Risposta:

L’art. 4 (11) del GDPR definisce il consenso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento”.

Il consenso deve essere quindi:

- inequivocabile;
- libero;
- specifico;
- informato;
- verificabile;
- revocabile

Nel caso in cui il trattamento abbia più finalità, il consenso dovrebbe essere chiesto per tutte queste.

Ne deriva che

- il consenso deve essere raccolto per finalità specifiche, esplicite e legittime.
- il consenso deve essere raccolto per ogni specifica finalità del trattamento dei dati.
- le informazioni specifiche devono essere fornite con ciascuna richiesta di consenso separata al fine di rendere gli interessati consapevoli circa l’impatto delle diverse scelte che hanno a disposizione.

L'utente dovrà essere messo nella condizione di avere possibilità di accettare o rifiutare il consenso per ogni singola finalità prevista di trattamento.

Non è lecito raggruppare più finalità all’interno di un unico consenso poiché verrebbe, così facendo, a mancare la libertà di scelta dell’interessato: in questo caso, l’interessato sarebbe obbligato ad accettare in blocco o rifiutare tutte le finalità senza altre possibilità di scelta.

Il gruppo di lavoro europeo ha approfondito le modalità di valida espressione del consenso. Si veda:

Guidelines on consent under Regulation 2016/679, WP259 rev.01

Per approfondimenti:

GDPR: Linee guida su Trasparenza, Data breach e Consenso (23 agosto 2018)
https://youtu.be/Y52FiZSIpHw

GDPR  e privacy - Informativa trattamenti: approfondimenti (3 giugno 2018)
https://youtu.be/0aKqlgFPzP0

 

-----------------------------------------------
Riferimenti normativi:

Art. 6 del regolamento UE 2016/679 (GDPR)

Considerando 32 del regolamento UE 2016/679 (GDPR) "Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso"

Regolamento UE 2016/679 (LINK)

Codice della privacy (LINK) e Decreto 101/2018 (LINK)

Per ulteriore materiale visita il Gruppo GDPR in Italia (LINK) e la sezione di approfondimento OV (LINK)

-----------------------------------------------
Contributo a cura di: Luca Capponi e Simone Chiarelli