In particolare, occorre verificare che la richiesta di consenso sia\u00a0chiaramente distinguibile<\/strong>\u00a0<\/strong>da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).<\/em>\u201d.<\/p>\n Il Garante dunque afferma essenzialmente che il consenso ottenuto prima della data di efficacia del GDPR continua a costituire valida base giuridica del trattamento purch\u00e9 sia stato raccolto con modalit\u00e0 tali per cui risulti \u201cesplicito\u201d (se riferito alla raccolta di dati sensibili e a decisioni basate su trattamenti automatizzati), \u201clibero, specifico, informato\u201d e \u201cmanifestato attraverso dichiarazione o azione positiva\u00a0inequivocabile\u201d (se riferito a dati ordinari).<\/p>\n Il Garante, pur ricordando tra le \u201ccaratteristiche sopra individuate<\/em>\u201d richiamate che il consenso deve essere \u201clibero, specifico, informato<\/strong>\u201d, non chiarisce se tale ultimo requisito deve ritenersi soddisfatto dall\u2019avere fornito una informativa rispettosa dei requisiti di cui al Codice Privacy e non sia dunque necessario avere ottemperato alle richieste del GDPR, le quali \u2013 come noto \u2013 comportano contenuti in parte nuovi e diversi (ed in sostanza pi\u00f9 numerosi e articolati) rispetto a quanto richiesto dalla attuale normativa italiana.<\/p>\n Dunque, dando per assunto che il \u201cvecchio\u201d consenso sia stato raccolto secondo modalit\u00e0 che ne garantiscono libert\u00e0, specificit\u00e0, inequivocabilit\u00e0 o \u2013 se del caso \u2013 il suo essere \u201cesplicito\u201d, al fine di valutare la sua perdurante validit\u00e0 dal 25 maggio 2018 si pone il quesito: il consenso raccolto correttamente secondo le prescrizioni del Codice Privacy si pu\u00f2 considerare valido anche sotto il regime del GDPR, e pertanto costituisce idonea base giuridica del trattamento senza bisogno di raccoglierne uno nuovo?<\/p>\n L\u2019interrogativo \u00e8 importante, ma credo che il tema di base debba essere un altro, ossia: nell\u2019ottica della continuazione dei trattamenti gi\u00e0 in corso alla data di entrata in vigore del GDPR, l\u2019informativa gi\u00e0 fornita nel rispetto del Codice Privacy \u00e8 sufficiente a fondare una consapevolezza dell\u2019interessato, relativamente al trattamento che viene effettuato dei propri dati personali, che risulti adeguata in rapporto alle richieste del GDPR?<\/p>\n In caso di risposta positiva, il consenso \u201cinformato\u201d ai sensi del Codice Privacy continuerebbe ad essere tale anche ai sensi del GDPR e pertanto non sarebbe necessario raccoglierlo nuovamente.<\/p>\n Personalmente, considerata la rilevante differenza esistente tra la \u201cvecchia\u201d informativa e quella prescritta dal GDPR, mi pare difficile prospettare la continuazione tout-court<\/em> dei trattamenti in corso in virt\u00f9 di una presunzione di uguaglianza delle due informative. Bisogna infatti considerare che i trattamenti che avranno inizio in costanza di GDPR dovranno necessariamente rispecchiare le nuove norme, con la conseguenza che trattamenti con le medesime caratteristiche quanto a finalit\u00e0, modalit\u00e0, tipologia di interessati e di dati trattati, fondati sulla medesima base giuridica \u2013 il consenso \u2013 basata per\u00f2 su presupposti diversi (le informative \u201cvecchie\u201d e quelle \u201cnuove\u201d), si troverebbero a convivere: ci\u00f2 comporterebbe una sperequazione difficilmente giustificabile sia con riferimento agli interessati che hanno dato ante<\/em> GDPR il consenso al trattamento (fornito \u2013 per chi riceve la \u201cnuova\u201d informativa \u2013 sulla base della conoscenza di maggiori e pi\u00f9 approfondite informazioni, alcune delle quali indicate dall\u2019art. 13 comma 2 del GDPR come “necessarie per garantire un trattamento corretto e trasparente<\/em>“: si pensi ad esempio a quelle sulla logica e le conseguenze della profilazione o sulla durata della conservazione dei dati), sia con riferimento ai titolari post <\/em>GDPR (che con la\u00a0 \u201cnuova\u201d informativa dovranno fornire una fotografia del trattamento ben pi\u00f9 analitica e complessa).