Il consenso è un concetto fondamentale nel Regolamento Generale sulla Protezione dei Dati (GDPR), un pilastro in materia privacy sul quale poggiano ricorrenti e quotidiani trattamenti dati. È bene, pertanto, avere chiari i principi cardine che governano questa figura.
Indice
Fonti normative
Oltre agli innumerevoli provvedimenti dei Garanti, il consenso è disciplinato dai seguenti atti normativi.
- GDPR:i art. 4 e 7 e considerando 32
- Le Linee Guida 5/2020 adottate il 4 maggio 2020.
Definizione
Il GDPR definisce il consenso come una delle basi giuridiche per il trattamento dei dati personali.
Tra tutte le basi giuridiche contemplate dal GDPR, il consenso è quello che prevede che l’interessato dia una esplicita autorizzazione al Titolare.
In base all’art. 4 GDPR, il consenso è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”
La nozione di consenso va integrata con il considerando 32 che enuncia l’ulteriore requisito dell’espressione (“[…] Il consenso dovrebbe essere espresso”) e il principio di libertà di forme (“l’interessato manifesta l’intenzione […] di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale)”.
Pertanto, per essere valido il consenso deve essere:
- Libero
- Specifico
- Informato
- Inequivocabile
- Espresso
Se ottenuto nel pieno rispetto di queste caratteristiche, il consenso è uno strumento che fornisce all’interessato il controllo sul trattamento dei propri dati personali. In caso contrario, il controllo diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendo illecita tale attività. Fondamentale, quindi, per il titolare avere il controllo degli stessi requisiti che di seguito si analizzano separatamente.
Consenso libero
La libertà con cui deve essere prestato il consenso deve essere intesa nel doppio senso di consapevolezza dell’interessato sugli elementi sui quali dà il suo consenso e di mancanza di condizionamenti da parte del titolare (si veda anche il nostro approfondimento “Rendere semplice qualcosa di complesso: la trasparenza degli algoritmi come prerequisito del consenso“).
Per fare in modo che sussistano entrambi questi aspetti, è necessario che
1. Non vi sia squilibrio di potere tra titolare e interessato.
Appare evidente, quindi, che il trattamento dei dati da parte delle autorità pubbliche o da parte dei datori di lavoro raramente può basarsi sul consenso, in quanto sussiste spesso un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato, per cui l’interessato non dispone di alternative realistiche all’accettazione (dei termini) del trattamento. Secondo il Garante è pacifico che nel rapporto tra dipendente e datore il lavoro vi sia uno squilibrio tale che il consenso difficilmente può dirsi liberamente prestato.
2. Il consenso non sia sottoposto a condizioni.
Dunque, non risulta legittimo subordinare la fornitura di un contratto o di un servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione del contratto o servizio. Se, ad esempio, non posso acquistare dei prodotti su di una piattaforma se non ho dato il consenso, questo non è libero e, quindi, la base giuridica non è corretta.
3. Non si prospettino conseguenze negative collegate al rifiuto o alla revoca del consenso.
Ciò significa che il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha potuto scegliere liberamente, senza subire inganno, intimidazione, coercizione o conseguenze negative significative in caso di mancato consenso.
Consenso specifico
Per rispettare l’elemento della specificità, il titolare del trattamento deve:
- specificare la finalità per la quale il consenso è raccolto, in modo da evitare l’ampliamento o la commistione delle finalità di trattamento dei dati dopo l’interessato ha acconsentito alla loro raccolta iniziale.
- in caso di servizio che comporta trattamenti multipli per più finalità, separare tali finalità e ottenere il consenso per ciascuna di esse in modo da far sì che l’interessato sia libero di scegliere quale finalità accettare anziché dover acconsentire a un insieme di finalità.
- effettuare una netta e chiara separazione tra le informazioni sull’ottenimento del consenso per le attività di trattamento dei dati rispetto alle informazioni su altre questioni.
