Il Codice detta l’obbligo di rendere l’informativa per tutti i trattamenti effettuati.

Il responsabile in conseguenza di ciò dovrà adottare ogni misura idonea a tale scopo, naturalmente comprendendo  l’inserimento dell’informativa sviluppata nella modulistica utilizzata nell’ambito della propria struttura, tutto ciò per permettere all’interessato di essere informato in forma scritta per quanto attiene alla raccolta dei dati ed al loro utilizzo, e l'informativa dovrà contenere quanto meno notizie circa:

  • le finalità e le modalità del trattamento cui i dati sono destinati; 
  • la natura obbligatoria o facoltativa del conferimento dei dati; 
  • le conseguenze di un eventuale rifiuto di rispondere; 
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in quanto responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; 
  • i diritti dell’interessato; 
  • gli estremi identificativi del titolare e del responsabile. 

Per una maggiore sicurezza a tutela dell'attività e dell'interessato si decide per  poter provare in ogni caso di aver adempiuto all’obbligo di rendere l’informativa, non solo nella forma orale, possibilità prevista dall'attuale codice, ma anche se non esclusivamente in forma scritta. 

In particolare l’informativa deve contenere tutte le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
  • i dati di contatto del RPD, quando previsto
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
  • qualora il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione

Oltre a queste informazioni, nel momento in cui sono stati ottenuti i dati dall’interessato, il titolare del trattamento deve dare le seguenti ulteriori indicazioni:

  • il periodo di conservazione dei dati
  • l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale
  • il diritto dell’interessato di proporre reclamo ad un’autorità di controllo
  • l’esistenza di un processo automatizzato, compresa la profilazione, e l’indicazione delle logiche utilizzate, dell’importanza e delle conseguenze del trattamento
  • il diritto di accesso ai dati da parte dell’interessato
  • il diritto di rettifica e di cancellazione
  • la limitazione del trattamento o l’opposizione allo stesso
  • il diritto alla portabilità
  • il diritto di revoca del consenso

E’ l’articolo 7 del regolamento che disciplina il consenso che ha un ruolo decisamente importante nella nuova disciplina. Il titolare del trattamento dei dati, infatti, deve sempre poter dimostrare che l’interessato ha dato il suo consenso liberamente.

Secondo il legislatore europeo (considerando 32)

Il consenso, quindi, deve essere:

inequivocabile
può anche essere implicito (ma non tacito), purché non ci sia alcun dubbio circa il fatto che l’interessato, con il proprio comportamento o con le proprie azioni, abbia voluto dare il proprio consenso (in tal caso l’inerzia non è assolutamente una manifestazione di consenso, come anche i form precompilati e caselle già pre-spuntate). Il consenso deve essere sempre esplicito quando si trattino dati sensibili (relativi ad esempio alla salute, agli atti giudiziali, eccetera) o nel caso di processi decisionali automatizzati (la profilazione ne è chiaro esempio).
manifestato liberamente
nel dare il proprio consenso i’interessato deve essere in grado di fare una scelta voluta e conscia, senza subire inganni, minacce o ricatti e né ci deve essere il timore che, non dando il proprio consenso, si possa subire delle conseguenze negative. A tal proposito l’articolo 7 afferma che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto
specifico
devono essere esplicitate le finalità per cui si richiede il consenso e se ci sono più finalità questo deve essere espresse per ciascuna di essere. Anche in caso di modifiche avvenute successivamente al consenso occorrerà richiedere il consenso dell’interessato
informato
occorre dare all’interessato tutte le informazioni necessarie al trattamento dei suoi dati (informativa con i relativi diritti), come pure deve essere informato su cosa comporta non dare il consenso
verificabile
il titolare del trattamento deve essere sempre in grado di dimostrare che l’interessato ha dato il suo consenso riferito a quello specifico trattamento
revocabile
in qualsiasi momento il consenso deve poter essere revocato dall’interessato. Revocare il consenso deve essere ugualmente semplice come il conferirlo. Questo significa che l’azienda dovrebbe prevedere una procedura uguale, ma contraria a quella del consenso. L’interessato non è tenuto a spiegare il motivo per cui revoca il suo consenso e in tal caso il trattamento si interrompe (è ovvio che la revoca non andrà a pregiudicare la liceità del trattamento prima di questo momento), a meno che non sussista una differente base giuridica per continuare il trattamento

E per i minori di 16 anni il consenso deve essere fornito da chi esercita la patria potestà genitoriale (quindi grande attenzione ai siti di social, app, giochi online, eccetera).