Il consenso quale base giuridica del trattamento dei dati

Tra i principi fondamentali del regolamento UE 2016/679 è compreso quello secondo cui ogni trattamento dei dati deve trovare fondamento in una base giuridica adeguata.

Il titolare, quindi, deve sempre valutare, prima di porre in essere il trattamento, quale sia l'idonea base giuridica. Le basi di trattamento, niente altro sono che le condizioni ammesse dalla legge per poter svolgere il trattamento stesso. Nel caso in cui il titolare del trattamento volesse trattare dei dati in base a condizioni di liceità diverse da queste enunciate, commetterebbe un illecito. Queste condizioni di liceità sono indicate all’articolo 6 del Regolamento:

- Consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati. 

Tra queste, la base giuridica senza dubbio più abusata è il consenso che viene definito dall'art 4 come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. In assenza di una delle basi giuridiche previste dall'art. 6 del gdpr, il consenso è la condizione necessaria per poter trattare i dati in modo lecito: ma non è più la soluzione principale per legittimare il trattamento dei dati personali, al contrario deve essere vista come base giuridica residuale.

Con il consenso l'interessato mantiene il controllo sui propri dati.

Ma cos'è esattamente il consenso? Vediamolo.

Il consenso al trattamento dei dati

Dato che deve essere richiesto dopo che il titolare ha fornito l'informativa, di fatto il consenso è la risposta che l'interessato dà all'informativa: potrebbe, quindi essere definito come un atto unilaterale recettizio.

Ma che caratteristiche deve essere avere il consenso? Vediamole. Il consenso deve essere:

• Libero, inteso come libero dai condizionamenti, dalle pressioni o dalle coercizioni del titolare del trattamento con il quale, anzi, dovrebbe esserci un rapporto di coinvolgimento e fiducia reciproca. Deve essere esente da qualsiasi opacità informativa; l'interessato deve compiere una scelta effettiva e mantenere il controllo sui propri dati: deve sempre poter revocare il consenso senza pregiudizi sia in termini di abbassamento dei livelli di servizio, sia n termini di costi.

Il consenso non può essere considerato come una controprestazione contrattuale, quindi fondere insieme l'accettazione di condizioni generali di contratto e consenso o subordinare la prestazione di consenso alla fornitura di un servizio non sono operazioni lecite.

Recentemente, l'autorità di controllo danese ha sanzionato un'app di dating per il trattamento dei dati relativi all'orientamento sessuale (categorie particolari di dati!) per non aver richiesto un consenso esplicito per il trattamento. La difesa del titolare del trattamento verteva sul fatto che il servizio stesso necessitasse di quel dato per funzionare che che quindi l'accettazione dei termini e delle condizioni di contratto e della privacy policy dovesse considerarsi come un consenso prestato ai sensi dell'art. 9(1)(a).

Il Garante danese invece ha sottolineato che l'accettazione di termini e condizioni e della privacy policy non può essere considerata come prestazione di un consenso esplicito per il trattamento di categorie particolari di dati e come comunque il consenso non può essere raccolto in un unico bundle con le condizioni generali di contratto e la privacy policy. Questo tipo di procedure non sono né corrette né trasparenti e per questo utilizzare formule generiche che spesso si vedono su internet del tipo “accetto l'informativa” non è una buona idea dal momento che l'interessato potrebbe pensare che la prestazione di consenso avvenga con il flag di presa visione dell'informativa stessa.

• Specifico e granulare, cioè suddiviso per finalità: l'interessato deve poter scegliere per ciascuna di esse. I “bundle” di consenso nei quali si raggruppano più finalità sono quindi illegittimi perché quando viene richiesto un unico consenso per diverse finalità di trattamento, la capacità di autodeterminazione degli interessati non può più essere garantita.

Questa granularità garantisce che le scelte dell'interessato siano effettivamente libere, a patto che il diritto di revoca sia previsto con lo stesso livello di specificità. Per questo il gdpr considera il requisito della specificità come una conseguenza del requisito della libertà.

Secondo il Garante per la protezione dei dati personali, «la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che questi sono chiamati a manifestare) non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta la fruizione di un servizio [...] alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio» questo perché i dati raccolti dal titolare per l'erogazione del servizio verrebbero di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione della normativa sulla protezione dei dati.

Un corollario della specificità è che il consenso al trattamento dei dati deve essere separato da ogni altro trattamento che venga svolto con un'altra base giuridica.

Se il consenso dell'interessato viene prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Le altre caratteristiche del consenso al trattamento dei dati

Il consenso al trattamento dei dati presenta altre caratteristiche, vediamole.

• Informato. Il consenso è invalido se non è preceduto da un'adeguata informativa. Affinché la scelta possa definirsi libera e consapevole, l'interessato deve essere previamente reso edotto, in maniera chiara e intellegibile circa gli elementi essenziali del trattamento, sulle sue finalità e sulle conseguenze del suo assenso. Tutto questo si concretizza nell'informativa: prima che l'interessato abbia ricevuto tutte le informazioni relative al trattamento, non potrà esprimere alcun consenso.

Un consenso è informato se include l'identità del titolare del trattamento, i tipi di dati trattati e le finalità, il riferimento al diritto di revoca del consenso e le conseguenze in caso di mancata prestazione del consenso, l'esistenza o meno di decisioni automatizzate, i rischi nel caso di trattamento dei dati in uno spazio extra-SEE. In assenza di queste informazioni, il consenso prestato sarà “viziato” con potenziali conseguenze circa l'illiceità del trattamento.

Ma non solo, anche un'informativa che descriva trattamenti che in realtà non vengono svolti è considerata lesiva del criterio di adeguata informazione. Chiedere la prestazione di un consenso per una finalità senza che questa sia realmente perseguita e senza che quel trattamento sia poi realmente svolto dal titolare del trattamento è una violazione del principio di correttezza e trasparenza!

