Il professor Franco Pizzetti, ex Presidente del Garante per la Protezione dei Dati Personali, è un grande studioso ed una persona generosa che offre, con i suoi numerosi interventi, un grande supporto a chiunque si occupi, professionalmente e non, di protezione dei dati personali.
In uno dei suoi recenti interventi ha chiarito bene la differenza tra informativa e consenso.
L’informativa è uno strumento che il GDPR offre all’interessato per garantirgli il controllo dei propri dati personali. Come abbiamo più volte ribadito, l’informativa deve essere fornita sempre, anche se il trattamento è previsto dalla legge.
Il consenso, invece, è una delle sei basi giuridiche per il trattamento dei dati comuni (art. 6 del GDPR) e delle dieci basi giuridiche per il trattamento delle particolari categorie di dati personali (art. 9 del GDPR). Non deve essere raccolto sempre: se il titolare può basare il trattamento su altre basi giuridiche non ha bisogno del consenso.
Inoltre, il consenso deve essere libero, specifico ed informato. Ecco la chiave: l’informativa che deve essere resa prima del consenso deve contenere certamente tutto quello che normalmente contiene l’informativa (art. 13 del GDPR) ma deve anche specificare cosa succede se non si fornisce il consenso e quali rischi presenta il trattamento.
Confondere informativa e consenso, pensando che quest’ultimo sia un contenitore più capiente del primo, non è un buon servizio per l’interessato: si rischia di confonderlo e di perdere lo spirito del GDPR.
“Dimmi di si”: un refrain molto utilizzato ma, spesso, a sproposito.