Cybersecurity

Il consenso al trattamento dei dati: opportunità o pericolo?

1031 0

Il Consenso è una delle basi giuridiche previste dal GDPR, ossia la manifestazione di volontà con la quale l’interessato esprime l’assenso al trattamento dei dati personali che lo riguardano. In questo articolo vediamo quali sono le sue caratteristiche, come dovrebbe essere richiesto nel rispetto della privacy, e come difendersi dalle richieste di consenso non conformi.

Cosa significa esprimere il consenso

Il consenso espresso dall’utente, anche noto come consenso esplicito, si riferisce all’atto volontario e informato (importanti queste parole) con cui un individuo concede il permesso specifico per la raccolta, l’elaborazione e l’utilizzo dei propri dati personali da parte di un’organizzazione o di un’azienda, e spesso dei loro fornitori.

Come si esprime il consenso

Questo tipo di consenso richiede un’azione esplicita da parte dell’utente, come ad esempio una dichiarazione scritta, la selezione (spunta) di una casella di controllo in un sito web o di una App, o ogni altra forma di conferma attiva.

Consenso e protezione dei dati

Il consenso espresso è un requisito fondamentale previsto da molte normative sulla privacy, non ultimo dal Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, per garantire che le organizzazioni rispettino la privacy degli individui e operino in conformità con le leggi sulla protezione dei dati personali.

Consenso espresso: che caratteristiche che dovrebbe avere?

Le principali caratteristiche del consenso espresso includono:

Libera scelta

L’utente deve poter scegliere in modo libero e senza coercizione, se fornire o meno il consenso per il trattamento dei propri dati personali. L’organizzazione non può rendere il servizio condizionandolo al consenso, a meno che non sia necessario per l’esecuzione di un contratto o per adempiere a un obbligo di Legge.

Specificità ed Informazione

Il consenso deve essere specifico e informato riguardo alle finalità per le quali i dati personali saranno utilizzati. L’utente deve essere quindi pienamente consapevole di come verranno utilizzati i suoi dati e deve poter selezionare le finalità specifiche per le quali concede il consenso (badate bene, non necessariamente tutte quelle proposte).

Forma chiara ed inequivocabile

L’organizzazione deve fornire all’utente una comunicazione chiara e facilmente comprensibile che spieghi le finalità del trattamento dei dati e i diritti dell’utente in relazione agli essi. L’utente deve poter esprimere il consenso in modo inequivocabile (come abbiamo detto poc’anzi, ad esempio tramite una dichiarazione scritta, una selezione di casella di controllo o un’altra forma di azione attiva).

Revocabilità

L’utente ha il diritto imprescindibile di revocare il consenso in qualsiasi momento, sebbene ciò non pregiudichi la liceità del trattamento basato sul consenso fornito prima della revoca (in altre parole revocare il consenso non rende illecito quanto fatto sino al momento della revoca stessa). L’organizzazione deve quindi fornire all’utente mezzi semplici ed efficaci per revocare il consenso (troppo spesso questa opzione è esercitabile solo scrivendo ai contatti privacy delle aziende).

Il consenso espresso è un importante principio della protezione dei dati personali e della cybersecurity, poiché conferisce agli individui il controllo sulla raccolta e l’utilizzo dei propri dati personali e favorisce una maggiore trasparenza e responsabilità da parte delle organizzazioni nell’elaborazione dei dati stessi.

Ma davvero il consenso ci viene sempre richiesto nella modalità che abbiamo appena descritto?

Il Provvedimento dell’Autorità Garante italiana, sulle “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021 (pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021) ad esempio, fornisce delle chiare indicazioni in questo senso, ed a livello mondiale esistono molte altre forme di regolamentazioni con principi simili.

Cosa dovrebbero prevedere le richieste di consenso

Più o meno tutte queste indicazioni prevedono che:

  1. la richiesta di consenso non sia preventivamente selezionata;
  2. che si possa granulare il proprio consenso, secondo le proprie preferenze;
  3. che ci siano chiare istruzioni (informativa) su quello che stiamo facendo;
  4. che ci siano contatti per eventuali chiarimenti o reclami;
  5. che ci sia un pulsante “continua senza accettare” in bella vista, che ci consenta di utilizzare il servizio senza fornire alcun consenso (salvo eccezioni, come vedremo meglio).

Cosa succede nella realtà

Noi cosa troviamo invece il più delle volte:

  1. le richieste di consenso sono già tutte selezionate;
  2. si può granulare il consenso, ma non si comprende realmente cosa si stia facendo;
  3. le istruzioni non sono affatto chiare;
  4. sono assenti contatti specifici;
  5. non è possibile usufruire del servizio senza accettare qualcosa;
  6. e soprattutto troviamo un bel pulsatone in evidenza con scritto “accetta tutto” e quasi mai “continua senza accettare”.

Richieste di consenso non conformi: come difendersi

Secondo voi, alla luce di quanto abbiamo detto è lecita ed etica una raccolta dati fatta in questo modo?
La domanda è retorica, la risposta scontata, quindi fuggite da questo sito/servizio/app, perché non è un posto sicuro dove mettere i propri dati.
Non esitate neppure un secondo, chiudere il browser o lo strumento che state usando ed andate a cercare ciò che vi serve altrove.
È bene anche dire che al peggio non c’è mai fine.
Nel migliore dei casi vi sono catene di cessione a fantomatici fornitori o terzi, sulla base del cosiddetto “legittimo interesse”.
A volte, infatti, ci sono addirittura pulsanti del tipo “continua senza accettare” che nascondono a loro volta delle insidie, e dietro quel click che voi eseguite soddisfatti pensando di avere superato la barriera delle richieste di consenso (cookies wall), si nascondono download di malware ed altre azioni illegali.

Il “Pay or Ok”: un’altra novità negativa

Ultimamente è anche nata una nuova modalità di richiesta che prevede che per usufruire di un servizio è ci si abbona allo stesso o si paga concedendo un “consenso forzato”. Questa modalità è ovviamente in netto contrasto con le normative sulla privacy (vedi anche parere dell’European Data Protection Board).
Se vi trovate quindi davanti ad un sito o app che chiede questo tipo di “cessione di dati” il mio consiglio è girare alla larga.

Un consenso è per sempre!

Agite quindi con prudenza e pensate sempre bene prima di cliccare su qualcosa (e possibile visualizzare dove vi porterà un link e capire se si tratta di una pagina Internet “seria” o meno), e non fornite consensi se non siete più che certi di cosa sta succedendo realmente.
Scegliete sempre l’opzione di selezione dei consensi, e se vedete che le richieste sono più di due o tre e/o riguardano soggetti terzi per scopi quali il “legittimo interesse” scappate a gambe levate.
Una nota pubblicità di qualche tempo fa (vintage come lo scrivente) citava: “un diamante è per sempre”. Parafrasandola, io direi attenzione che molte volte: “un consenso è per sempre”!

Consulta anche i seguenti articoli

L’identità digitale e l’impronta digitale: cosa sono e a cosa servono

Profilazione e Big data: risvolti su Privacy e Sicurezza

Consulta il volume di Renato Castroreale

Renato Castroreale

Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.

Renato Castroreale

Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.