Risposta
Una richiesta di consenso deve essere presentata in modo chiaro e conciso, utilizzando un linguaggio facile da capire e chiaramente distinguibile da altre informazioni quali termini e condizioni. La richiesta deve specificare l’uso che verrà fatto dei dati personali e includere i dati di contatto della società che elabora i dati. Il consenso deve essere liberamente dato, specifico, informato e inequivocabile. Per consenso informato si intende che devono essere fornite informazioni sul trattamento dei dati personali, tra le quali almeno:
- l’identità dell’organizzazione che tratta i dati;
- gli scopi per i quali i dati sono trattati;
- il tipo di dati che verranno elaborati;
- la possibilità di ritirare il consenso (ad esempio inviando un’e-mail per ritirare il consenso);
- ove possibile, il fatto che i dati saranno utilizzati esclusivamente per un processo decisionale automatizzato, compresa la profilazione;
- se il consenso è collegato a un trasferimento internazionale dei dati, informazioni sui possibili rischi connessi al trasferimento di dati verso paesi al di fuori dell’UE se tali paesi non sono oggetto di una decisione e non vi sono garanzie adeguate.
Esempi
Consenso non richiesto secondo i termini di legge
Ti iscrivi a una scuola di musica per prendere lezioni di piano. Il modulo di iscrizione contiene un lungo documento redatto in caratteri piccoli con termini altamente legali e tecnici, che include la possibilità che la scuola trasmetta i tuoi dati personali ai rivenditori di strumenti musicali. La scuola sta violando la legge poiché il tuo consenso a ricevere materiale di marketing (potenzialmente dai rivenditori di strumenti) non è stato richiesto come previsto dalla legge.
Stai aprendo un conto bancario online e vuoi confermare la tua richiesta. Ti viene mostrata una pagina con due caselle di spunta che indicano «Accetto i termini e le condizioni» e «Accetto che la decisione di avere diritto a una carta di credito sia basata esclusivamente sulla profilazione, senza alcun intervento umano». Entrambe le caselle di spunta sono attivate (selezionate) per impostazione predefinita. Devi disattivare la casella di spunta se non vuoi essere soggetto alla decisione di aver diritto a una carta di credito basata esclusivamente sulla profilazione. Anche se non disattivi la casella di spunta, la banca non avrebbe ottenuto il consenso valido in quanto le caselle preselezionate non sono considerate un valido consenso ai sensi del regolamento.
Riferimenti
Examples
Consent not requested as per terms of the law
You enrol at a music school to take piano classes. The enrolment form contains a long document drafted in small print using highly legal and technical terms, which includes the possibility that the school may pass on your personal details to retailers selling musical instruments. The school is in breach of the law as your consent to receive marketing material (potentially from instrument retailers) was not requested as stipulated by law.
You’re opening a bank account online and want to confirm your request. You are shown a page with two tick boxes saying ‘I accept the terms and conditions’ and ‘I agree that the decision whether I am entitled to a credit card is solely based upon profiling without any human intervention’. Both tick boxes are activated (checked) by default. You have to deactivate the tick box if you don’t want to be subject to a decision on whether you are entitled to a credit card based solely on profiling. Even if you don’t deactivate the tick box, the bank would not have obtained valid consent as pre-ticked boxes are not considered to be valid consent under GDPR.