Consenso e Privacy
Con lo scopo di chiarire per tutti come deve essere usato il modulo informativa consenso fornito ai clienti che hanno usufruito del nostro servizio di conformità GDPR, pubblichiamo il presente articolo.
Il modulo ha grosso modo la struttura come data nelle figure qui di seguito (clicca sull’immagine per ingrandire).
Pagina 1 modulo informativa consenso
Pagina 2 modulo informativa consenso
Il documento
Il documento da noi fornito è chiamato appositamente “Modulo Informativa Consenso” ed è concesso in formato MS Word, pertanto facilmente adattabile.
Il nome stesso dato al modulo chiarisce che esso è uno strumento di notificazione, in quanto riproduce tutte le informazioni necessarie da provvedere al soggetto interessato in conformità con quanto ordinato in special modo dall’art. 13 del Reg. UE 2016/679 GDPR.
Il cartiglio inserito alla fine del documento favorisce anche la raccolta di dati, ed è quindi anche uno strumento di raccolta del consenso per tutte quelle circostanze in cui tale requisito si presenta necessario.
Tuttavia, non è detto che dovete necessariamente utilizzarlo con il solo scopo di raccogliere i dati del soggetto interessato e quindi anche la sua firma e perciò l’accettazione, o il diniego, del consenso.
Nei contratti che siete soliti far firmare ai vostri clienti, non è necessario riprodurre questa informativa per intero, così come non è necessario che i vostri clienti firmino questo modulo dopo avere firmato il contratto in cui, giustamente, già compare la richiesta di consenso per il trattamento dei dati personali.
Cosa fare.
Al vostro modulo di contratto potete aggiungere la dicitura “Chiediamo il suo consenso al trattamento dei dati personali in base all’articolo 7 del Reg. UE 2016/679 GDPR”
A Questo punto, dovete informare il soggetto di come i suoi dati saranno trattati, quali sono i suoi diritti, come può opporre reclamo etc. Precisamente, dovete informarlo prima che questi dia il consenso.
Ebbene, il modulo in questione serve a questo. Potete stamparlo e inserirlo nel vostro contratto, anche eliminando la tabella alla pagina 2 per la raccolta dei dati, non ne avete bisogno, avete già sicuramente raccolto i dati del vostro cliente in altro modo infatti.
Oppure potete semplicemente mostrarglielo affinché ne prenda nota. Lasciateglielo se ne chiede una copia.
Inoltre, nello stesso modulo è chiarito che se il soggetto interessato vuole sapere di più, potete mostrargli il documento “POLITICA RISERVATEZZA E PROTEZIONE DATI PERSONALI” che tutti voi, come nostri clienti, avete ricevuto.
In quest’ultimo documento sono indicate infatti le metodologie e le pratiche di trattamento dei dati personali in modo molto più approfondito e personalizzate in funzione della vostra attività . Non avete bisogno di stampare questo documento, potete renderglielo disponibili in formato digitale.
Consenso informato.
Ciò che è essenziale è che il soggetto interessato sia stato informato con efficacia circa il titolare del trattamento, le modalità di elaborazione, i suoi diritti e la possibilità di inviare reclamo all’autorità di vigilanza.
Qualunque sia la modalità con cui raccogliete i dati e il consenso degli interessati, ricordate che non sono ammesse caselle pre-spuntate, così come il silenzio-assenso è considerato negazione del consenso e non già accettazione.
Il GDPR chiarisce che “il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.”
Agevolare i diritti dell’interessato.
L’informativa contenente i dati del titolare del trattamento e le modalità , è richiesta affinché il soggetto interessato possa dunque conoscere ed essere agevolato nell’esercizio dei suoi diritti. Tali informazioni possono perfino essere rese oralmente.
L’articolo 12 del GDPR recita “Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.”
Consenso dei minori.
Anche questo punto necessita di un chiarimento visto che molti di voi ci hanno posto vari quesiti.
Per i minori il consenso è sempre richiesto a chi ne esercita la potestà genitoriale ex art. 316 c.c. o chi ne è stato nominato tutore (per completezza vedi anche artt. 343, 344, 348 e 357 c.c. e L. 149/2001.)
Quando il genitore o il tutore rilascia i dati di un minore, esercita il diritto riconosciutogli dalla legge in quanto il minore non ha capacità di agire e non può dunque prestare il consenso. È perciò chiaro che il soggetto titolare del diritto (genitore o tutore) lo esercita senza chiedere permesso al minore.
L’articolo 6 del GDPR (Liceità del trattamento) precisa che: “1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità .” La lettera a) dell’art. 6 soddisfa quindi il caso in esame.
Di conseguenza, non avete bisogno di nessun permesso aggiuntivo una volta che è chiaro che per una specifica finalità , data dal tipo di servizio/contratto che state offrendo, sono richiesti i dati del minore ed è altrettanto chiaro che a rilasciarli sarà il soggetto titolare del diritto.
Ovviamente, dovete sincerarvi se la persona che rilascia i dati del minore è effettivamente il titolare del diritto, quindi un genitore o il tutore.
Come in tutti i casi, il GDPR dice che dovete accertare l’identità del soggetto interessato. Se nutrite ragionevoli dubbi, potete infatti richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato (v. art. 12 n.6 GDPR).
No, non vi è richiesto di diventare agenti di polizia, non potreste esercitare certe potestà anche volendo. Nel dubbio, tuttavia, accertatevi o rifiutate di accettare i dati se non vi sentite sicuri.
Minori e GDPR
Ulteriori chiarimenti circa il trattamento dei dati dei minori ci sono dati in maniera abbastanza evidente dallo stesso regolamento, di cui riportiamo i seguenti stralci:
Art. 8 GDPR “Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione.” Qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.
2.Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili.
3.Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità , la formazione o l’efficacia di un contratto rispetto a un minore.