Consenso al trattamento

Consenso al trattamento

Il consenso è una delle basi giuridiche del trattamento, nell'ambito del regolamento generale per la protezione dei dati personali.

E' importante tenere presente che il consenso è solo una delle sei basi giuridiche previste dal GDPR, ed è specifico dovere del titolare del trattamento valutare quale tra esse è la base giuridica più idonea per il trattamento che egli intende porre in essere. Chiedere il consenso dovrebbe essere ritenuta una richiesta insolita, spesso indica che il titolare vuole sottoporre i dati personali dell'interessato ad un trattamento che l'interessato potrebbe non gradire oppure non essere in grado di aspettarsi ragionevolmente. Il consenso era centrale con la vecchia normativa che instaurava una relazione tra titolare ed interessato, per cui c'era una visione proprietaria del dato, e occorreva il consenso per poterlo trattare. Oggi non è più così, considerato che un cittadino è costantemente soggetto a numerosi trattamenti per cui la tutela della circolazione del dato è essenziale come la tutela dello stesso dato. Anche perché a seconda della base giuridica variano i diritti dell'interessato

 

Definizione

Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano. Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo. 

Inoltre, in base al Considerando 32: "il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso". 

 

Caratteristiche

Il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare i termini proposti o rifiutarli senza subire pregiudizio. Per cui il titolare che decide di basare il trattamento sul consenso deve assicurarsi che esso presenti le seguenti caratteristiche: 
1) inequivocabile; 
2) libero (liberamente fornito); 
3) specifico; 
4) informato; 
5) verificabile; 
6) revocabile. 

1) Consenso inequivocabile (unambiguous nella versione inglese) vuol dire che non è necessario che sia esplicito ma può anche essere implicito (ma non tacito), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l'interessato abbia voluto comunicare il proprio consenso (es. l'inerzia non può costituire manifestazione di consenso, come anche i form precompilati e caselle già prespuntate). Cioè deve prevedere una chiara azione positiva (come spuntare una casella od inserire la mail in un campo dove è specificata la finalità per la quale sarà usato il dato). 

Il Considerando 32 del GDPR recita: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”. 

Per cui azioni quali scorrere un sito o sfogliarne le pagine o azioni analoghe dell'utente (vedi anche -> Cookie Law) non potranno in alcun caso soddisfare il requisito di un'azione positiva inequivocabile: azioni di questo tipo possono essere difficili da distinguere da altre azioni o interazioni dell'utente e quindi non è possibile stabilire che è stato ottenuto un consenso inequivocabile. Inoltre, in un caso del genere, sarà difficile dare all'utente la possibilità di revocare il consenso con la stessa facilità con cui lo ha espresso. 

E' importante tenere presente che il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio.  L’accettazione globale delle condizioni generali di contratto/servizio non può essere considerata come un’azione positiva inequivocabile ai fini del consenso all’uso dei dati personali


2) Il consenso deve essere dato liberamente, il ché significa che l'interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze negative a seguito del mancato conferimento del consenso. L’articolo 7 del GDPR chiarisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”. Ad esempio, nel caso di pubblicità commerciale, il consenso deve essere separato rispetto al consenso per la prestazione contrattuale richiesta dall'utente, perchè l'utente deve avere la possibilità di addivenire al contratto senza dover subire il ricatto di dover ricevere pubblicità commerciale. Non può definirsi libero il consenso a ulteriori trattamenti dei dati personali che l'interessato debba prestare quale condizione per conseguire una prestazione richiesta (provvedimento del Garante del 31 gennaio 2008).

Questo purtroppo porta al rischio che molti dei consensi ottenuti dai servizi online possano essere ritenuti invalidi. Lo stesso Gruppo Articolo 29 fornisce un esempio chiarificatore: una app mobile per il fotoritocco chiede il consenso per accedere alla geolocalizzazione e i dati vengono utilizzati a fini di pubblicità comportamentale. Ma né la geolocalizzazione né la pubblicità sono necessari per la fornitura del servizio (fotoritocco), per cui subordinare l'uso della App a tale consenso rende quest'ultimo non libero e quindi illecito. 

Un altro problema riguarda il consenso dei dipendenti. Se il datore di lavoro richiede il consenso all'utilizzo del dato (es. vuole pubblicare la foto dei dipendenti sul sito web aziendale) e vi è un pregiudizio reale o potenziale per il cliente non consenziente (cosa altamente probabile in un contesto lavorativo), il consenso non può ritenersi valido perché non libero. Dato lo squilibrio di potere tra datore e dipendente, quest'ultimo può dare un consenso valido solo in circostanze eccezionali. Quindi, il consenso non può costituire la base giuridica del trattamento in caso di evidente squilibrio tra le parti. In tal caso sarebbe preferibile trattare i dati su base giuridica differente. 

Appare evidente, quindi, che il trattamento dei dati da parte delle autorità pubbliche raramente può basarsi sul consenso, in quanto sussiste spesso un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato, per cui l’interessato non dispone di alternative realistiche all’accettazione (dei termini) del trattamento. 


