Risposta:

Se il consenso fornito da una persona prima dell’applicazione del GDPR è in linea con le condizioni del regolamento, non è necessario chiedere nuovamente il consenso della persona interessata.

Devi assicurarti che il consenso fornito prima del regolamento soddisfi le condizioni stabilite nello stesso

- libero (non condizionato);
- specifico (relativa ad una sola finalità);
- informato (occorre informare l’interessato dei dati raccolti, delle modalità di trattamento, ecc...);
- verificabile (occorre documentare il consenso);
- revocabile (in qualsiasi momento, senza limitazioni e facilmente)

Se avevi raccolto i dati ottenendo consensi separati per ogni finalità di trattamento allora va bene.

Se si desidera si può inviare agli interessati la nuova informativa aggiornata al GDPR.

Se invece avevi ottenuto un consenso unico per più finalità, in quel caso devi richiederlo a norma col GDPR.

Se non puoi dimostrare di avere ottenuto il consenso, perchè non ne hai tenuto traccia, allora devi richiederlo.

Il gruppo di lavoro europeo ha approfondito le modalità di valida espressione del consenso. Si veda:

Guidelines on consent under Regulation 2016/679, WP259 rev.01

Per approfondimenti:

GDPR: Linee guida su Trasparenza, Data breach e Consenso (23 agosto 2018)
https://youtu.be/Y52FiZSIpHw

GDPR  e privacy - Informativa trattamenti: approfondimenti (3 giugno 2018)
https://youtu.be/0aKqlgFPzP0

-----------------------------------------------
Riferimenti normativi:

Art. 30 del regolamento UE 2016/679 (GDPR)

Considerando 171 del regolamento UE 2016/679 (GDPR) "Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Il trattamento già in corso alla data di applicazione del presente regolamento dovrebbe essere reso conforme al presente regolamento entro un periodo di due anni dall'entrata in vigore del presente regolamento. Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l'interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento. Le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate".

faq Commissione Europea

Regolamento UE 2016/679 (LINK)

Codice della privacy (LINK) e Decreto 101/2018 (LINK)

Per ulteriore materiale visita il Gruppo GDPR in Italia (LINK) e la sezione di approfondimento OV (LINK)

 

-----------------------------------------------
Contributo a cura di: dott. Simone Chiarelli