La richiesta del consenso al trattamento dei dati secondo il GDPR

Chiedere il consenso al trattamento dei dati: quando DEVI ASSOLUTAMENTE farlo? Quando NON devi farlo? Quando PUOI evitarlo senza correre nessuno rischio?

Nella maggioranza dei casi non è necessario chiedere il consenso ai ‘proprietari’ dei dati personali che trattate. Basta comunicargli che li possedete, spiegare in grande sintesi perché e come li trattate e far riferimento a diritti e informativa.

 

Quando si è diffusa la coscienza della rivoluzione GDPR, molte organizzazioni no-profit hanno pensato “Oddio: ora mi toccherà sollecitare un consenso a tutti i soci, i donatori, gli assistiti…”.

Non è così: come ho detto il GDPR è una norma facile da seguire. L’avverbio più frequente nel testo della legge è ‘ragionevolmente’.

“In una serie di condizioni, non è necessario chiedere un consenso relativo ai dati raccolti prima del 25 maggio 2018. Basta comunicare agli Interessati che possedete questi dati, come li trattate e perché.

Insomma una Informativa ‘liofilizzata’ in poche righe accompagnata da un esplicito impegno ad applicare i diritti dell’Interessato e da un link alla Informativa (che in quel caso va resa disponibile su web). Il meccanismo è il silenzio-assenso. Se l’Interessato non protesta potete andare avanti.

Ma quali sono questi casi?

  • I dati erano e sono necessari per mantenere la relazione o proseguire il servizio richiesto.
  • L’Interessato ha firmato un consenso esplicito secondo la vecchia norma
  • I dati non sono necessari (o non lo sono più) ma l’Interessato sa che ha condiviso con voi questi dati o comunque che li possedete.

Insomma, se l’Interessato non sarebbe stupito di sapere che voi possedete e trattate questi dati, potete limitarvi a mandare una Comunicazione.

Se invece sarebbe stupito (perché questi dati li avete presi da una fonte anche pubblica ma all’insaputa dell’Interessato o perché state usando una fonte non pubblica, ad esempio il data base di una organizzazione ‘amica’) allora non potete andare avanti senza un consenso esplicito. Ma voi non fate queste cose: dico bene?

Un consenso esplicito è invece necessario da parte di tutte le persone delle quali raccogliete i dati a partire da un certo giorno. Quale giorno? Secondo la legge dal 25 maggio 2018. Non dite che ve l’ho detto io (ho una immagine da salvaguardare) ma secondo me questo giorno potrebbe essere il giorno in cui avete finito di redigere la documentazione GDPR!

“Se l’Interessato non sarebbe stupito di sapere che voi possedete e trattate questi dati, potete limitarvi a mandare una Comunicazione con la formula del silenzio-assenso. Se invece sarebbe stupito allora dovete chiedergli un consenso esplicito”.

Il modulo di consenso ha gli stessi contenuti della comunicazione ma prevede la formula di rito “acconsento” / “non acconsento” e una firma. Attenzione! Il consenso deve essere specifico per ogni categoria di dati.

Posso acconsentire a lasciarvi il mio indirizzo mail ma non il telefono oppure a essere socio ma non a essere fotografato.

Il quadro è complesso, ma non impossibile da comprendere, nè tanto meno da gestire!

Forza, Che la Privacy sia con Te!

– Alberto –

gdpr non profit corso di formazione privacy