La domanda ci giunge da Sabrina S. Al quesito risponde la dott.ssa Francesca Zuccari, DPO at MBS
Quesito
Un’azienda che vende prodotti fa firmare ai propri clienti un’informativa/consenso in cartaceo dove gli stessi riportano i loro dati (anagrafici, città ecc) e le loro opinioni sui prodotti già usati. L’azienda poi pubblica i dati (nome, cognome e città) e le opinioni dei loro clienti sul proprio sito web scrivendo che riportano la data di quando è stata fatta la testimonianza e che il testo riportato della testimonianza non è variato da quello cartaceo. Secondo voi è un modo corretto?
E’ sufficiente questa informativa/consenso cartaceo dove si spiega che verranno pubblicati sul sito?
Risposta
Gentile Sabrina, per poter rispondere al quesito da Lei richiesto è necessario fare una breve premessa sul consenso e sulle sue caratteristiche essenziali affinché sia considerato valido. Innanzitutto, il consenso non è altro che una delle basi giuridiche del trattamento previste dal GDPR. I requisiti di base per l’efficacia di un consenso legale valido sono definiti nell’articolo 7 e ulteriormente specificati nel considerando 32[1] del GDPR. Nel caso di specie, ci interessa principalmente che il consenso sia stato informato, cioè, che l’interessato sia stato messo nella condizione di conoscere le conseguenze del suo consenso. Durante il processo di consenso informato, se applicabile, i soggetti devono essere informati delle precauzioni che saranno prese per proteggere la riservatezza dei dati. Ciò consentirà ai soggetti di decidere in merito all’adeguatezza delle protezioni e all’accettabilità dell’eventuale rilascio di informazioni private alle parti interessate. Se il consumatore era stato informato della pubblicazione dei propri dati e opinioni e sussistono le condizioni sopra elencate, il consenso è pertanto valido. Tuttavia, sarebbe opportuno che i dati venissero raccolti in forma anonima e rimossi il prima possibile in quanto l’accesso ai dati di ricerca dovrebbe essere basato su un principi di “necessità di conoscere” e “minimo necessario”.
[1]“il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
