Blog

GDPR – Consenso al Trattamento

Scritto da Bruno Saetta su https://protezionedatipersonali.it/consenso

Il consenso è una delle basi giuridiche del trattamento, nell’ambito del regolamento generale per la protezione dei dati personali.

E’ importante tenere presente che il consenso è solo una delle sei basi giuridiche previste dal GDPR, ed è specifico dovere del titolare del trattamento valutare quale tra esse è la base giuridica più idonea per il trattamento che intende porre in essere. Chiedere il consenso dovrebbe essere ritenuta una richiesta insolita, spesso indica che il titolare vuole sottoporre i dati personali dell’interessato ad un trattamento che l’interessato potrebbe non gradire oppure non essere in grado di aspettarsi ragionevolmente. Il consenso era centrale con la vecchia normativa che instaurava una relazione tra titolare ed interessato, per cui c’era una visione proprietaria del dato, e occorreva il consenso per poterlo trattare. Oggi non è più così, considerato che un cittadino è costantemente soggetto a numerosi trattamenti per cui la tutela della circolazione del dato è essenziale come la tutela dello stesso dato.
Anche perché a seconda della base giuridica variano i diritti dell’interessato.  

Definizione
Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano. Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo. 

Inoltre, in base al Considerando 32: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso“. 

Caratteristiche
Se il titolare decide di basare il trattamento sul consenso deve assicurarsi che esso presenti le seguenti caratteristiche: 

1) inequivocabile;
2) libero;
3) specifico;
4) informato;
5) verificabile;
6) revocabile. 

1) Consenso inequivocabile (unambiguous nella versione inglese) vuol dire che non è necessario che sia esplicito ma può anche essere implicito (ma non tacito), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l’interessato abbia voluto comunicare il proprio consenso (es. l’inerzia non può costituire manifestazione di consenso, come anche i form precompilati e caselle già prespuntate). Cioè deve prevedere una chiara azione positiva (come spuntare una casella od inserire la mail in un campo dove è specificata la finalità per la quale sarà usato il dato). 

Il Considerando 32 del GDPR recita: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Il consenso deve, invece, essere esplicito (art. 9 GDPR) nel caso di trattamento di dati sensibili o nel caso di processi decisionali automatizzati (es. profilazione). 
Occorre dire che la versione originaria della proposta della Commissione europea prevedeva sempre il consenso esplicito, poi si è pervenuti al compromesso attuale. 
Il consenso esplicito si può avere con una dichiarazione scritta e firmata dall’interessato o tramite l’invio di un’email indicante che la persona accetta espressamente il trattamento di determinate categorie di dati, oppure raccogliendo il consenso in due passaggi: inviare un’email all’interessato, che poi dovrò confermare la prima azione di consenso. 

2) Il consenso deve essere dato liberamente, il ché significa che l’interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze negative a seguito del mancato conferimento del consenso. L’articolo 7 del GDPR chiarisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”. 
Ad esempio, nel caso di pubblicità commerciale, il consenso deve essere separato rispetto al consenso per la prestazione contrattuale richiesta dall’utente, perchè l’utente deve avere la possibilità di addivenire al contratto senza dover subire il ricatto di dover ricevere pubblicità commerciale. Non può definirsi libero il consenso a ulteriori trattamenti dei dati personali che l’interessato debba prestare quale condizione per conseguire una prestazione richiesta (provvedimento del Garante del 31 gennaio 2008).

Questo purtroppo porta al rischio che molti dei consensi ottenuti dai servizi online possano essere ritenuti invalidi. Lo stesso Gruppo Articolo 29 fornisce un esempio chiarificatore: una app mobile per il fotoritocco chiede il consenso per accedere alla geolocalizzazione e i dati vengono utilizzati a fini di pubblicità comportamentale. Ma né la geolocalizzazione, né la pubblicità sono necessari per la fornitura del servizio (fotoritocco), per cui subordinare l’uso della App a tale consenso rende il consenso non libero e quindi illecito. 

Sul punto la Corte di Cassazione italiana, con la sentenza n. 17278/2018, ha precisato che il gestore di un sito concernente un servizio fungibile e rinunciabile può negare l’accesso al servizio all’utente che non acconsenta al trattamenti dei propri dati per finalità commerciali. In questo caso il punto focale sta nella fungibilità e rinunciabilità del servizio. Il blocco dell’accesso al sito non pottrebbe essere imposto nel caso in cui il sito offra un servizio essenziale per l’utente. La Corte sostiene che ciò che è interdetto al gestore di “utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia la volontà di riceverli”. 
Il Garante ha, però, ribadito, successivamente, col provvedimento del 12 giugno 2019, che la libertà del consenso “non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta la fruizione di un servizio […] alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse qual è quella di promozione e quella statistica”. In tal senso appare un evidente contrasto tra Suprema Corte e Garante. 

Un altro problema riguarda il consenso dei dipendenti. Se il datore di lavoro richiede il consenso all’utilizzo del dato (es. vuole pubblicare la foto dei dipendenti sul sito web aziendale) e vi è un pregiudizio reale o potenziale per il cliente non consenziente (cosa altamente probabile in un contesto lavorativo), il consenso non può ritenersi valido perché non libero. Dato lo squilibrio di potere tra datore e dipendente, quest’ultimo può dare un consenso valido solo in circostanze eccezionali. Quindi, il consenso non può costituire la base giuridica del trattamento in caso di evidente squilibrio tra le parti. In tal caso sarebbe preferibile trattare i dati su base giuridica differente. 

