Exercising your GDPR Rights – your right to withdraw your consent – Article 7(3)
Like a 6am aerobics class that you regret signing up for, it’s important to be able to change your mind and withdraw from a class or activity you agreed on doing. The GDPR does the same for you regarding your data and this is where Article 7(3) comes in.
Your Right to Withdraw Your Consent
Like an exercise class that seemed like a good idea at the time, it’s important to be able to change your mind and withdraw from certain things you sign up for. The GDPR ensures that the same is possible when you give your consent to have your data processed; under Article 7(3) GDPR, you have the right to withdraw your consent for processing your data at any time. Before the GDPR, a right to withdraw consent did not explicitly feature in EU law; its inclusion in the GDPR is an important clarification of the body of data protection rights available to people in the EEA.
However, most of the advice on withdrawing consent that is currently available focuses on telling companies and organisations how they should structure their business practices. In comparison, there is almost no guidance out there that helps direct individuals in how they can go about asserting the right to withdraw consent. This is where the moves below come in – read on to find out how you can exercise your right to withdraw your consent …
Step 1: Identify where you need to send your declaration of withdrawal
Step 2: Drafting your declaration
Step 4: Mismatch between how I gave and how I can withdraw my consent?
What does consent look like under the GDPR? What is the role of consent in the GDPR ?
Under the GDPR, consent is only one of six bases that a company, organisation or other entity must use in order to legally process your data. Consent must be a “freely given, specific, informed and unambiguous indication” via a statement or clear affirmative action, that you agree to the processing of your data.
The legal basis used to process your data should be explained in the privacy policy or terms of use of the organisation or company processing your data. If you can’t find that information, then the other party is in breach of their GDPR transparency obligations, and you are entitled to access that information via an access request. (To make one of these, see our advice for exercising your right to access).
In which case can I withdraw my consent?
Your right to revoke you consent is only applicable when the processing of your data is based on consent. When the processing is based on it being necessary to perform a contract (e.g. your address for the delivery of goods), or to meet a legal requirement (e.g. communication by your employer of your social security data for processing income tax), this right of withdrawal does not apply.
If this information is difficult to find, or it does not seem to be in the privacy policy, that’s the fault of the controller, not you. The GDPR requires controllers to specify the legal basis they are using to process your data, in a clear and readable format, before you agree to the processing. You are also entitled to ask the controller to inform you of the legal basis of the processing and to receive this information within one month of asking the controller. (click here to find out how you can exercise your right to access this information).
What are the consequences of withdrawing my consent?
The controller must stop the processing of your data and (delete them) as soon as you withdraw your consent. The right to withdraw consent is not retroactive, which means any processing operations which took place before you revoked your consent will not become illegal on withdrawal. The controller also does not have to delete your personal data that was processed before you withdrew the consent; they will only be required to delete this data if no other legal basis exists to justify its continued processing.
When can I exercise my right to revoke consent?
You can withdraw your consent at any time.
How can I exercise my right to revoke consent in practice?
The entity collecting or using your data (referred to in the GDPR as the controller) must also inform you that you have the right to withdraw your consent at any time before you give it. At this point in time, the controller must also inform you how you can withdraw it, and the consequences of withdrawing the data, in order for you to make as informed a decision as possible. This information should be easily accessible (e.g. in a privacy policy, on the information box when you gave your consent. If you are giving consent over the phone, this should be read out to you).
You should generally be able to withdraw your consent the same way you gave it. The EDPB Guidelines from May 2020, clarify that you must be able to withdraw your consent free of charge, without lowering the level of service you are provided with, and without withdrawal being to your detriment. The EDPB is the EU body responsible for the consistent application of the GDPR, and is made up of representatives from each DPA.
The specific steps for withdrawing consent may differ slightly from case to case, as it will depend on how you gave it. Despite this, one rule of thumb applies in every case:
It shall be as easy to withdraw as to give consent. In other words, the way you withdraw consent should mirror the way you gave it, regardless of your situation.
Step 1: Identify where you need to send your declaration of withdrawal
A declaration of withdrawal of consent should be carried out in the same way you gave it; e.g. if you gave your consent via an online form, there should be an easy to find opt-out link on the website of the same company, if you gave it when you downloaded an app, you should be able to withdraw via the app, or if you gave it via the telephone you should be able to withdraw consent via the same number etc.
However, if these options are not available, you can still withdraw your consent by contacting the controller in writing declaring that you are withdrawing your consent.
To do this, you can simply email the company in question stating that you are withdrawing your consent.
The relevant email address can usually be found in the “privacy policy” or “contact us” section of the controller’s website. It will generally have a name like privacy@company.com or legal@publicauthority.eu. If this is difficult to find, or if there is no specific address to which you can send your request, that’s the of the controller, not you - the GDPR requires controllers to make this information easily accessible. Where there is no specific email address, you can use the general contact details of the controller.
