Temi

Shape 5 Live Search

logo

Il consenso è una delle basi giuridiche del trattamento, nell'ambito del regolamento generale per la protezione dei dati personali.

 

Definizione

Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento. Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo.

In caso di trattamento di dati di minori, occorre acquisire il consenso dai genitori o dagli esercenti la patria potestà se l'interessato ha meno di 16 anni. 

Inoltre, in base al Considerando 32: "il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso". 

 

Caratteristiche

Il consenso deve essere, quindi:

- inequivocabile;
- libero;
- specifico;
- informato;
- verificabile;
- revocabile. 

Consenso inequivocabile vuol dire che non è necessario che sia esplicito ma può anche essere implicito (ma non tacito), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l'interessato abbia voluto comunicare il proprio consenso (es. l'inerzia non può costituire manifestazione di consenso, come anche i form precompilati e caselle già prespuntate). Il consenso deve, invece, essere esplicito (art. 9 GDPR) nel caso di trattamento di dati sensibili o nel caso di processi decisionali automatizzati (es. profilazione). 

Il consenso deve essere dato liberamente, il ché significa che l'interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze negative a seguito del mancato conferimento del consenso. L’articolo 7 del GDPR chiarisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”. 
Ad esempio, nel caso di pubblicità commerciale, il consenso deve essere separato rispetto al consenso per la prestazione contrattuale richiesta dall'utente, perchè l'utente deve avere la possibilità di addivenire al contratto senza dover subire il ricatto di dover ricevere pubblicità commerciale. Non può definirsi libero il consenso a ulteriori trattamenti dei dati personali che l'interessato debba prestare quale condizione per conseguire una prestazione richiesta (provvedimento del Garante del 31 gennaio 2008). Questo purtroppo porta al rischio che molti dei consensi ottenuti dai servizi online possano essere ritenuti invalidi. 
Comunque, è legittimo subordinare al consenso il rilascio di una carta fedeltà che permette di accedere a sconti, perchè in tal caso non esiste alcuna subordinazione tra interessato e azienda e quindi il consenso può ritenersi libero. 

Il consenso deve essere specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ogni finalità (Considerando 32 GDPR). Quindi, i dati dovranno essere pertinenti al consenso fornito, e in caso di modifiche del trattamento occorre richiedere un nuovo consenso. Per cui avremo un consenso per il marketing diretto, un consenso per la profilazione, ecc... 

Il consenso deve essere informato, occorre cioè che l'interessato sia posto in condizioni di conoscere quali dati sono trattati, con che modalità e finalità e i diritti che gli sono attribuiti dalla legge. Inoltre l'interessato deve essere opportunamente informato sulle conseguenze del suo consenso (ad esempio deve essere indicato che in assenza di consenso non potrà accedere a determinate sezioni del sito web). L'informazione si ha attraverso l'apposita informativa. Il regolamento europeo si concreta, più che sui requisiti formali del consenso, sulla necessità della validità sostanziale del consenso, per cui l'aspetto informativo è essenziale, richiedendo un linguaggio semplice e comprensibile, anche eventualmente colloquiale. 

Consenso verificabile non vuol dire che il consenso deve essere documentazione per iscritto, né che è richiesta la forma scritta (anche se in alcune ipotesi -es. dati sensibili-  può essere preferibile perché consente più facilmente di provare il consenso, facilitando quindi le verifiche da parte dell'autorità), ma che l'azienda deve essere in grado di dimostrare che l'interessato lo ha conferito. L'azienda dovrà essere in grado di sapere anche a quale informativa l'utente ha acconsentito, distinguendo tra le varie versioni. 

Il consenso deve essere revocabile in qualsiasi momento. La revoca deve essere facile così come lo è dare il consenso. Non vi è alcun obbligo di motivare la revoca, a seguito della quale il trattamento deve interrompersi (ovviamente la revoca non comporta illiceità del trattamento precedente, ma solo l'obbligo di terminare il trattamento). Alla revoca si innesca il diritto di cancellazione, per cui l'azienda deve cancellare i dati dell'utente. Ovviamente vi sono motivi legittimi in base ai quali un'azienda ha necessità di conservare alcuni dati dell'utente anche dopo la revoca del consenso, come ad esempio mantenere un registro delle transazione per motivi fiscali. 

In ogni caso il consenso non può costituire la base giuridica del trattamento in caso di evidente squilibrio tra le parti

 

Dati sensibili

Il consenso è l'unica base giuridica utile per il trattamento dei dati sensibili. A parte il trattamento per l'attività giornalistica, che è a forma libera per qualsiasi tipo di dato. 

 

Portabilità dei dati

Se il trattamento dei dati è basato sul consenso dell'interessato, questi acquisisce l'ulteriore diritto alla portabilità dei dati