Che cosa è il registro dei consensi?

Il registro dei consensi è sempre più indispensabile quando si effettua un’attività di trattamento dei dati nell’ambito di applicazione del GDPR General Data Protection Regulation

Il registro dei consensi è uno strumento utilizzato per raccogliere, documentare e conservare le autorizzazioni fornite da una persona in relazione al trattamento dei suoi dati personali e per questo assume sempre più importanza e rilevanza quando la normativa sulla protezione dei dati, come il Regolamento Generale sulla Protezione dei Dati (GDPR), richiede che l’interessato dia un consenso esplicito per il trattamento dei suoi dati.

Un efficace registro dei consensi dovrebbe fornire:

  • chi ha fornito il consenso;
  • quando e come è stato acquisito il consenso del singolo utente;
  • il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
  • un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.

Il registro dei consenso è un registro in cui i Titolari del trattamento dovrebbero far confluire tutti i consensi al telemarketing espressi dal “cittadino” – “utente interessato” . L’interessato, accedendo a tale registro, dovrebbe poter revocare e gestire i consensi rilasciati.

Il consenso non è la sola base giuridica per effetto della quale un’organizzazione può trattare i dati degli utenti, ma è solo una delle “basi giuridiche” del trattamento.

Ai sensi del GDPR, le organizzazioni possono dunque avvalersi anche di altre basi giuridiche del trattamento.

E’ bene chiarire che per alcune attività di trattamento dei dati il consenso resta comunque la soluzione migliore, se non l’unica strada percorribile.

Trattamento dei dati conforme o no?

Archiviazione non conformeArchiviazione conforme
  Tenere semplicemente un foglio con i nomi degli utenti e un’indicazione sul conferimento o meno del consensoConservare una copia del modulo compilato dall’utente, che mostra l’azione intrapresa dallo stesso per prestare il consenso a specifici trattamenti
    Annotare semplicemente la data e l’ora in cui il consenso è stato prestato, associate all’indirizzo IP dell’utente e ad un link alle pagine che ospitano il modulo compilato dall’utente e la privacy policy  Conservare delle informazioni complete che includano un identificativo univoco dell’utente insieme con la data – certificata con marca temporale – in cui il modulo è stato compilato e ad una copia della versione del modulo stesso e dei documenti legali utilizzati nel momento in cui l’utente ha prestato il consenso

Elementi chiave di un registro dei consensi:

  1. Identificazione dell’interessato: Nome, dati di contatto e altre informazioni identificative.
  2. Scopo del trattamento: Descrizione chiara e precisa del motivo per cui vengono trattati i dati.
  3. Tipo di dati trattati: Dettaglio sui dati personali che vengono raccolti (ad esempio, dati di contatto, preferenze, etc.).
  4. Modalità di consenso: Come è stato ottenuto il consenso (ad esempio, attraverso un modulo online, via email, durante una conversazione telefonica, ecc.).
  5. Data del consenso: Data in cui è stato fornito il consenso.
  6. Durata del consenso: Se pertinente, la durata per la quale il consenso è valido o la frequenza con cui deve essere rinnovato.
  7. Possibilità di revoca: Informazioni su come e quando l’interessato può revocare il consenso.
  8. Firma dell’interessato (se necessario): In alcuni casi, può essere utile avere una firma fisica o elettronica per confermare il consenso.

Il diritto ad essere informati

Le organizzazioni devono fornire agli utenti informazioni sulle attività di trattamento dei dati che svolgono. Tali informazioni possono essere fornite:


Per iscritto

Per via elettronica

Tramite Privacy Policy

Se i dati vengono raccolti dall’utente reale a cui si riferiscono, allora devono essere forniti con le informazioni sulla privacy al momento in cui i dati vengono ottenuti.

Tuttavia, se i dati personali sono ottenuti da una fonte diversa dal singolo utente, quest’ultimo deve ricevere informazioni sulla privacy entro un “ragionevole periodo” dai dati ottenuti.

Questo periodo può essere non più tardi di un mese in generale, o al più tardi quando si verifica la prima comunicazione.

Le informazioni devono essere concise, trasparenti, comprensibili, facilmente accessibili, scritte in un linguaggio chiaro e semplice e gratuite.

Il diritto di accesso nell’era digitale

Gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative alle modalità di trattamento degli stessi. Su richiesta dell’utente, i titolari del trattamento devono fornire:

  • una panoramica delle categorie di dati trattati
  • una copia degli effettivi dati raccolti
  • una descrizione delle modalità del trattamento
  • finalità del trattamento
  • modalità di acquisizione
  • soggetti con cui sono stati condivisi i dati

I dati richiesti devono essere forniti all’individuo senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta.

Il diritto di rettifica

Gli utenti hanno il diritto di richiedere la rettifica dei loro dati personali se sono imprecisi o incompleti.

Deve essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione;

  • Le richieste dell’individuo:
    • possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste;
    • devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.

Il diritto di opporsi

Ai sensi del GDPR, gli utenti hanno il diritto di opporsi a determinate attività di trattamento dei loro dati personali effettuate dal titolare del trattamento (anche noto come Controller).

L’utente può opporsi:

  • interesse legittimo
    • sull’esecuzione di un compito di interesse pubblico/esercizio di pubblici poteri
    • a fini di ricerca e statistica scientifica/storica.

Se si riceve un’obiezione al trattamento dei dati personali e non ci sono motivi per rifiutare, l’attività di trattamento deve cessare. Mentre l’attività di trattamento deve essere interrotta per le particolari attività di trattamento contestate, la cancellazione potrebbe non essere necessaria se i dati vengono elaborati per altri scopi, in quanto i dati dovranno essere conservati per questi scopi.

Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.

Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo.

L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui la proroga è necessaria.