Step 2: Drafting your declaration
(This step may not be necessary if you withdraw your consent via an online form on a website or an app, where available)
Specify your name or other identifier used by the controller (e.g. an account username) and that you are seeking to withdraw the consent you gave for the processing
Include the date of your request in the text if you put your request in an attachment to the email or in a letter. This clarifies the controller’s deadline for stopping the processing.
To help the controller address your request more efficiently, include some information that would help to identify your account, such as your phone number (if you gave it when you signed up), username or account name, or IP address.
Step 3: Controller response
Once the controller receives your declaration, they must stop the processing immediately. Once the consent is withdrawn they are obliged to delete that data, as long as there is no other justification for the continued storage of that data.
You should ideally receive confirmation by the controller that the processing of your data based on consent has been stopped.
Step 4: What should I do if there is a mismatch between how I gave and how I can withdraw my consent?
If you cannot withdraw your consent the same way you gave it, you are entitled to file a complaint with your data protection authority (eg the DPA where you live or work) under Article 77(1) GDPR.
In your complaint, you can specify that the controller has violated Article 7(3) GDPR, which means that they may be subject to penalties from their local DPA such as a fine. Article 83(5)(a) GDPR permits a violation of Article 7(3) by controller to be subject to a fine of up to €20million or 4% total annual worldwide turnover.
Tuttavia, la maggior parte dei consigli sulla revoca del consenso attualmente disponibili si concentra sull'indicazione alle aziende e alle organizzazioni di come devono strutturare le loro pratiche commerciali. In confronto, non c'è quasi nessuna guida che aiuti a orientare i singoli individui su come esercitare il diritto di revoca del consenso. È qui che entrano in gioco le mosse che seguono - continuate a leggere per scoprire come potete esercitare il vostro diritto a ritirare il consenso ..
Che aspetto ha il consenso sotto il GDPR? Qual è il ruolo del consenso nel PILR ?
Secondo il GDPR, il consenso è solo una delle sei basi che una società, un'organizzazione o un altro ente deve utilizzare per elaborare legalmente i vostri dati. Il consenso deve essere una "indicazione libera, specifica, informata e non ambigua" attraverso una dichiarazione o una chiara azione affermativa, che acconsentite al trattamento dei vostri dati
La base giuridica utilizzata per il trattamento dei vostri dati dovrebbe essere spiegata nella politica sulla privacy o nelle condizioni d'uso dell'organizzazione o della società che tratta i vostri dati. Se non riuscite a trovare tali informazioni, la controparte viola gli obblighi di trasparenza della GDPR e avete il diritto di accedere a tali informazioni tramite una richiesta di accesso. (Per fare una di queste, consultate il nostro consiglio per l'esercizio del vostro diritto di accesso).
In tal caso posso ritirare il mio consenso?
Il vostro diritto di revocare il vostro consenso è applicabile solo quando il trattamento dei vostri dati si basa sul consenso. Quando l'elaborazione si basa sulla necessità di eseguire un contratto (ad es. il vostro indirizzo per la consegna della merce), o di soddisfare un requisito di legge (ad es. la comunicazione da parte del vostro datore di lavoro dei vostri dati previdenziali per l'elaborazione dell'imposta sul reddito), questo diritto di revoca non si applica
Se queste informazioni sono difficili da trovare, o non sembrano essere presenti nell'informativa sulla privacy, è colpa del controllore, non vostra. Il GDPR richiede ai responsabili del trattamento di specificare la base giuridica che utilizzano per il trattamento dei vostri dati, in un formato chiaro e leggibile, prima che voi acconsentiate al trattamento. Avete anche il diritto di chiedere al responsabile del trattamento di informarvi sulla base giuridica del trattamento e di ricevere queste informazioni entro un mese dalla richiesta al responsabile del trattamento. (clicca qui per scoprire come puoi esercitare il tuo diritto di accedere a queste informazioni).
Quali sono le conseguenze del ritiro del mio consenso?
Il responsabile del trattamento deve interrompere il trattamento dei vostri dati e (cancellarli) non appena ritirate il vostro consenso. Il diritto di revocare il consenso non è retroattivo, il che significa che le operazioni di trattamento che hanno avuto luogo prima della revoca del consenso non diventeranno illegali al momento della revoca. Inoltre, il responsabile del trattamento non è tenuto a cancellare i vostri dati personali che sono stati elaborati prima della revoca del vostro consenso; sarà tenuto a cancellare tali dati solo se non esistono altre basi legali che ne giustifichino la continuazione del trattamento [A9]
Quando posso esercitare il mio diritto di revoca?
Il consenso può essere revocato in qualsiasi momento
Come posso esercitare il mio diritto di revocare il consenso in pratica?
