finanziari, assicurativi, è indispensabile che i consensi siano raccolti prima di iniziare qualsiasi trattamento di dati personali, a maggior ragione per i dati particolari, e poter documentare nel tempo una corretta gestione dei consensi raccolti, nel rispetto del Regolamento Ue 2016/679 (articolo 7).
Senza un adeguato supporto informatico, il mantenimento di un archivio consensi può diventare molto impegnativo, fonte di errori e potenziali violazioni del GDPR. In questo caso una soluzione per la gestione dei consensi (consent solution) diventa indispensabile.
Microteam ha sviluppato una Consent Management Platform per la gestione del ciclo di vita dei consensi, conforme al GDPR e che può essere usata anche in mobilità. Verifica in ogni momento se hai già ottenuto dall’interessato i consensi privacy oppure raccoglili in tempo reale. Scopri di più cliccando qui.
Riepilogando

Il titolare del trattamento dei dati deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere chiaramente distinta da altre richieste, essere formulata in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Se per il trattamento è necessario raccogliere il consenso, il titolare deve essere in grado di dimostrare come e quando è stato effettivamente prestato.

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.

Hai suggerimenti? Vuoi condividere la tua esperienza? Commenta l’articolo qui sotto!