
GDPR – Consenso al Trattamento
Scritto da Bruno Saetta su https://protezionedatipersonali.it/consenso
Il consenso è una delle basi giuridiche del trattamento, nell’ambito del regolamento generale per la protezione dei dati personali.
E’ importante tenere presente che il consenso è solo una
delle sei basi giuridiche previste dal GDPR, ed è specifico dovere del titolare del trattamento
valutare quale tra esse è la base giuridica più idonea per il trattamento che intende porre in
essere. Chiedere il consenso dovrebbe essere ritenuta una richiesta insolita,
spesso indica che il titolare vuole sottoporre i dati personali dell’interessato
ad un trattamento che l’interessato potrebbe non gradire oppure non essere in
grado di aspettarsi ragionevolmente. Il consenso era centrale con la vecchia normativa che instaurava una relazione
tra titolare ed interessato, per cui c’era una visione proprietaria del dato, e
occorreva il consenso per poterlo trattare. Oggi non è più così, considerato
che un cittadino è costantemente soggetto a numerosi trattamenti per cui la
tutela della circolazione del dato è essenziale come la tutela dello stesso
dato.
Anche perché a seconda della base giuridica variano i diritti dell’interessato.
Definizione
Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR),
è qualsiasi manifestazione di volontà libera, specifica, informata e
inequivocabile dell’interessato, con la
quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione
positiva inequivocabile, al trattamento dei dati personali che lo riguardano. Il presupposto
indefettibile è che il soggetto che conferisce il consenso abbia la capacità
giuridica per farlo.
Inoltre, in base al Considerando 32: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso“.
Caratteristiche
Se il titolare decide di basare il trattamento sul consenso deve
assicurarsi che esso presenti le seguenti caratteristiche:
1) inequivocabile;
2) libero;
3) specifico;
4) informato;
5) verificabile;
6) revocabile.
1) Consenso inequivocabile (unambiguous nella versione inglese) vuol dire che non è necessario che sia esplicito ma può anche essere implicito (ma non tacito), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l’interessato abbia voluto comunicare il proprio consenso (es. l’inerzia non può costituire manifestazione di consenso, come anche i form precompilati e caselle già prespuntate). Cioè deve prevedere una chiara azione positiva (come spuntare una casella od inserire la mail in un campo dove è specificata la finalità per la quale sarà usato il dato).
Il Considerando 32 del GDPR recita: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Il consenso deve, invece, essere esplicito (art.
9 GDPR) nel caso di trattamento di dati sensibili o nel caso di processi
decisionali automatizzati (es. profilazione).
Occorre dire che la versione originaria della proposta della Commissione
europea prevedeva sempre il consenso esplicito, poi si è pervenuti al
compromesso attuale.
Il consenso esplicito si può avere con una dichiarazione scritta e firmata
dall’interessato o tramite l’invio di un’email indicante che la persona accetta
espressamente il trattamento di determinate categorie di dati,
oppure raccogliendo il consenso in due passaggi: inviare un’email all’interessato,
che poi dovrò confermare la prima azione di consenso.
2) Il consenso deve essere dato liberamente, il
ché significa che l’interessato deve essere in grado di operare una scelta
effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze
negative a seguito del mancato conferimento del consenso. L’articolo 7 del GDPR
chiarisce che “nel valutare se il consenso sia stato liberamente prestato,
si tiene nella massima considerazione l’eventualità, tra le altre, che
l’esecuzione di un contratto, compresa la prestazione di un servizio, sia
condizionata alla prestazione del consenso al trattamento di dati personali non
necessario all’esecuzione di tale contratto”.
Ad esempio, nel caso di pubblicità
commerciale, il consenso deve essere separato rispetto al consenso per
la prestazione contrattuale richiesta dall’utente, perchè l’utente deve
avere la possibilità di addivenire al contratto senza dover subire il ricatto
di dover ricevere pubblicità commerciale. Non può definirsi libero il consenso
a ulteriori trattamenti dei dati personali che l’interessato debba prestare
quale condizione per conseguire una prestazione richiesta (provvedimento
del Garante del 31 gennaio 2008).