<\/p>\n Probabilmente, una soluzione bilanciata potrebbe essere che i titolari del trattamento che intendessero continuare ad utilizzare i dati degli interessati, di cui hanno (legittimamente) acquisito il consenso ante <\/em>GDPR, fornissero un supplemento di informativa con le informazioni \u201cnuove\u201d necessarie in base alle norme e alla piena trasparenza (art. 5, comma 1, lett, a) GDPR), offrendo contestualmente agli interessati la possibilit\u00e0 di revocare il consenso originariamente fornito e naturalmente specificando le eventuali conseguenze di tale revoca.<\/p>\n Di seguito, nella tabella, una schematica rappresentazione delle situazioni che si possono creare.<\/p>\n Una logica analoga dovrebbe essere seguita quando il trattamento in corso \u2013 che il titolare intendesse continuare anche in regime di GDPR \u2013 fosse fondato su una base giuridica diversa dal consenso: \u00e8 chiaro che la esplicitazione di tale fondamento (obbligatoria ex<\/em> artt. 13, co. 1, lett. c) e 14, co. 1, lett. c) GDPR), tanto pi\u00f9 in quanto accompagnata dagli altri nuovi contenuti dell\u2019informativa, induce nell\u2019interessato \u2013 che in tale caso non \u00e8 stato chiamato a scegliere, attivandosi per fornire il proprio consenso \u2013 una pi\u00f9 profonda consapevolezza del trattamento che viene fatto dei propri dati personali e di conseguenza dei propri diritti, compresi quelli di nuova codificazione, in ossequio al principio di trasparenza.<\/p>\n Per concludere, ricordo che nell\u2019approccio del GDPR le scelte di trattamento sono rimesse all\u2019accountability<\/em> del titolare: anche in assenza di specifiche linee guida, o comunque di specifici supporti approntati dal Garante o da altri organismi a ci\u00f2 deputati, i titolari del trattamento sono dunque tenuti ad operare secondo proprie valutazioni, nell\u2019ottica del bilanciamento tra i propri diritti e quelli alla protezione dei dati personali degli interessati e nel rispetto del principio di trasparenza: \u00a0in questo contesto, il titolare si assume la responsabilit\u00e0 delle scelte fatte ed \u00e8 in grado dimostrare il percorso (decisionale, organizzativo, tecnico) progettato e attuato.<\/p>\n Ci\u00f2 vale tanto per le decisioni relative alle circostanze di trattamento sopra considerate, quanto \u2013 con riferimento ad un tema affine \u2013 per la valutazione della \u201cimpossibilit\u00e0\u201d o dello \u201csforzo sproporzionato<\/em>\u201d che ai sensi dell\u2019art. 14, comma 5, lett. b) legittimano il titolare a non fornire alcuna informazione all\u2019interessato i cui dati ha raccolto presso terzi.<\/p>","protected":false},"excerpt":{"rendered":" La \u201cGuida all’applicazione del Regolamento europeo in materia di protezione dei dati personali\u201d pubblicata dal Garante precisa, nelle \u201cRaccomandazioni\u201d in calce alla scheda dedicata al consenso, che: \u201cIl consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, \u00e8 opportuno adoperarsi prima di tale data per\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":167,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,2,3],"tags":[379,60,323,36],"class_list":["post-3042","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","category-legal-framework","category-roles-and-liabilities","tag-consenso","tag-gdpr","tag-informativa","tag-national-legislations"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3042","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/167"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3042"}],"version-history":[{"count":5,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3042\/revisions"}],"predecessor-version":[{"id":3052,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3042\/revisions\/3052"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3042"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3042"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3042"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/blog.europrivacy.org\/wp-content\/uploads\/2017\/06\/Tabella-per-Articolo-Maria-Roberta-Perugini-del-13-giugno-2017.png\")
<\/p>\n