3) Il consenso deve essere specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento (granularità del consenso). Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità (Considerando 32 GDPR). Quindi, i dati dovranno essere pertinenti al consenso fornito, e in caso di modifiche del trattamento occorre richiedere un nuovo consenso. Per cui avremo un consenso per il marketing diretto, un consenso per la profilazione, ecc... 
Nel caso di titolari congiunti ogni titolare deve acquisirte il consenso relativamente alle proprie finalità. Ad esempio, il gestore di un sito web che utilizza plugin di Facebook dovrà chiedere il consenso con riferimento alla sola raccolta dei dati e successiva comunicazione a Facebook. 

Ovviamente, nel caso in cui nuove finalità siano aggiunte dal titolare, questi dovrà chiedere un nuovo consenso all'interessato, informandolo correttamente e compiutamente. 

Un caso classico riguarda i cookie: il consenso deve essere specifico in relazione alla finalità dei cookie, non può essere unico per tutti i cookie se questi hanno finalità differenti. 


4) Il consenso deve essere informato, occorre cioè che l'interessato sia posto in condizioni di conoscere quali dei suoi dati sono trattati dal titolare, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge. Cioè deve essere rispettato il principio di trasparenza. Inoltre l'interessato deve essere opportunamente informato sulle conseguenze del suo consenso (ad esempio deve essere indicato che in assenza di consenso non potrà accedere a determinate sezioni del sito web). Tutte queste informazioni vengono fornite tramite l'apposita informativa, che in questo caso diventa una vera e propria condizione di legittimità del trattamento. Il regolamento europeo si concreta, più che sui requisiti formali del consenso, sulla necessità della validità sostanziale del consenso, per cui l'aspetto informativo è essenziale, richiedendo (art. 7 GDPR) un linguaggio semplice e comprensibile (specialmente con riferimento ai minori), anche eventualmente colloquiale. 


5) Consenso verificabile non vuol dire che il consenso deve essere documentato per iscritto, né che è richiesta necessariamente la forma scritta (anche se in alcune ipotesi -es. dati a protezione speciale ex art. 9 GDPR-  può essere preferibile perché permette più facilmente di provare il conferimento del consenso, facilitando quindi le verifiche da parte dell'autorità), ma che l'azienda deve essere in grado di dimostrare (Considerando 42) che l'interessato lo ha conferito (art. 7 GDPR) con riferimento a quello specifico trattamento (quindi distinguendo tra i vari trattamenti) per tutto il periodo nel quale il trattamento viene effettuato. Al termine dell’attività di trattamento la prova del conferimento del consenso deve essere conservata per non più tempo di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (articolo 17 GDPR). L'azienda dovrà essere in grado di sapere anche a quale informativa l'utente ha acconsentito, distinguendo tra le varie versioni. Il WP29 suggerisce di utilizzare un registro nel quale siano conservate le informazioni relative alla sessione in cui è stato espresso il consenso, unitamente alla documentazione del flusso di lavoro del consenso, e una copia delle informazioni presentate all'interessato in quel momento. 


6) Il consenso deve essere revocabile in qualsiasi momento, e la revoca deve essere facile così come lo è dare il consenso. Non vi è alcun obbligo di motivare la revoca, a seguito della quale il trattamento deve interrompersi (ovviamente la revoca non comporta illiceità del trattamento precedente, ma solo l'obbligo di terminare il trattamento), a meno che non sussista una differente base giuridica per continuare il trattamento. Per revocare il consenso, quindi, il titolare dovrebbe predisporre una procedura analoga a quella offerta per concedere il consenso. In alternativa è possibile revocare il consenso inviando una comunicazione, o tramite un apposito form sul sito, o tramite mail, ai contatti indicati nel sito all'interno dell'informativa (interpello al titolare). Nel caso in cui il titolare non ottemperi, ci si può rivolgere al Garante o al tribunale per la tutela dei propri diritti

Con la revoca si innesca il diritto di cancellazione, per cui l'azienda deve cancellare i dati dell'utente, a meno che non esista una differente base giuridica per conservare alcuni dati, come ad esempio mantenere un registro delle transazioni per motivi fiscali. Per questo motivo è essenziale che il titolare informi l'interessato delle basi giuridiche relative alle varie finalità, in tal modo potrà conservare i dati collegati a basi giuridiche differenti dal consenso. In ogni caso l'azienda può avvertire l'interessato che a seguito della revoca del consenso vi sarà la cancellazione dei dati e la conseguente impossibilità di fornire ulteriori servizi. 

