Il consenso unico (o “cumulativo”) per più di un tipo di trattamento dei dati personali viola il GDPR e la privacy degli utenti europei.
Non è raro che, in ritardo rispetto alle normative europee 2018-2019, tante aziende e piattaforme online richiedano ancora un unico consenso per più trattamenti, violando così la privacy dei propri clienti e utenti.
Il consenso al trattamento dei propri dati deve infatti essere libero, volontario, specifico e informato, e ciò vale per ciascun caso: diverse finalità di trattamento non possono essere accorpate in un’unica richiesta di consenso.
Un caso molto comune è ad esempio quello in cui all’utente sia richiesta un’unica spunta per l’accettazione dei termini di utilizzo del servizio e per il trattamento dei suoi dati personali. Ciò va contro le normative vigenti per due motivi:
Ecco le finalità più comunemente (ed erroneamente) accorpate:
L’unico caso in cui è possibile richiedere un unico consenso all’utente è quello in cui la raccolta e il trattamento dei dati sono normati su basi giuridiche, ad esempio per l’adempimento di obblighi contrattuali (come avviene per le forniture di gas, energia elettrica etc.).
In tutti gli altri casi i consensi devono essere chiaramente separati.
Gli unici dati che il cliente o l’utente è tenuto a fornire sono quelli strettamente necessari per la fornitura del servizio. Qualsiasi consenso ulteriore/secondario deve essere facoltativo e del tutto svincolato da quello principale, e l’eventuale rifiuto non deve compromettere in alcun modo la fornitura del servizio richiesto.
In caso di consenso obbligato, l’autorità privacy può vietare qualsiasi trattamento secondario di dati e multare la società responsabile obbligandola ad allineare alle norme tutte le successive informative.
In caso di controversia, il consenso unico o cumulativo viene quindi considerato nullo.
Una grande responsabilità nel funzionamento di questo meccanismo è comunque detenuta dagli utenti, che devono in prima persona tutelare la propria privacy e i propri diritti. In caso di richieste di consenso illecite è possibile mandare una segnalazione al Garante per la protezione dei dati personali, ed è sempre consigliabile orientare le proprie scelte di consumo verso società e piattaforme sensibili all’applicazione delle norme GDPR.