• Inequivocabile: l'interessato deve manifestare il consenso mediante un'azione positiva e deliberata, senza che ci sia ambiguità sulla sua volontà. Pratiche come il silenzio – assenso, l'inattività o il pre-flag delle caselle non sono considerate legittime, mentre un comportamento concludente dell'utente che manifesti la sua volontà in modo chiaro e inequivocabile, sì. Non è ammesso il consenso tacito o presunto (come nel caso dello “scrolling”).

Il titolare del trattamento, dato che un comportamento concludente comunque non può sostanziarsi in un comportamento dalla scarsa chiarezza (come, appunto, lo scrolling), è chiamato a progettare dei meccanismi di consenso che operino in maniera chiara e che siano slegati dal servizio per il quale il trattamento stesso è richiesto: la Corte di Giustizia UE ha sancito che non può considerarsi raccolto validamente un consenso inserito in un contratto relativo alla fornitura di servizi se le clausole contrattuali possono indurre in errore l'interessato circa la possibilità di concludere il contratto stesso anche in assenza di prestazione del consenso al trattamento dei propri dati o se la casella relativa alla prestazione di consenso venga preflaggata rispetto alla sottoscrizione del contratto o nel caso in cui il titolare pregiudichi la libera scelta dell'interessato di opporsi al trattamento, aggravando la procedura di rifiuto.

• Dimostrabile: il titolare del trattamento, in ossequio del principio di accountability, deve essere in grado di dimostrare che l'interessato abbia effettivamente prestato il consenso: deve provare sia l'avvenuta prestazione del consenso in relazione all'informativa che è stata fornita, sia il quando questo consenso è stato manifestato. Ovviamente questo deve essere anteriore rispetto al trattamento: il titolare deve ottenerlo prima di procedere. Questo requisito impatta su tutto il processo di trattamento: il titolare, quindi, deve garantire un tracciamento puntuale rispetto ciascun interessato, di tutti gli obblighi imposti dalle norme in materia di protezione dei dati.

La forma del consenso è libera, ma deve essere, appunto, dimostrabile e conforme al principio di privacy by design. Il consenso non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è una modalità idonea a configurarne l’inequivocabilità e il suo essere “esplicito”. Online generalmente assume la forma di una casella da spuntare ma potrebbe essere reso oralmente e in questo caso, per essere dimostrabile, dovrebbe essere registrato.

Il titolare del trattamento dovrebbe garantire all'interessato un'interfaccia chiara che consenta di acconsentire o negare il consenso, controllare se e quali consensi ha prestato e modificare la proprie scelte attraverso la revoca del consenso.

La prova dei consensi che sono stati acquisiti o revocati deve essere storicizzata: questo significa che deve essere acquisita, archiviata e conservata (che siano registrazioni, moduli cartacei o log informatici) e non semplicemente “sovrascritta”. L'interessato potrebbe prestare un consenso, poi revocarlo e riconcederlo nuovamente e tutte queste operazioni devono essere registrate.

L'EDPB nelle sue linee guida ha raccomandato di aggiornare il consenso effettivamente prestato a intervalli “appropriati”, informando l'interessato periodicamente sul modo in cui vengono usati i suoi dati e sui suoi diritti.

• Revocabile. In un'ottica di privacy by design, l'interessato deve poter sempre modificare la propria volontà e revocare il consenso prestato, in qualsiasi momento, in maniera gratuita, con la stessa facilità con cui lo ha reso e attraverso la stessa modalità utilizzata per la sua raccolta. Il processo di revoca deve essere semplice perché è obbligo del titolare del trattamento agevolare l'esercizio de diritti dell'interessato!

A questo proposito l'autorità di controllo polacca non ha ritenuto legittimo un processo di revoca che prevedeva prima la richiesta, da parte del titolare del trattamento, delle motivazioni della revoca stessa per poi fornire successivamente le istruzioni per esercitarla concretamente chiedendo contestualmente l'invio di altri documenti.

Il titolare del trattamento deve comunicare all'interessato il momento in cui la sua revoca avrà effetto: questa, infatti, non è retroattiva, ma avrà la conseguenza di caducare la condizione di liceità senza pregiudicare il trattamento svolto sulla base del consenso prestato precedentemente. Quest'ultima non pregiudica, quindi la liceità del trattamento basato sul consenso espresso prima.

L'interessato deve essere informato della possibilità di revocare il consenso (e delle sue conseguenze) prima di esprimere il proprio consenso.

• Esplicito/espresso. Il consenso espresso è quello previsto dall'art. 6 del gdpr: anche ove il consenso sia manifestato tramite un comportamento concludente, il consenso deve essere espresso, nel senso di non tacito. In certe circostanze, tuttavia, qualora vi siano gravi rischi per i diritti e le libertà dell'interessato, questo requisito viene rafforzato e la normativa a protezione dei dati personali richiede un consenso “esplicito” in modo tale che la persona fisica abbia un livello di controllo sui suoi dati ancora più elevato.

Questo avviene per il trattamento di dati appartenenti a categorie particolari e per le decisioni basate unicamente su un trattamento automatizzato, compresa la profilazione che producano effetti giuridici che riguardino l'interessato o che incidano significativamente sulla sua persona e per il trasferimento di dati personali verso paesi terzi in mancanza di una decisione di adeguatezza, previa informazione sui possibili rischi di questo tipo di trattamenti per l'interessato.

Questo tipo di consenso richiede uno sforzo ulteriore e non può manifestarsi tramite fatti concludenti ma solo attraverso una dichiarazione formale ed esplicita di consenso.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy