Il consenso al trattamento dei dati personali

Consenso al trattamento dei dati
40

La disciplina in materia di consenso al trattamento dei dati personali e GDPR

In tempi recenti il legislatore europeo è intervenuto in materia di trattamento e tutela dei dati personali, al fine di rispondere alle sfide poste dal progresso tecnologico e dai nuovi modelli economici. La disciplina in materia di trattamento dei dati personali riconosce all’istituto del consenso al trattamento dei dati personali una particolare rilevanza.

Infatti, come stabilito dal Regolamento UE 2016/679 sulla protezione dei dati (GDPR), il consenso costituisce una delle condizioni legittimanti il trattamento dei dati personali; purché  l’interessato sia nella condizione di scegliere se prestarlo o meno, senza subire per questo un danno o un pregiudizio.

Sul punto, il considerando 40 del Regolamento descrive il consenso quale condizione di legittimità del trattamento e dispone che perchè sia lecito, il trattamento dei dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal Regolamento o dal diritto dell’unione o degli Stati membri”. 

Definire l’istituto  del consenso al trattamento

Per rispondere è necessario partire dalla definizione che ne dà l’art. 4 n° 11 del GDPR, il quale definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. 

In merito, il considerando 32 del Regolamento dispone che il consenso “dovrebbe essere espresso mediante un atto positivo, inequivocabile, con il quale l’interessato manifesti l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano” e che “non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione delle caselle.

Il primo e il secondo requisito del consenso al trattamento dei dati personali

Dall’art. 4 n.° 11 del GDPR, quindi, emerge che il consenso, per costituire una base giuridica del trattamento, deve soddisfare i seguenti requisiti: essere libero, specifico, informato ed inequivocabile.

Come appena detto, il primo requisito è che il consenso sia prestato in modo libero, ovvero che sia stato espresso quando l’interessato sia in grado di operare una scelta autentica, oppure quando egli sia libero di rifiutarlo senza perciò subire alcun pregiudizio. Il consenso, poi. deve essere prestato da un soggetto che abbia la capacità giuridica di farlo. Non sarà valido il consenso che non sia frutto di una scelta libera ed effettiva. 

Sul punto, l’art. 7 comma 4 del GDPR sancisce che “nel valutare se il consenso è stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto“. Tale norma sancisce che, ad esempio nel caso di pubblicità commerciale, il consenso al trattamento deve essere separato rispetto al consenso per la prestazione contrattuale richiesta dall’utente.

Il secondo requisito ha ad oggetto la specificità del consenso. L’art. 6 comma 1 lett. a) sancisce che il consenso dell’interessato deve essere prestato “per una o più specifiche finalità” e deve essere espresso per ognuna di esse. 

Si parla di “granularità del consenso al trattamento dei dati personali” mutuando l’espressione dal Working Party Art. 29 (Gruppo di Lavoro Art. 29 o WP29), il quale afferma che l’interessato deve esser messo in condizione di scegliere le singole finalità e non deve essere costretto a fornire il consenso “in blocco” per più finalità. Questa specificità dovrebbe garantire all’interessato un maggiore controllo sui suoi dati e, al contempo, un elevato livello di trasparenza, principio che costituisce uno dei pilastri del GDPR. 

In tal senso dispone il considerando 32,  stabilendo che “Qualora il trattamento abbia più finalità, il consenso deve essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso“. Da tale norma si evince che la libertà della scelta viene meno se all’interessato non è richiesto un consenso specifico e separato per ogni data finalità. Il secondo comma dell’art. 7 del GDPR chiarisce: “Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è prestata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro“.

Il terzo e quarto requisito del consenso al trattamento dei dati personali

Terza caratteristica che il consenso deve avere, secondo la normativa sul trattamento dei dati personali, è che sia “informato”. Tale requisito è un corollario del principio di trasparenza, sancito, unitamente a quelli di liceità e correttezza, dall’art. 5  comma 1 lett. a) del GDPR. Tale requisito si esplica nella obbligatorietà dell’informativa all’interessato, prima che questi sia chiamato ad esprimere il proprio consenso al trattamento dei propri dati personali. Affinché, infatti, l’interessato possa fornire un consenso effettivo e consapevole egli deve essere reso edotto in merito a quali dati personali siano oggetto di trattamento, con quali modalità e per quali finalità il consenso è richiesto. Un altro elemento che deve essere reso noto all’interessato è l’identità del Titolare. 

