L’articolo 7, paragrafo 1 del GDPR, prevede in maniera chiara l’obbligo esplicito del titolare del trattamento di dimostrare il consenso dell’interessato. Conformemente a tale articolo, l’onere della prova è a carico del titolare del trattamento.
Il considerando 42 afferma: “Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento”.
Il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane. Allo stesso tempo, l’obbligo in capo al titolare del trattamento di dimostrare l’ottenimento di un consenso valido non dovrebbe di per sé portare a quantità eccessive di trattamenti di dati supplementari. Ciò significa che il titolare del trattamento dovrebbe disporre di dati sufficienti per mostrare un collegamento al trattamento (ossia per fornire la prova che è stato ottenuto il consenso) ma non dovrebbe raccogliere più informazioni di quanto necessario.
Spetta al titolare del trattamento dimostrare che è stato ottenuto un consenso valido dall’interessato.
Il GDPR non prescrive esattamente come ciò debba avvenire. Tuttavia, il titolare del trattamento deve essere in grado di dimostrare che l’interessato nel caso specifico ha espresso il proprio consenso.
Fintantoché dura l’attività di trattamento dei dati in questione, sussiste l’obbligo di dimostrare l’esistenza del consenso. Al termine dell’attività di trattamento, la prova del consenso deve essere conservata non più di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, in conformità con l’articolo 17, paragrafo 3, lettere b) ed e).
Ad esempio, il titolare del trattamento può tenere una registrazione delle dichiarazioni di consenso ricevute onde poter dimostrare come e quando è stato ottenuto il consenso, e rendere dimostrabili le informazioni fornite all’interessato al momento dell’espressione del consenso. Il titolare del trattamento deve anche essere in grado di dimostrare che l’interessato è stato informato e che la propria procedura ha soddisfatto tutti i criteri pertinenti per la validità del consenso.
La logica alla base di tale obbligo è che il titolare del trattamento deve essere responsabilizzato in relazione all’ottenimento di un consenso valido dell’interessato e ai meccanismi di consenso che ha messo in atto.
Ad esempio, in un contesto online, il titolare del trattamento può conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento. Non è sufficiente fare semplicemente riferimento a una corretta configurazione del sito web.
Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato.
Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso.
Come migliore prassi il WP29 raccomanda di aggiornare il consenso a intervalli appropriati.
Fornire nuovamente tutte le informazioni contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.
Lo Staff di 01 Informatica Srl rimane a vostra disposizione per ulteriori informazioni.