Guida V al Regolamento Privacy UE 2016/679: la disciplina generale del consenso al trattamento dei dati personali

Indice

1. Premessa
2. Informativa e consenso informato
3. Definizione di consenso
4. La liceità del trattamento
5. Condizioni per il consenso: verificabilità, specificità, revocabilità
6. Conclusioni

Premessa

In questa quinta guida al nuovo Regolamento UE 2016/679 (“Regolamento”) "sulla protezione delle persone fisiche con riguardo al trattamento di dati personali, nonchè alla libera circolazione di tali dati" verrà trattata la disciplina del consenso al trattamento dei dati, definendone la nozione, analizzando le caratteristiche e le modalità con cui ottenerlo lecitamente.

Informativa e consenso informato

Affinché un trattamento dati risulti lecito e legittimo, sia secondo la vecchia Direttiva 46/95/CE che per il nuovo Regolamento, è fondamentale che gli interessati del trattamento siano consapevoli che è in corso un trattamento dei loro dati.

Già dall’articolo 8 della Convenzione n. 108 del Consiglio d’Europa (“Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale”), emerge l’importanza, per ogni persona, di avere la possibilità di conoscere se è in atto o meno una raccolta automatizzata dei propri dati personali, i principali fini di questa raccolta, nonché l’identità, la residenza abituale o la sede principale del responsabile della raccolta.

Dopo aver preso coscienza del trattamento, il soggetto deve avere la possibilità di decidere se accettare o meno il trattamento, prestando o meno il proprio consenso.

Il consenso prestato dall’interessato attesta, pertanto, la sua consapevolezza ed il suo accordo rispetto all’attuazione del trattamento dei propri dati.

Definizione di consenso e caratteristiche

Secondo il Regolamento, con il termine consenso si intende “qualsiasi manifestazione di volontà dell’interessato che sia espressa in maniera libera, informata, specifica ed inequivocabile, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Questa è la definizione data dal Regolamento all’articolo 4.11).

Il consenso deve, dunque, essere libero, informato, specifico, inequivocabile, e, come risulterà dall’analisi dell’articolo 7, anche verificabile, specifico e revocabile. Di seguito esaminiamo le singole caratteristiche.

Il consenso è:

- libero, se espresso senza alcun tipo di coercizione, unicamente soggetto alla volontà dell’interessato;

- informato, se presuppone la conoscenza o conoscibilità da parte dell’interessato, di sapere quali dati sono trattati, con quali modalità e per che finalità questo accade. Solo in tal modo l’interessato può giudicare consciamente le possibili conseguenze del trattamento. L’interessato riceve queste informazioni mediante l’informativa privacy;

- inequivocabile, quando è prestato in maniera chiara ed indubbia, vale a dire, in base al Considerando 32, quando è “espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.” Di particolare importanza per il mondo telematico e, in particolare per l’ecommerce, la precisazione contenuta nel medesimo Considerando: “Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione, ma anche qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”;

- specifico, se riguardante trattamenti ben individuati, aventi un preciso fine o scopo; a tal riguardo il Considerando 32 prosegue stabilendo che: “Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”. Si tratta di concetto da anni oggetto delle pronunce dell’Autorità garante per la protezione dei dati italiana, che ha frequentemente sanzionato trattamenti subordinati a consensi cosiddetti “promiscui”, vale a dire relativi a plurime finalità.

La liceità del trattamento

In generale, come stabilito all’articolo 6 del Regolamento, il trattamento dei dati personali è da considerarsi lecito solo se l’interessato esprime il consenso per una o più finalità. A questa regola generale, si aggiungono altre ipotesi previste dalle lettere da b) ad f) del citato articolo, secondo le quali il trattamento è lecito anche quando:

b) è necessario all’esecuzione di un contratto o delle misure precontrattuali del quale l’interessato è parte o è necessario per adempiere a un obbligo legale che incombe sul titolare del trattamento;

c) per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) se riguarda la salvaguardia di interessi vitali dell’interessato o di un’altra persona fisica;

e) per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

 f) è necessario per il legittimo interesse del titolare nel caso in cui non siano prevalenti gli interessi, i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati, tanto più se i dati sono di minori d’età.

Fino a qui l’articolo 6 del Regolamento riproduce in gran parte i contenuti dell’articolo 7 della Direttiva 46/95/CE, ma i punti seguenti rappresentano una novità.

In alcuni casi sopra previsti (per la precisione quelli di cui alle lettere c) ed e), il Regolamento consente che gli Stati membri possano mantenere o introdurre disposizioni ad hoc per effettuare il trattamento dei dati.

Al punto 4 dell’articolo 6 è poi stabilito che in mancanza del consenso o di un atto legislativo dell’UE o dello Stato membro, qualora il trattamento sia effettuato per finalità diverse da quelle originarie, per verificare se la nuova finalità sia compatibile con quelle per la quale i dati personali sono stati raccolti inizialmente, il titolare deve tener conto di questi elementi:

1. ogni nesso presente tra le finalità per cui i dati personali sono stati raccolti e quelle dell’ulteriore trattamento previsto;
2. il contesto in cui i dati personali sono stati raccolti;
3. la natura dei dati personali raccolti, specialmente fanno parte di particolari categorie di dati personali, come quelle presenti agli articoli 9 e 10;
4. le possibili conseguenze per gli interessati dell’ulteriore trattamento;
5. l’esistenza o meno di garanzie adeguate, tra cui la cifratura o la pseudonimizzazione.

Le condizioni di verificabilità, specificità e revocabilità

Rispetto alla Direttiva 46/95/CE, all’articolo 7 del Regolamento sono state aggiunte le condizioni di verificabilità, specificità e revocabilità, affinché il consenso prestato sia valido.

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato lo ha prestato: il consenso deve quindi essere verificabile.

Se il consenso viene fornito dall’interessato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso sarà presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile. Il consenso deve dunque essere specifico, riguardante trattamenti ben individuati, aventi un preciso fine o scopo.

Come già previsto dal nostro Codice Privacy (Decreto Legislativo 196/2003), il consenso deve essere inoltre revocabile: ai sensi dell’articolo 7 punto 3 del Regolamento, l’interessato può revocare il proprio consenso in qualsiasi momento, ed ha il diritto di farlo con la stessa semplicità con cui lo ha accordato. L’atto di revoca del consenso non pregiudica la liceità del trattamento basato sul consenso prima della revoca.

All’ultimo punto dell’articolo 7, il Regolamento statuisce che, nel valutare l’effettiva libertà del consenso prestato, si debba tenere conto “dell’eventualità che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione/concessione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”. In questi casi, evidentemente, l’interessato potrebbe trovarsi sottoposto ad una costrizione immotivata, che inficia la reale libertà del consenso.

Conclusioni

In questa guida è stata esaminata la disciplina del consenso in generale.

Il consenso per il trattamento relativo a “particolari categorie di dati personali” (come citato dall’articolo 9 del Regolamento), dati di minori e dati relativi a condanne penali è disciplinato specificamente dal Regolamento. Ne tratteremo in separata parte di questa Guida.