IL CONSENSO SPECIFICO

UNA TUTELA CONTRO IL “FUNCTION CREEP”

Il consenso dell’interessato rappresenta una delle basi giuridiche previste dal GDPR che rendono lecito il trattamento dei dati personali. Con specifico riferimento al consenso, il GDPR, rafforzando gli obblighi informativi a carico dei titolari e i principi che già lo caratterizzavano, ha di fatto determinato un aumento delle tutele dell’interessato. La nuova impostazione invita i titolari a rivedere i trattamenti in corso basati sul consenso così da verificarne la compatibilità con le regole introdotte dal GDPR, in particolare rispetto al principio di specificità del consenso

L’art. 4 n. 1 del GDPR definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. L’art. 6 ribadisce che il trattamento basato sul consenso è lecito soltanto nel momento in cui l’interessato “ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.

Come si può facilmente notare il GDPR, con riferimento al consenso dell’interessato, attribuisce rilevanza centrale al principio della specificità, che può ritenersi pienamente osservato soltanto qualora siano rispettate le seguenti condizioni:

  • le finalità del trattamento sono determinate e specificate prima della raccolta dei dati personali dell’interessato, quindi prima che il trattamento abbia inizio;
  • le richieste di consenso sottoposte all’interessato sono granulari. Infatti, se da una parte il titolare può definire liberamente le finalità che intende raggiungere con il trattamento, purché legittime, dall’altra si deve garantire all’interessato la possibilità di scegliere per quali finalità fornire i propri dati personali e quindi prestare il consenso solo per tali specifiche finalità;
  • le informazioni relative all’attività di trattamento che sono dirette ad ottenere il consenso da parte dell’interessato devono essere separate da tutte le altre informazioni che non riguardano specificatamente tale aspetto.

Il pieno rispetto di queste condizioni permette all’interessato di esercitare un certo grado di controllo dei propri dati personali e delle finalità del trattamento. In questo modo l’interessato potrà tutelarsi contro la cosiddetta “function creep”, ossia l’indebito ampliamento progressivo delle finalità del trattamento che potrebbe verificarsi dopo il consenso iniziale alla raccolta dei propri dati personali. In altre parole, il rispetto del principio di specificità impedisce al titolare di trattare i dati personali per finalità ulteriori e diverse rispetto a quelle rese note all’interessato o, addirittura nei casi più gravi, che gli stessi siano comunicati e trattati da soggetti terzi di cui l’interessato non ne conosce l’identità, le finalità e le modalità di trattamento.

Se il titolare intende trattare i dati personali ottenuti per un’ulteriore e diversa finalità dovrà chiedere e ottenere un nuovo consenso da parte dell’interessato, salvo i casi in cui esiste un’altra base giuridica legittima più appropriata rispetto alla situazione concreta.

18 marzo 2019

Il consenso specifico: una tutela contro la “function creep” ultima modifica: 2019-03-18T11:01:48+00:00 da admin

Post Correlati