Il Gruppo di Lavoro Art. 29, ha distinto due tipologie di informativa: quella minima e quella estesa. Quest’ultima deve informare l’interessato in merito ai diritti conferitigli dalla legge ed al modo in cui questi possono essere azionati.

Il quarto requisito richiede che il consenso si configuri come un’azione positiva non equivocabile, per esempio una dichiarazione, sia essa scritta – anche attraverso mezzi elettronici – o orale. In questo senso, possono considerarsi casi di inequivocabilità la spunta di un’apposita casella, la scelta di impostazioni tecniche per i servizi della società dell’informazione o qualsiasi altro comportamento che indichi chiaramente che in tale contesto  l’interessato accetta il trattamento proposto. 

Tuttavia, è da notare come il requisito della inequivocabilità non richieda che il consenso sia esplicito, in quanto può anche desumersi implicitamente, purché non vi siano spazi per dubbi o incertezze in merito alla volontà dell’interessato. 

Vi sono, invece, dei casi in cui il Regolamento richiede espressamente che il consenso sia esplicito. Il primo caso riguarda il trattamento di dati particolari di cui art. 9 del GDPR, mentre il secondo caso ha ad oggetto i processi decisionali automatizzati, come la profilazione.  

Verificabilità e la revocabilità del consenso al trattamento

Inoltre, l’art. 7 del GDPR stabilisce quali siano le condizioni per un corretto consenso al trattamento dei dati personali, stabilendo così due ulteriori requisiti, ovvero la verificabilità e la revocabilità dello stesso.

Il consenso, per essere conforme al requisito della verificabilità, richiede che il Titolare sia in grado di dimostrare che l’interessato l’abbia conferito con riferimento ad uno specifico trattamento (art. 7 comma 1 del GDPR). Il Considerando 42 sancisce che relativamente ai trattamenti basati sul consenso dell’interessato “il Titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa ad un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un  consenso e della misura in cui ciò avviene.”  Alla luce di tale disposizione, possiamo affermare che la prova dell’avvenuta espressione del consenso spetta al Titolare del trattamento in virtù del principio di accountability che permea tutta la normativa europea. Tale obbligo permane per tutta la durata del trattamento. Nulla invece ci dice il GDPR circa le modalità con le quali il Titolare del trattamento deve dimostrare che il consenso è stato prestato.

Infine, ultimo requisito del consenso è costituito dalla sua revocabilità in qualsiasi momento da parte dell’interessato (art. 7 comma 3 del GDPR) e la portabilità dei dati. A fronte della revoca del consenso, l’interessato non deve subire alcun pregiudizio e il trattamento – a meno che non possa continuare in base ad un’altra condizione legittimante – deve interrompersi. I trattamenti già eseguiti in base al consenso ora revocato rimangono tuttavia leciti; solo che non possono più proseguire. In sostanza, la revoca non toglie legittimità ai trattamenti già effettuati, ma solo a quelli successivi alla revoca stessa.  

Infine, deve  essere possibile revocare il consenso al trattamento dei dati personali con la stessa facilità con cui è stato precedentemente accordato, è ciò che emerge dalla normativa. La stessa normativa non precisa invece quali siano i requisiti da soddisfare circa le forme e le modalità di esercizio della revoca del consenso.

Avv. William Dispoto

Potrebbero interessarti
GDPR Cosa devono fare le aziende per adeguarsiGDPR – Cosa devono fare le aziende per adeguarsi?
Privacy awarenessPrivacy awareness: la risorsa per affrontare il mondo digitale
Aprire un negozio onlineCome aprire un negozio online – Aspetti legali dell’ecommerce
Chi è il DPOChi è il DPO? Requisiti, compiti e quando nominarlo
Portabilita datiPortabilità dei dati: soluzioni pratiche per il corretto esercizio
Privacy smart workingLa privacy nello smart working