In questa pagina viene messo a disposizione un modulo autorizzazione al trattamento dei dati personali.
Autorizzazione al Trattamento dei Dati Personali
Nel linguaggio comune “autorizzazione al trattamento” viene spesso usata come sinonimo di consenso, ma nel GDPR il consenso è solo una delle basi giuridiche che rendono lecito un trattamento, accanto all’esecuzione di un contratto o di misure precontrattuali, all’adempimento di obblighi legali, al legittimo interesse correttamente bilanciato, alla tutela di interessi vitali e ai compiti di interesse pubblico o connessi all’esercizio di pubblici poteri. Per i dati appartenenti a categorie particolari occorre anche una condizione ulteriore, come il consenso esplicito o specifiche previsioni di legge in ambito sanitario e di sicurezza sociale. Il consenso serve quando non è possibile fondare il trattamento su basi diverse o quando una normativa speciale lo pretende, ad esempio nel marketing diretto via canali elettronici, nella profilazione non necessaria alla fornitura del servizio o nella pubblicazione di immagini a fini promozionali; deve essere libero, specifico per ciascuna finalità, informato e inequivocabile, documentabile e sempre revocabile con la stessa facilità con cui è stato prestato. Nel contesto dei servizi della società dell’informazione offerti direttamente ai minori, in Italia è valido dai quattordici anni, mentre al di sotto di tale età occorre l’assenso di chi esercita la responsabilità genitoriale. Non si deve chiedere consenso quando la base corretta è un’altra, ad esempio se i dati sono indispensabili per spedire un ordine o per adempiere a un obbligo fiscale: in questi casi il consenso sarebbe fuorviante e lo renderebbe revocabile senza motivo ciò che la legge considera necessario; nel rapporto di lavoro, inoltre, lo squilibrio tra datore e dipendente rende il consenso un fondamento inaffidabile salvo ipotesi marginali.
Accanto alla base giuridica verso l’interessato esiste un diverso livello di “autorizzazione” interno: chi accede ai dati deve essere espressamente autorizzato dal titolare o dal responsabile, con istruzioni scritte su finalità, categorie trattate, misure di sicurezza, tempi di conservazione e limiti d’uso, e con formazione adeguata e tracciatura degli accessi e delle revoche quando cambiano i ruoli. Se si coinvolgono fornitori che trattano dati per conto dell’organizzazione, occorre un contratto conforme all’articolo 28 che disciplini oggetto e durata del servizio, natura e finalità del trattamento, categorie di dati e interessati, obblighi di sicurezza, catena dei subfornitori, assistenza nell’esercizio dei diritti, gestione dei data breach, cancellazione o restituzione a fine rapporto, audit e, se i dati escono dallo Spazio Economico Europeo, i presupposti per il trasferimento con clausole standard, valutazione del rischio paese e misure supplementari. Quando due soggetti decidono insieme finalità e mezzi, sono contitolari e devono regolarsi con un accordo che chiarisca le rispettive responsabilità e informi gli interessati su chi fa cosa.
Prima di qualsiasi trattamento è indispensabile una informativa chiara che identifichi il titolare, spieghi finalità e basi giuridiche, indichi categorie di dati e destinatari, eventuali trasferimenti extra-UE, tempi di conservazione, diritti dell’interessato e canali di esercizio, autorità di controllo competente, obbligatorietà o necessità del conferimento, conseguenze del rifiuto, presenza di decisioni automatizzate e criteri della profilazione se presenti. In materia di tracciatori online e comunicazioni promozionali si applicano regole ulteriori: i cookie non tecnici richiedono consenso preventivo con banner trasparenti e scelte realmente libere, le email verso clienti già acquisiti possono seguire la regola del soft spam per prodotti analoghi con opt-out semplice, mentre il marketing verso non clienti e la profilazione richiedono consenso; canali come sms, sistemi di messaggistica e chiamate automatizzate sono soggetti a vincoli specifici e ai registri di opposizione.
La conformità si dimostra con prove e non con dichiarazioni di principio: è necessario conservare evidenze dell’informativa mostrata, del momento e del canale in cui il consenso è stato prestato o revocato, della granularità delle scelte, dell’età quando rileva e dell’assenso dei genitori per i minori; allo stesso modo vanno archiviati gli atti di nomina dei responsabili, le designazioni del personale autorizzato, i registri della formazione e i log degli accessi. Bisogna evitare gli errori tipici, come chiedere sempre il consenso “per sicurezza”, usare un’unica spunta per finalità diverse, subordinare l’accesso a un servizio a consensi non necessari, trascurare la facilità della revoca o confondere privacy policy e cookie policy, omettere le nomine dei responsabili o le istruzioni agli autorizzati, trasferire dati fuori dallo SEE senza una base valida e una valutazione del rischio, oppure non conservare le prove dei consensi e delle versioni delle informative. Con basi giuridiche scelte correttamente, informative trasparenti, consensi davvero liberi e documentati quando servono, persone e fornitori regolarmente autorizzati e contrattualizzati, tracce verificabili e meccanismi semplici di gestione delle preferenze, l’“autorizzazione al trattamento” smette di essere uno slogan e diventa un sistema coerente e difendibile di liceità, trasparenza e responsabilità.
