Protezione dei dati personali - Appunti

Diritto di revoca del consenso secondo il GDPR

1) Secondo il GDPR (Regolamento Generale sulla Protezione dei Dati), l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.

2) La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prestato prima della revoca.

3) I dati che sono già stati trattati prima della revoca del consenso non sono influenzati dalla revoca stessa. La revoca del consenso ha effetto solo per il futuro e non retroattivamente.

4) Il trattamento dei dati successivo alla revoca sarà considerato lecito solo se sussistono altre basi giuridiche per il trattamento. In caso contrario, sarà considerato illecito.

5) Il consenso può essere revocato con la stessa facilità con cui è stato accordato e non è possibile rendere più complessa la revoca del consenso una volta accordato.

6) Nella valutazione della libertà del consenso prestato, si tiene in considerazione, tra le altre cose,

che tu acconsenta a fornire. In questi casi, è importante valutare se il consenso è stato dato liberamente o se è stato ottenuto in modo coercitivo o manipolativo. Per esempio, potrebbe essere richiesto il consenso al trattamento dei dati personali per scopi di marketing o per la condivisione dei dati con terze parti. Se tale consenso non è necessario per l'esecuzione del contratto o del servizio specifico, è fondamentale verificare che il consenso sia stato dato in modo volontario e informato. In conclusione, è importante prestare attenzione al fatto che il consenso al trattamento dei dati personali non necessario all'esecuzione di un contratto o di un servizio possa essere richiesto in modo corretto e che sia stato ottenuto in modo libero e consapevole.

avere per altre finalità.

Requisiti del consenso al trattamento

• Capacità
• Inequivocabilità
• Informatezza (obblighi di informazione)
• Specificità
• Libertà

22 ottobre

Capacità (articolo 8 GDPR) – Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

1. Qualora il consenso è base e condizione di liceità del trattamento, per quanto riguarda l'offerta diretta di servizi della società dell'informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un'età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un'età inferiore a tali fini purché non inferiore ai 13 anni.
2. Il

titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.

3) Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l'efficacia di un contratto rispetto a un minore. Il minore certe cose non può farle per sua tutela. Quanto stabilito in materia di prestazione del consenso, non pregiudica la disciplina generale che i vari Stati membri possono prevedere in maniera contrattuale.

Articolo 2-quinquies cod.privacy – Consenso del minore in relazione ai servizi della società dell'informazione.

1) Il legislatore italiano dà attuazione al margine lasciato dal GDPR. Il minore che ha compiuto 14 anni può esprimere il consenso al trattamento dei propri dati personali in relazione

ai servizi della società dell'informazione.all'offerta diretta di servizi della società dell'informazione. ²) È importante la chiarezza nell'informazione che precede il consenso, ma affinché il consenso del minore sia giuridicamente rilevante, sarà necessario che il linguaggio sia particolarmente chiaro e semplice, conciso e facilmente accessibile e comprensibile. ^{Articolo 1, par.1, lett b, direttiva 2015/1535} Servizio della società dell'informazione: qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Se si tratta di un servizio non destinato ai minori, bensì destinato ad altri soggetti maggiorenni, la disciplina che abbiamo visto dettata dall'articolo 8 e 2-quinques cod privacy, non si applicherà. ^{Gruppo articolo 29, Linee guida sul consenso} Il regolamento non prevede modalità pratiche per dare il consenso. Il gruppo propone un approccio proporzionato, comeper esempio il concentrarsi sull'ottenimento di una quantità limitata di informazioni, ad esempio i dettagli di contatto di un genitore o del tutore. Rischi del trattamento: nei casi a basso rischio, può essere sufficiente la verifica della responsabilità genitoriale a mezzo posta elettronica. Nei casi ad alto rischio invece possono essere richieste ulteriori prove. Considerando 38: il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o consulenza forniti direttamente a un minore. Inequivocabilità Art 4, n11: la manifestazione della volontà deve essere inequivocabile, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento. Art 7, par 2: se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni,

La richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile. (stesso articolo che abbiamo visto nelle condizioni per il consenso, infatti art 7).

Considerando 32: il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere una selezione apposita di una casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione, ecc. Non dovrebbe pertanto configurare consenso il silenzio, la preselezione di caselle o l'inattività. Se il consenso dell'interessato è richiesto via mezzi elettronici, la richiesta deve essere chiara.

Gruppo

Articolo 29

Dichiarazione scritta o orale;

Azione positiva inequivocabile: la prosecuzione sul sito NON la è, serve la

spunta sulla casella da parte dell'utente.

Specificità (articolo 6, par 1)

L'interessato ha espresso il consenso al trattamento dei propri dati personali

per una o più specifiche finalità.

Gruppo articolo 29:

Per rispettare l'elemento della specificità, il titolare deve applicare:

• La specificazione delle finalità come garanzia contro la "function creep",
• ossia l'estensione indebita delle funzionalità;
• La granularità nelle richieste di consenso;
• Una chiara separazione delle informazioni sull'ottenimento del consenso per le attività di trattamento dei dati rispetto alle informazioni su altre questioni.

Garante privacy:

È necessario un consenso specifico per ciascuna delle varie finalità. Può capitare che vi sia un'esigenza, per

perseguire una finalità, dieseguire più attività; in questo caso è possibile l'acquisizione di un unico consenso.

Libertà Gruppo articolo 29 - Consenso libero: quando un consenso è davvero libero? Il consenso libero implica che l'interessato abbia una scelta effettiva e un controllo sui propri dati. Se l'interessato non ha una scelta effettiva e si sente obbligato, il consenso non è definibile libero perché non sarà frutto di una scelta effettiva.

Non sono ammessi i vizi del consenso (errore, violenza, dolo, stato di pericolo, stato di bisogno);

Consenso informato e specifico;

Consenso prestato in una situazione di serenità e ponderatezza;

No squilibrio di potere;

L'interessato deve avere un'alternativa (problema della condizionalità).

Squilibrio di potere Considerando 43: quando il titolare del trattamento è un'autorità pubblica, ciò rende pertanto

improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. Vi è squilibrio di potere; in qualsiasi caso, è possibile provare il contrario. (Aggiungiamo il concetto di granularità) Il consenso non è stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso. Gruppo articolo 29: lo squilibrio di potere sussiste anche nel contesto dell'occupazione. Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l'interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto. (Aggiungiamo il concetto di granularità) Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la prestazione del consenso potrebbe essere quella di richiedere un consenso separato per ciascuna finalità specifica.validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell'ottenimento del consenso per ciascuna di esse. Condizionalità (articolo 7 par 4, l'abbiamo visto sopra): il consenso non deve essere considerato liberamente prestato se l'interessato non è in grado di operare una scelta autenticamente libera o nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. Considerando 42: si presume che il consenso non sia stato liberamente prestato se l'esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione. Condizionalità, la presenza sul mercato di un servizio equivalente fornito da soggetti diversi rende il consenso libero? Il consenso è da ritenersi libero?