 

Casi di consenso esplicito

Il consenso deve, invece, essere esplicito nel caso di trattamento di dati soggetti a trattamento speciale (art. 9 GDPR, una volta detti dati sensibili), nel caso di trasferimenti di dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate (art. 49) o nel caso di processi decisionali automatizzati compresa la profilazione (art. 22). Occorre dire che la versione originaria della proposta della Commissione europea prevedeva sempre il consenso esplicito, poi si è pervenuti al compromesso attuale. Il consenso esplicito si può avere con una dichiarazione scritta e firmata dall'interessato o tramite l'invio di un'email indicante che la persona accetta espressamente il trattamento di determinate categorie di dati, oppure raccogliendo il consenso in due passaggi: inviare un'email all'interessato, che poi dovrò confermare la prima azione di consenso. 

 

Casi di esenzione dal consenso

Con il provvedimento del 5 giugno 2019 (Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101) l'Autorità Garante italiana è intervenuta sul consenso al trattamento in specifici ambiti, prevedendo che il consenso non sia necessario quando vengono perseguite specifiche finalità. 

Rapporti di lavoro 

Con riferimento alle seguenti categorie: 
a) candidati all’instaurazione dei rapporti di lavoro, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell’instaurazione di un rapporto di lavoro (art. 111-bis del Codice);
b) lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l’abilitazione professionale, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
d) soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti indicati nel precedente punto 1.1.;
e) persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi indicati nel precedente punto 1.1.;
f) terzi danneggiati nell’esercizio dell’attività lavorativa o professionale;
g) terzi (familiari o conviventi dei soggetti di cui alla precedente lett. b) e d) per il rilascio di agevolazioni e permessi.

Se il trattamento è realizzato da specifiche categorie di titolari indicate nel provvedimento, non è richiesto il consenso dell'interessato purché il trattamento sia realizzato per le specifiche finalità indicate nel provvedimento (es. trattamento di dati tratti da un curriculum spontaneamente inviato a un datore di lavoro per finalità di instaurazione di un rapporto di lavoro e quindi per una candidatura). 

 

Dati trattati da organismi di tipo associativo

Anche in questo caso sono specificate delle categori di trattamenti che sono esenti da consenso purché siano realizzati per specifiche finalità, come indicate nel provvedimento del Garante. 

 

Trattamento dei dati personali relativi a condanne o reati

Il regolamento europeo (art. 10) prevede che i dati relativi a condanne o reati possano essere trattati solo sotto il controllo dell'autorità pubblica, Ciò comporta che tali dati non possono essere trattati da privati e quindi non possono essere richiesti nemmeno in caso di verifica per la candidatura ad un posto di lavoro. I dati giudiziari possono essere trattati solo nel caso in cui tale trattamento sia espressamente previsto da una norma di legge (es. trattamento da parte di professionisti per la tutela di diritti)

 

Periodo di conservazione del dato personale

Anche se il Regolamento europeo non prevede un termine per il consenso, questo non dura per sempre. Quando si raccolgono dati personali occorre informare l'interessato della durata della conservazione (e quindi trattamento) del dato, scaduta la quale il dato va anonimizzato oppure cancellato. Per questo motivo in alcuni casi potrebbe essere preferibile una base giuridica diversa dal consenso, come ad esempio i legittimi interessi del titolare del trattamento

 

Dati soggetti a trattamento speciale (art. 9)

Per i dati soggetti a trattamento speciale, cioé quelli che una volta si definivano dati sensibili, con in più i dati biometrici e genetici, sussiste un generale divieto di trattamento, con una serie di esenzioni, tra i quali il consenso esplicito. A parte, ovviamente, il trattamento per l'attività giornalistica, che è a forma libera per qualsiasi tipo di dato. 

 

Consenso dei minori

La normativa europea introduce obblighi supplementari per particolari categorie di soggetti, come i minori che possono essere meno consapevoli dei rischi, delle
conseguenze e delle misure di salvaguardia interessate, nonché dei loro diritti in relazione al trattamento dei dati personali (Considerando 38). La protezione specifica per i minori dovrebbe, in particolare, riguardare l’utilizzo dei dati personali a fini di marketing o di creazione di profili personali. Il consenso fornito dai minori, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, è valido a partire dai 16 anni di età. Prima dei 16 anni (in Italia 14 anni, come stabilito dal legislatore) occorre raccogliere il consenso dei genitori o di chi ne fa le veci. 

 

Portabilità dei dati

Se il trattamento dei dati è basato sul consenso dell'interessato, questi acquisisce l'ulteriore diritto alla portabilità dei dati

 

Consenso e regolamento ePrivacy

Il consenso è un prerequisito del regolamento ePrivacy. Quest'ultimo, infatti, nel disciplinare le comunicazioni elettroniche, compreso i cookie, fa riferimento alla definizione di consenso contenuta nella normativa generale, che oggi è il regolamento europeo. Di conseguenza nell'applicare la ePrivacy occorre sempre fare riferimento al consenso di cui al GDPR. Ad esempio, nella gestione dei cookie occorre che il consenso sia specifico, cioé separato per finalità. 

 

Linee Guida EDPB

Nel 2020 l'EDPB ha pubblicato le linee guida in materia di consenso ai sensi del regolamento UE 2016/679