Privacy: no al consenso unico per più di un trattamento

Privacy: no al consenso unico per più di un trattamento

Privacy: no al consenso unico per più di un trattamento

Il consenso unico (o “cumulativo”) per più di un tipo di trattamento dei dati personali viola il GDPR e la privacy degli utenti europei.

Non è raro che, in ritardo rispetto alle normative europee 2018-2019, tante aziende e piattaforme online richiedano ancora un unico consenso per più trattamenti, violando così la privacy dei propri clienti e utenti.

Il consenso al trattamento dei propri dati deve infatti essere libero, volontario, specifico e informato, e ciò vale per ciascun caso: diverse finalità di trattamento non possono essere accorpate in un’unica richiesta di consenso.

Un caso molto comune è ad esempio quello in cui all’utente sia richiesta un’unica spunta per l’accettazione dei termini di utilizzo del servizio e per il trattamento dei suoi dati personali. Ciò va contro le normative vigenti per due motivi:

  • Il consenso così ottenuto non è considerato libero, perché espresso forzatamente (pena il non poter usufruire del servizio)
  • Il consenso non rispetta le regole di specificità, cioè non riguarda un’unica e specifica finalità di trattamento dati, come stabilito dall’art. 7 del GDPR, e più volte ribadito dal Garante della Privacy nella gestione di controversie avvenute anche nel nostro Paese

 

Consenso specifico per ogni trattamento

Ecco le finalità più comunemente (ed erroneamente) accorpate:

  • Trattamento dei dati per profilazione interna alla società
  • Trattamento dei dati per invio di materiali promozionali e di marketing
  • Cessione dei dati a terzi
  • Trasferimento dei dati all’estero

L’unico caso in cui è possibile richiedere un unico consenso all’utente è quello in cui la raccolta e il trattamento dei dati sono normati su basi giuridiche, ad esempio per l’adempimento di obblighi contrattuali (come avviene per le forniture di gas, energia elettrica etc.).

In tutti gli altri casi i consensi devono essere chiaramente separati.

Privacy: no al consenso unico per più di un trattamento

I consensi obbligatori

Gli unici dati che il cliente o l’utente è tenuto a fornire sono quelli strettamente necessari per la fornitura del servizio. Qualsiasi consenso ulteriore/secondario deve essere facoltativo e del tutto svincolato da quello principale, e l’eventuale rifiuto non deve compromettere in alcun modo la fornitura del servizio richiesto.

In caso di consenso obbligato, l’autorità privacy può vietare qualsiasi trattamento secondario di dati e multare la società responsabile obbligandola ad allineare alle norme tutte le successive informative.

In caso di controversia, il consenso unico o cumulativo viene quindi considerato nullo.

Una grande responsabilità nel funzionamento di questo meccanismo è comunque detenuta dagli utenti, che devono in prima persona tutelare la propria privacy e i propri diritti. In caso di richieste di consenso illecite è possibile mandare una segnalazione al Garante per la protezione dei dati personali, ed è sempre consigliabile orientare le proprie scelte di consumo verso società e piattaforme sensibili all’applicazione delle norme GDPR.