Il soggetto che raccoglie o utilizza i vostri dati (indicato nel GDPR come responsabile del trattamento) deve inoltre informarvi che avete il diritto di revocare il vostro consenso in qualsiasi momento prima di darlo. In questo momento, il responsabile del trattamento deve anche informarvi su come potete ritirarlo e sulle conseguenze del ritiro dei dati, affinché possiate prendere una decisione il più possibile informata. Queste informazioni devono essere facilmente accessibili (ad es. in un'informativa sulla privacy, sulla casella informativa quando avete dato il vostro consenso. Se si dà il consenso per telefono, questo dovrebbe essere letto a voce)
In linea di massima dovreste poter ritirare il vostro consenso nello stesso modo in cui l'avete dato. Le linee guida dell'EDPB del maggio 2020 chiariscono che dovete poter ritirare il vostro consenso gratuitamente, senza abbassare il livello del servizio che vi viene fornito e senza che il ritiro sia a vostro danno. L'EDPB è l'organismo dell'UE responsabile dell'applicazione coerente del GDPR ed è composto da rappresentanti di ogni DPA.
I passi specifici per la revoca del consenso possono differire leggermente da caso a caso, poiché dipenderà da come lo avete dato. Nonostante ciò, in ogni caso vale una regola generale:
Il ritiro del consenso deve essere facile come il rilascio del consenso. In altre parole, il modo in cui ritirate il consenso dovrebbe rispecchiare il modo in cui lo avete dato, indipendentemente dalla vostra situazione.
1. Identificare dove è necessario inviare la dichiarazione di recesso
Una dichiarazione di revoca del consenso dovrebbe essere effettuata nello stesso modo in cui l'avete dato; ad esempio, se avete dato il vostro consenso tramite un modulo online, dovrebbe esserci un link di facile reperibilità sul sito web della stessa azienda, se l'avete dato quando avete scaricato un'applicazione, dovreste poter revocare il consenso tramite l'applicazione, o se l'avete dato per telefono dovreste poter revocare il consenso tramite lo stesso numero, ecc
Tuttavia, se queste opzioni non sono disponibili, potete comunque ritirare il vostro consenso contattando il controllore per iscritto dichiarando che state ritirando il vostro consenso
Per farlo, potete semplicemente inviare un'e-mail alla società in questione dichiarando che ritirate il vostro consenso
L'indirizzo e-mail pertinente si trova di solito nella sezione "privacy policy" o "contact us" del sito web del controllore. Generalmente avrà un nome come privacy@company.com o legal@publicauthority.eu. Se questo è difficile da trovare, o se non c'è un indirizzo specifico a cui inviare la richiesta, è quello del controllore, non voi - il GDPR richiede ai controllori di rendere queste informazioni facilmente accessibili. Se non c'è un indirizzo e-mail specifico, è possibile utilizzare i dati generali di contatto del controllore
2. Redigere la vostra dichiarazione
(Questo passo potrebbe non essere necessario se ritirate il vostro consenso tramite un modulo online su un sito web o un'applicazione, se disponibile)
Specificare il proprio nome o un altro identificativo utilizzato dal responsabile del trattamento (ad es. il nome utente di un account) e che si sta cercando di ritirare il consenso dato per il trattamento
Inserite la data della vostra richiesta nel testo se inserite la vostra richiesta in un allegato all'e-mail o in una lettera. In questo modo si chiarisce il termine ultimo per l'interruzione dell'elaborazione da parte del responsabile del trattamento.
Per aiutare il controllore ad indirizzare la tua richiesta in modo più efficiente, includi alcune informazioni che potrebbero aiutare a identificare il tuo account, come il tuo numero di telefono (se l'hai dato al momento della registrazione), il nome utente o il nome dell'account, o l'indirizzo IP.
3. Risposta del controllore
Una volta che il controllore riceve la vostra dichiarazione, deve interrompere immediatamente l'elaborazione. Una volta ritirato il consenso, è obbligato a cancellare tali dati, purché non vi siano altre giustificazioni per la conservazione continuativa di tali dati.
L'ideale sarebbe che riceviate dal responsabile del trattamento la conferma che il trattamento dei vostri dati in base al consenso è stato interrotto
4. Cosa devo fare se c'è una discrepanza tra il modo in cui ho dato e il modo in cui posso ritirare il mio consenso?
Se non potete ritirare il vostro consenso nello stesso modo in cui l'avete dato, avete il diritto di presentare un reclamo all'autorità per la protezione dei dati (ad es. l'autorità per la protezione dei dati del paese in cui vivete o lavorate) ai sensi dell'articolo 77, paragrafo 1, del GDPR. Per ulteriori informazioni su come farlo, vedere il link qui.
Nel vostro reclamo, potete specificare che il responsabile del trattamento ha violato l'articolo 7(3) GDPR, il che significa che può essere soggetto a sanzioni da parte dell'autorità di protezione dei dati locali, come una multa. L'articolo 83, paragrafo 5, lettera a), GDPR consente che la violazione dell'articolo 7, paragrafo 3, da parte del controllore sia soggetta a un'ammenda fino a 20 milioni di euro o al 4% del fatturato totale annuo mondiale.