Il regolamento generale sulla protezione dei dati (GDPR) definisce il consenso come quella manifestazione di volontà con la quale l’interessato esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano. L’assenso può essere conferito anche attraverso mezzi elettronici (ad esempio la selezione di un’apposita casella in un sito web). Il soggetto che conferisce il consenso deve avere la capacità giuridica per farlo. Ai sensi del GDPR il consenso deve essere fornito in maniera specifica, libera, inequivocabile, deve essere informato, verificabile e revocabile.
Qualora il trattamento abbia più finalità, il consenso deve essere prestato per ciascuna di esse. Ci sarà sicuramente capitato nella firma di un consenso di dover scegliere se opzionare o meno più di un’attività (autorizzazione trattamento dati per la corretta esecuzione del contratto, per l’invio di comunicazioni commerciali …).
Il consenso deve essere revocabile in qualsiasi momento senza la necessità di motivare la scelta; a seguito della revoca il trattamento deve interrompersi, a meno che non sussista una differente base giuridica per continuare il trattamento stesso (ad es. laddove il consenso sia prestato alla banca nell’ambito della concessione di un mutuo non potrà essere revocato almeno fino alla durata del contratto stesso). Il titolare del trattamento dei dati dovrebbe predisporre una procedura per la cancellazione analoga a quella creata per concedere il consenso. Come revocarlo? E’ possibile farlo inviando una comunicazione scritta o tramite e-mail, ai contatti indicati nel sito all’interno dell’informativa, o tramite un apposito form presente sul sito del titolare del trattamento.
Alla revoca consegue il diritto di cancellazione, per cui l’azienda o comunque il titolare del trattamento deve cancellare i dati dell’utente, a meno che, come detto, non esista una differente base giuridica per conservare alcuni dati (altro es. trattamento dei dati sanitari). In ogni caso il titolare può avvertire l’interessato che a seguito della revoca del consenso, la conseguente cancellazione dei dati impedirà il prosieguo di fornitura di ulteriori servizi.
Il GDPR non prevede un termine di durata del consenso, ma certamente non potrà durare per sempre. Pertanto occorre che l’interessato sia informato della durata della conservazione (e quindi del trattamento) del dato, scaduta la quale il dato andrà anonimizzato oppure cancellato.
Nel caso in cui il titolare non ottemperi, ci si può rivolgere al Garante o al tribunale per la tutela dei propri diritti.
Realizzato da avv. Enrica Tosi, consulente Federconsumatori Rimini a.p.s.. Realizzato con i fondi del Ministero Sviluppo Economico. Riparto 2020.
