Mai usare campi pre-spuntati nei form
Rispondiamo ad una semplice domanda: Perchè non è possibile utilizzare un campo già spuntato per il consenso al trattamento dei dati personali?
La ragione principale per cui non è possibile utilizzare un campo già spuntato per il consenso al trattamento dei dati personali è che il consenso deve essere espresso in modo esplicito e inequivocabile dall’interessato. Ciò significa che l’interessato deve effettivamente spuntare la casella del consenso in modo attivo e consapevole, piuttosto che trovare la casella già spuntata e doverla deselezionare per negare il consenso.
Inoltre, il Regolamento generale sulla protezione dei dati (GDPR) richiede che il consenso sia dato liberamente, ovvero che l’interessato abbia la possibilità di scegliere di fornire o meno il consenso al trattamento dei propri dati personali, senza subire conseguenze negative se decide di non fornirlo. Se il campo del consenso fosse già spuntato, l’interessato potrebbe sentirsi obbligato a fornire il consenso e potrebbe non avere una reale scelta sul trattamento dei propri dati personali.
Il GDPR richiede che il consenso sia specifico e informato. Ciò significa che l’interessato deve essere informato su tutte le finalità del trattamento dei propri dati personali e sui soggetti che avranno accesso a tali dati. Se il campo del consenso fosse già spuntato, l’interessato potrebbe non leggere attentamente le informazioni sul trattamento dei propri dati personali, poiché presumerebbe erroneamente che il consenso sia già stato dato.
L’articolo 7 del GDPR riguarda le condizioni per il consenso. Esso afferma che il consenso deve essere fornito liberamente, specifico, informato ed esplicito dal soggetto interessato.
In particolare, il testo afferma che il consenso deve essere fornito mediante un’azione positiva chiara e inequivocabile, come ad esempio una dichiarazione scritta, o attraverso un’azione equivalente che esprima un consenso inequivocabile al trattamento dei dati personali.
In caso di violazione dell’articolo 7, il GDPR prevede sanzioni amministrative che possono arrivare fino al 4% del fatturato annuo mondiale dell’organizzazione responsabile del trattamento o a un importo massimo di 20 milioni di euro, a seconda di quale cifra sia maggiore. Le sanzioni possono essere accompagnate anche da azioni correttive, come l’obbligo di cessare il trattamento dei dati personali in questione o di adeguare le modalità di raccolta e di gestione dei dati alla normativa vigente.