3) Il consenso deve essere specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento (granularità del consenso). Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità (Considerando 32 GDPR). Quindi, i dati dovranno essere pertinenti al consenso fornito, e in caso di modifiche del trattamento occorre richiedere un nuovo consenso. Per cui avremo un consenso per il marketing diretto, un consenso per la profilazione, ecc… 
Nel caso di titolari congiunti ogni titolare deve acquisirte il consenso relativamente alle proprie finalità. Ad esempio, il gestore di un sito web che utilizza plugin di Facebook dovrà chiedere il consenso con riferimento alla sola raccolta dei dati e successiva comunicazione a Facebook. 
Un caso classico riguarda i cookie. Il consenso deve essere specifico in relazione alla finalità dei cookie, non può essere unico per tutti i cookie se questi hanno finalità differenti. 

4) Il consenso deve essere informato, occorre cioè che l’interessato sia posto in condizioni di conoscere quali dati sono trattati, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge, cioè deve essere rispettato il principio di trasparenza. Inoltre l’interessato deve essere opportunamente informato sulle conseguenze del suo consenso (ad esempio deve essere indicato che in assenza di consenso non potrà accedere a determinate sezioni del sito web). L’informazione si ha attraverso l’apposita informativa, che in questo caso diventa una vera e propria condizione di legittimità del trattamento. Il regolamento europeo si concreta, più che sui requisiti formali del consenso, sulla necessità della validità sostanziale del consenso, per cui l’aspetto informativo è essenziale, richiedendo un linguaggio semplice e comprensibile, anche eventualmente colloquiale. 

5) Consenso verificabile non vuol dire che il consenso deve essere documentato per iscritto, né che è richiesta la forma scritta (anche se in alcune ipotesi -es. dati sensibili-  può essere preferibile perché consente più facilmente di provare il consenso, facilitando quindi le verifiche da parte dell’autorità), ma che l’azienda deve essere in grado di dimostrare che l’interessato lo ha conferito con riferimento a quello specifico trattamento (quindi distinguendo tra i vari trattamenti). L’azienda dovrà essere in grado di sapere anche a quale informativa l’utente ha acconsentito, distinguendo tra le varie versioni. 
Il WP29 suggerisce di utilizzare un registro nel quale siano conservate le informazioni relative alla sessione in cui è stato espresso il consenso, unitamente alla documentazione del flusso di lavoro del consenso, e una copia delle informazioni presentate all’interessato in quel momento. 

6) Il consenso deve essere revocabile in qualsiasi momento. La revoca deve essere facile così come lo è dare il consenso. Non vi è alcun obbligo di motivare la revoca, a seguito della quale il trattamento deve interrompersi (ovviamente la revoca non comporta illiceità del trattamento precedente, ma solo l’obbligo di terminare il trattamento), a meno che non sussista una differente base giuridica per continuare il trattamento. 
Per revocare il consenso, quindi, il titolare dovrebbe predisporre una procedura analoga a quella offerta per concedere il consenso. In alternativa è possibile revocare il consenso inviando una comunicazione, o tramite un apposito form sul sito, o tramite mail, ai contatti indicati nel sito all’interno dell’informativa (interpello al titolare). Nel caso in cui il titolare non ottemperi, ci si può rivolgere al Garante o al tribunale per la tutela dei propri diritti. 

Con la revoca si innesca il diritto di cancellazione, per cui l’azienda deve cancellare i dati dell’utente. Ovviamente vi sono motivi legittimi in base ai quali un’azienda ha necessità di conservare alcuni dati dell’utente anche dopo la revoca del consenso, come ad esempio mantenere un registro delle transazioni per motivi fiscali. In ogni caso l’azienda può avvertire l’interessato che a seguito della revoca del consenso, vi sarà la cancellazione dei dati è la conseguente impossibilità di fornire ulteriori servizi. 

Scadenza
Occorre tenere presente che il consenso non dura per sempre. Quando si raccolgono dati personali occorre informare l’interessato della durata della conservazione (e quindi trattamento) del dato, scaduta la quale il dato va o anonimizzato oppure cancellato. Per questo motivo in alcuni casi potrebbe essere preferibile una base giuridica diversa dal consenso, come ad esempio i legittimi interessi del titolare del trattamento. 

Dati soggetti a trattamento speciale
Per i dati soggetti a trattamento speciale, cioé quelli che una volta si definivano dati sensibili, con in più i dati biometrici e genetici, sussiste un generale divieto di trattamento, con una serie di esenzioni, tra i quali il consenso esplicito. A parte, ovviamente, il trattamento per l’attività giornalistica, che è a forma libera per qualsiasi tipo di dato. 

Minori
Il consenso dei minori è valido a partire dai 16 anni di età. Prima dei 16 anni occorre raccogliere il consenso dei genitori o di chi ne fa le veci. 

Portabilità dei dati
Se il trattamento dei dati è basato sul consenso dell’interessato, questi acquisisce l’ulteriore diritto alla portabilità dei dati. 

Consenso e regolamento ePrivacy
Il consenso è un prerequisito del regolamento ePrivacy. Quest’ultimo, infatti, nel disciplinare le comunicazioni elettroniche, compreso i cookie, fa riferimento alla definizione di consenso contenuta nella normativa generale, che oggi è il regolamento europeo. Di conseguenza nell’applicare la ePrivacy occorre sempre fare riferimento al consenso di cui al GDPR. Ad esempio, nella gestione dei cookie occorre che il consenso sia specifico, cioé separato per finalità.