Esempio Autorizzazione al Trattamento dei Dati Personali
Titolare del trattamento
Denominazione: ___________________ C.F./P.IVA: ___________________
Sede: ___________________ Email: ___________________ PEC: ___________________ Tel: ___________________
Rappresentante legale: ___________________
(DPO, se nominato) Nome: ___________________ Email: ___________________
Finalità e basi giuridiche
a) Gestione richieste/erogazione del servizio o vendita di prodotti: esecuzione di misure precontrattuali o contratto ex art. 6.1.b GDPR.
b) Adempimenti legali, fiscali, contabili e garanzie: obbligo di legge ex art. 6.1.c.
c) Sicurezza, prevenzione frodi, tutela giudiziaria e miglioramento qualità del servizio: legittimo interesse ex art. 6.1.f, bilanciato e documentato.
d) Comunicazioni promozionali e marketing diretto via email/SMS/app: consenso ex art. 6.1.a.
e) Profilazione per offerte personalizzate: consenso ex art. 6.1.a.
f) Pubblicazione di immagini/testimonianze a fini promozionali: consenso ex art. 6.1.a.
(g) Trattamento di categorie particolari di dati (se applicabile): condizione ex art. 9.2 ___ (es. consenso esplicito/medicina del lavoro/interesse pubblico rilevante).
Dati trattati e provenienza
Dati identificativi e di contatto: ___________________
Dati contrattuali e di pagamento: ___________________
Dati tecnici di navigazione/app: ___________________
(Se pertinenti) Dati particolari: ___________________
Provenienza: direttamente dall’interessato / da ___________________.
Conferimento dei dati
Necessario per finalità a) e b); il mancato conferimento impedisce la gestione della richiesta/contratto. Facoltativo per finalità d), e), f).
Destinatari e categorie di destinatari
Fornitori e partner nominati Responsabili ex art. 28 (es. cloud/hosting, CRM, assistenza clienti, pagamenti, consulenti): ___________________.
Soggetti terzi autonomi per adempimenti di legge o legittima difesa: ___________________.
I dati non saranno diffusi, salvo quanto previsto per la finalità f).
Trasferimenti extra-SEE
(Barrare l’opzione corretta)
[ ] Non è previsto trasferimento.
[ ] È previsto trasferimento verso ___________________ sulla base di ___________________ (decisione di adeguatezza/SCC + TIA/misure supplementari). Ulteriori informazioni su richiesta.
Tempi di conservazione
Per finalità contrattuali e legali: fino a ______ anni dalla cessazione del rapporto.
Per marketing e profilazione: fino a ______ mesi/anni o fino a revoca del consenso.
Per contenzioso: per la durata necessaria all’esercizio o difesa di un diritto.
Diritti dell’interessato
Accesso, rettifica, cancellazione, limitazione, portabilità, opposizione per motivi legittimi, revoca del consenso in ogni momento senza pregiudizio per la liceità precedente. Reclamo al Garante per la protezione dei dati personali: www.gpdp.it
– [email protected].
Per esercitare i diritti: ___________________ (email/PEC/modulo web).
Decisioni automatizzate
(Se applicabile) La profilazione descritta alla finalità e) comporta logiche e criteri ___________________ e incide su ___________________; sono garantiti intervento umano e possibilità di esprimere la propria opinione e contestare la decisione.
Informativa per minori
Per servizi della società dell’informazione, in Italia il consenso è valido dai 14 anni; sotto i 14 è richiesto il consenso del titolare della responsabilità genitoriale, che dichiara e garantisce la veridicità dell’assenso.
Consensi facoltativi e revocabili
Spunte solo se lo desideri; potrai revocare in qualunque momento con la stessa facilità con cui li hai concessi.
[ ] Presto il consenso a ricevere comunicazioni promozionali su prodotti/servizi di ___________________ tramite:
[ ] Email [ ] SMS [ ] Notifiche app [ ] Telefonate automatizzate/registrate
[ ] Presto il consenso alla profilazione per offerte e contenuti personalizzati.
[ ] Presto il consenso alla pubblicazione di immagini/testimonianze su canali: sito, social, materiali promozionali, per il periodo ___________________.
(Se rilevante) [ ] Presto consenso esplicito al trattamento di categorie particolari di dati per ___________________ nei limiti dell’informativa.
Luogo e data: ___________________
Nome e cognome leggibili: ___________________
Firma dell’interessato: ___________________
(Se minore di 14 anni) Dichiaro di essere il titolare della responsabilità genitoriale e presto il consenso per il minore ___________________.
Nome e cognome genitore/tutore: ___________________ Firma: ___________________
Attestazione del Titolare
Versione informativa mostrata: ___________________ Canale raccolta: ___________________ Timestamp: ___________________
Riferimento registrazione consenso/revoca: ___________________
Modello Autorizzazione al Trattamento dei Dati Personali
Di seguito è possibile trovare un modello autorizzazione al trattamento dei dati personali.
