ARGOMENTO:

Credo che tra le valutazioni che si debbano fare ci sono: 1) la natura dei dati personali che vengono comunicati 2) il tipo di comunicazione. Le persone fisiche sono sprovviste di PEC e se ogni cittadino dovesse avere una pec per richiedere informazioni (anche banali) ad un sito web allora potremmo pensare di non utilizzare più internet. In alcuni casi il consenso non è necessario, se chiedo informazioni per un prodotto o un servizio, il Titolare potrà utilizzare i miei dati per adempiere all'esecuzione di "misure precontrattuali". In molti casi la checkbox serve solo a "provare" che il Titolare ha fatto l'informativa.
Faccio notare che, per quanto debole il sistema, se non viene selezionata la checkbox il messaggio non viene inviato.
A mio avviso l'utilizzo della PEC per poter comunicare con gli utenti di un sito potrebbe rappresentare uno sforzo eccessivo non solo per il Titolare ma anche per gli Interessati.
Sono più propenso a discutere riguardo alla crittografia dei dati all'interno dei database o all'utilizzo di protocollo https invece del più diffuso http.
Ovviamente le mie sono riflessioni personali che spero siano utili
grazie per questo utile scambio di opinioni
Roberto

La questione posta è cruciale perché l’articolo 7, paragrafo 1, Gdpr prevede l’obbligo esplicito del titolare del trattamento di dimostrare il consenso dell’interessato.
Va sottolineato, peraltro, che anche il Codice della privacy prevedeva l’onere probatorio a carico del titolare del trattamento.
Come si legge nelle Linee Guida WP259 del WP29, il regolamento non prescrive esattamente nessuna modalità probatoria specifica. Sempre le Linee Guida del WP29 aggiungono qualche esemplificazione.
Ad esempio, il titolare del trattamento può tenere una registrazione delle dichiarazioni di consenso ricevute. Sempre a titolo esemplificato, le Linee Guida del WP29 aggiungono che, in un contesto online, il titolare del trattamento può conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento. Non sarebbe, invece, sufficiente fare semplicemente riferimento a una corretta configurazione del sito web.
Alla luce delle considerazioni sopra espresse le caratteristiche tipiche della Pec non sono strettamente necessarie.
Inoltre, va ricordato che, ai fini dell’art. 6 Gdpr, il consenso può derivare anche da una condotta inequivocabile: pertanto dare dimostrazione della tenuta di una condotta significa dimostrare il consenso.
Per concludere, le risposte ai quesiti specifici sono le seguenti.
Le modalità di acquisizione del consenso diverse dallo scambio di Pec non rendono i titolari del trattamento comunque passibili di sanzioni, purchè le modalità in concreto adottate soddisfino il requisito probatorio.
Quanto alla best practice occorre: 1) avere individuato nel proprio modello organizzativo privacy le modalità di raccolta del consenso; 2) provvedere alla documentazione nei termini esemplificati dal WP29 o simili; 3) programmare una serie di controlli a campione per appurare la funzionalità del sistema di acquisizione di consensi; 4) pianificare l’aggiornamento dei consensi a intervalli appropriati.

Ovviamente il problema dell'onere della prova si pone, specialmente se l'interessato negasse di aver dato il proprio consenso. D'altra parte non credo che allo stato attuale si possa considerare la maggioranza dei sistemi di acquisizione del consenso privi di caratteristiche sufficienti a dimostrare che il consenso sia stato validamente prestato in maniera ragionevolmente certa. Questo significherebbe che chiunque potrebbe dare il consenso e poi rimangiarselo avendo poi ragione di fronte alle autorità? Da parte mia, anche se dovrei approfondire la questione, credo che si possa documentare l'attendibilità di un processo di acquisizione del consenso senza necessariamente a un sistema di posta certificata, altrimenti la normativa ingesserebbe ogni prospettiva di sviluppo del mercato digitale, come mi pare già abbia fatto con l'introduzione della fatturazione elettronica, che permette solo ai grandi operatori di e-commerce di investire in sistemi in grado di emettere fatture elettroniche automaticamente.

Se è vero che il Gdpr bada alla sostanza piuttosto che alla burocrazia, ci deve essere una modalità di acquizione del consenso accessibile anche ai piccoli operatori di internet.

Almeno a mio parere, ma servirebbe ovviamente quello di chi ne sa più di me.
Mila

In caso di contenzioso con un interessato che dichiarerebbe di non aver rilasciato consenso, di solito con la giurispridenza attuale tranne in rari casi, non basta che l'interessato non riconosca il consenso (acquisito con i mezzi come da quesito) per far si che questo non venga riconosciuto?!

Alessandro

Per quello che risulta a me, allo stato attuale le autorità di controllo non richiedono che il consenso sia fornito attraverso uno strumento certificato. Certo, che in base all'art. 7 del Gdpr il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali, e quindi secondo il principio di accountability dovrà poter spiegare il processo di acquisizione del consenso e dimostrarne la procedura adottata, ma oltre alla PEC ci possono essere anche altri modi per poterlo fare.

Enzo

Salve.

Volevo chiedere il vostro punto di vista sui vari consensi che oggi vengono acquisiti tramite checkbox da sito web o APP( esempio prenotazioni presso hotels, check in on line, consensi per fini di marketing, eccetera). Ad oggi quasi tutti i sistemi di acquisizione del consenso non hanno le caratteristiche tipiche della pec( il messaggio proviene da un gestore di posta certificato e da uno specifico indirizzo e-mail certificato; il messaggio non può essere alterato durante la trasmissione; la riservatezza della comunicazione è totale, avvenendo lo scambio dati in ambiente sicuro; il mittente ha la certezza dell'avvenuto recapito delle e-mail alla casella di Posta Certificata destinataria, con la spedizione di una ricevuta di consegna, in modo analogo alla tradizionale raccomandata A/R (e con lo stesso valore legale); il destinatario è garantito da eventuali contestazioni in merito ad eventuali messaggi non ricevuti; La data di consegna e ricezione del messaggio viene garantita in modo inequivocabile; Viene conservata traccia della comunicazione avvenuta fra mittente e destinatario.
Per fini probatori, dinanzi all'autorità di controllo, le attuali modalità di acquisizione del consenso rendono i titolari del trattamento comunque passibili di sanzioni?Quale dovrebbe essere la best practice da attuare per acquisire il consenso e poterlo esibire al Garante per dimostrare la base giuridica e la diligenza del trattamento??

Grazie, Saluti, Alessandro