Questo purtroppo porta al rischio che molti dei consensi ottenuti dai servizi
online possano essere ritenuti invalidi. Lo stesso Gruppo Articolo 29 fornisce un esempio
chiarificatore: una app mobile per il fotoritocco chiede il consenso per
accedere alla geolocalizzazione e i dati vengono utilizzati a fini di
pubblicità comportamentale. Ma né la geolocalizzazione, né la pubblicità sono
necessari per la fornitura del servizio (fotoritocco), per cui subordinare
l’uso della App a tale consenso rende il consenso non libero e quindi
illecito.
Sul punto la Corte
di Cassazione italiana, con la sentenza n. 17278/2018, ha precisato che il
gestore di un sito concernente un servizio fungibile e rinunciabile può
negare l’accesso al servizio all’utente che non acconsenta al trattamenti dei
propri dati per finalità commerciali. In questo caso il punto focale sta nella
fungibilità e rinunciabilità del servizio. Il blocco dell’accesso al sito non
pottrebbe essere imposto nel caso in cui il sito offra un servizio essenziale
per l’utente. La Corte sostiene che ciò che è interdetto al gestore di “utilizzare
i dati personali per somministrare o far somministrare informazioni
pubblicitarie a colui che non abbia la volontà di riceverli”.
Il Garante ha, però, ribadito, successivamente, col provvedimento del 12 giugno
2019, che la libertà del consenso “non è assicurata né quando viene
richiesto un unico consenso per più diverse finalità di trattamento, né quando
si assoggetta la fruizione di un servizio […] alla previa autorizzazione a
trattare i dati conferiti, ai fini di tale servizio, per finalità diverse qual
è quella di promozione e quella statistica”. In tal senso appare un
evidente contrasto tra Suprema Corte e Garante.
Un altro problema riguarda il consenso dei dipendenti. Se il datore di lavoro richiede il consenso all’utilizzo del dato (es. vuole pubblicare la foto dei dipendenti sul sito web aziendale) e vi è un pregiudizio reale o potenziale per il cliente non consenziente (cosa altamente probabile in un contesto lavorativo), il consenso non può ritenersi valido perché non libero. Dato lo squilibrio di potere tra datore e dipendente, quest’ultimo può dare un consenso valido solo in circostanze eccezionali. Quindi, il consenso non può costituire la base giuridica del trattamento in caso di evidente squilibrio tra le parti. In tal caso sarebbe preferibile trattare i dati su base giuridica differente.
3) Il consenso deve essere specifico, cioè relativo
alla finalità per la quale è eseguito quel trattamento (granularità del
consenso). Qualora il trattamento abbia più finalità, il consenso dovrebbe
essere prestato per ogni finalità (Considerando 32 GDPR). Quindi, i dati
dovranno essere pertinenti al consenso fornito, e
in caso di modifiche del trattamento occorre richiedere un nuovo consenso. Per
cui avremo un consenso per il marketing diretto, un
consenso per la profilazione, ecc…
Nel caso di titolari congiunti ogni
titolare deve acquisirte il consenso relativamente alle proprie finalità. Ad
esempio, il gestore di un sito web che utilizza plugin di Facebook dovrà
chiedere il consenso con riferimento alla sola raccolta dei dati e successiva
comunicazione a Facebook.
Un caso classico riguarda i cookie. Il consenso deve essere specifico in relazione
alla finalità dei cookie, non può essere unico per tutti i cookie se questi
hanno finalità differenti.
4) Il consenso deve essere informato, occorre cioè che l’interessato sia posto in condizioni di conoscere quali dati sono trattati, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge, cioè deve essere rispettato il principio di trasparenza. Inoltre l’interessato deve essere opportunamente informato sulle conseguenze del suo consenso (ad esempio deve essere indicato che in assenza di consenso non potrà accedere a determinate sezioni del sito web). L’informazione si ha attraverso l’apposita informativa, che in questo caso diventa una vera e propria condizione di legittimità del trattamento. Il regolamento europeo si concreta, più che sui requisiti formali del consenso, sulla necessità della validità sostanziale del consenso, per cui l’aspetto informativo è essenziale, richiedendo un linguaggio semplice e comprensibile, anche eventualmente colloquiale.
5) Consenso verificabile non vuol dire che il
consenso deve essere documentato per iscritto, né che è richiesta la forma
scritta (anche se in alcune ipotesi -es. dati sensibili- può essere
preferibile perché consente più facilmente di provare il consenso, facilitando
quindi le verifiche da parte dell’autorità), ma che l’azienda deve essere
in grado di dimostrare che l’interessato lo ha conferito con riferimento a
quello specifico trattamento (quindi distinguendo tra i vari trattamenti).
L’azienda dovrà essere in grado di sapere anche a quale informativa l’utente ha
acconsentito, distinguendo tra le varie versioni.
Il WP29 suggerisce di
utilizzare un registro nel quale siano conservate le informazioni relative alla
sessione in cui è stato espresso il consenso, unitamente alla documentazione
del flusso di lavoro del consenso, e una copia delle informazioni presentate
all’interessato in quel momento.
6) Il consenso deve essere revocabile in
qualsiasi momento. La revoca deve essere facile così come lo è dare il
consenso. Non vi è alcun obbligo di motivare la revoca, a seguito della
quale il trattamento deve interrompersi (ovviamente la revoca non comporta
illiceità del trattamento precedente, ma solo l’obbligo di terminare il
trattamento), a meno che non sussista una differente base giuridica per
continuare il trattamento.
Per revocare il consenso, quindi, il titolare dovrebbe predisporre una
procedura analoga a quella offerta per concedere il consenso. In alternativa è
possibile revocare il consenso inviando una comunicazione, o tramite un
apposito form sul sito, o tramite mail, ai contatti indicati nel sito all’interno
dell’informativa (interpello al titolare).
Nel caso in cui il titolare non ottemperi, ci si può rivolgere al Garante o al
tribunale per la tutela dei propri diritti.
Con la revoca si innesca il diritto di cancellazione, per cui l’azienda deve cancellare i dati dell’utente. Ovviamente vi sono motivi legittimi in base ai quali un’azienda ha necessità di conservare alcuni dati dell’utente anche dopo la revoca del consenso, come ad esempio mantenere un registro delle transazioni per motivi fiscali. In ogni caso l’azienda può avvertire l’interessato che a seguito della revoca del consenso, vi sarà la cancellazione dei dati è la conseguente impossibilità di fornire ulteriori servizi.
Scadenza
Occorre tenere presente che il consenso non dura per sempre. Quando si
raccolgono dati personali occorre informare l’interessato della durata della
conservazione (e quindi trattamento) del dato, scaduta la quale il dato va
o anonimizzato oppure cancellato. Per questo motivo in alcuni casi potrebbe
essere preferibile una base giuridica diversa dal consenso, come ad esempio i legittimi
interessi del titolare del trattamento.
Dati soggetti a trattamento speciale
Per i dati soggetti a trattamento speciale, cioé quelli che una volta si
definivano dati sensibili, con in più i dati biometrici e genetici, sussiste un
generale divieto di trattamento, con una serie di esenzioni, tra i quali il consenso
esplicito. A parte, ovviamente, il trattamento per l’attività giornalistica, che è a forma libera
per qualsiasi tipo di dato.
Minori
Il consenso dei
minori è valido a partire dai 16 anni di età. Prima dei 16 anni occorre
raccogliere il consenso dei genitori o di chi ne fa le veci.
Portabilità dei dati
Se il trattamento dei dati è basato sul consenso dell’interessato, questi
acquisisce l’ulteriore diritto alla portabilità dei dati.
Consenso e regolamento ePrivacy
Il consenso è un prerequisito del regolamento ePrivacy. Quest’ultimo, infatti,
nel disciplinare le comunicazioni elettroniche, compreso i cookie, fa riferimento alla definizione di consenso
contenuta nella normativa generale, che oggi è il regolamento europeo. Di
conseguenza nell’applicare la ePrivacy occorre sempre fare riferimento al
consenso di cui al GDPR. Ad esempio, nella gestione dei cookie occorre che il consenso sia specifico, cioé
separato per finalità.