Se, dunque, la specificità del consenso risponde alla regola “tanti consensi quante sono le finalità”, dall’altro lato, vale la regola speculare per cui più operazioni di uno stesso trattamento non richiedono più consensi.
Esemplifichiamo.
Nel caso in cui i dati vengono raccolti per comunicazione, per profilazione e per marketing sarà necessario richiedere tre consensi in quanto siamo di fronte a tre finalità distinte.
Nel caso, invece, in cui i dati vengono raccolti per invio di materiale pubblicitario, per vendita diretta, per compiere ricerche di mercato e per effettuare comunicazione commerciale, potrà essere richiesto un unico consenso dell’interessato. In questa ultima ipotesi, infatti, non siamo di fronte a tante diverse finalità di marketing, quanto piuttosto a molteplici operazioni di trattamento strumentali alla medesima finalità.
Consenso informato
Con consenso informato si intende che l’interessato deve essere posto nella condizione di conoscere una serie di informazioni riguardo il trattamento dei dati che lo riguardano.
Le informazioni minime per essere validamente prestato il consenso:
- l’identità del titolare;
- lo scopo di ciascuna delle operazioni di trattamento per le quali è richiesto il consenso;
- quale tipo di dati saranno raccolti e trattati;
- l’esistenza del diritto di revocare il consenso;
- informazioni sull’uso dei dati per le decisioni basate esclusivamente sull’elaborazione automatica (inclusa la profilazione);
- se il consenso riguarda trasferimenti, circa i possibili rischi di trasferimenti di dati verso paesi terzi in assenza di una decisione di adeguatezza / garanzie appropriate.
Tutte queste informazioni vengono fornite tramite l’apposita informativa, che in questo caso diventa una vera e propria condizione di legittimità del trattamento.
Per far sì che il consenso sia davvero informato è richiesto (art. 7 GDPR) un linguaggio semplice e comprensibile (specialmente con riferimento ai minori), facilmente comprensibile per una persona media e non in “legalese”.
Il titolare potrà poi scegliere la forma o il formato dell’informativa: le informazioni possono essere presentate sia sotto forma di dichiarazioni scritte sia verbali, oppure messaggi audio o video. (si veda anche “NO LEGALESE, WE PROMISE”: principio di trasparenza e legal design”)
In ogni caso, non sono da ritenersi valide le espressioni di consenso attraverso la sottoscrizione di moduli per l’autorizzazione al trattamento dei dati, generici e svincolati da precise informazioni sui trattamenti che si stanno autorizzando. In altri termini: il consenso non vive senza informativa.
Consenso inequivocabile
L’inequivocabilità va intesa come certezza del consenso, sia per quanto attiene alla circostanza che sia stato effettivamente prestato, sia per quanto attiene al suo contenuto.
Pertanto, il consenso deve essere sempre espresso attraverso una dichiarazione o in modo attivo, deve cioè essere palese che l’interessato abbia acconsentito al trattamento.
In altri termini, il silenzio, ovvero l’inattività da parte dell’interessato, la preselezione di caselle, così come il semplice procedere all’uso di un servizio non possono essere considerati una manifestazione attiva di scelta. Analogamente, il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio.
In questi casi, l’interessato, oltre a non compiere un’azione deliberata di consenso, è posto in una posizione in cui non può revocare il consenso con la stessa facilità con cui lo ha espresso.
Consenso espresso ed esplicito
Collegati al requisito dell’inequivocabilità, sono i due ulteriori requisiti individuati dal Considerando 32: la necessità che il consenso sia espresso e utilizzando qualsiasi tipo di forma di comportamento esplicito (si veda “Altri biscotti? No, grazie.” Dopo quanto tempo ripresentare il banner per il consenso ai cookie?)
Un comportamento c.d. “concludente” (es. lo scrolling della pagina web…) non può quindi essere preso come espressione di un consenso al trattamento dei dati (…per confermare l’utilizzo di cookie).
Alcune circostanze, inoltre, rendono ancora più vincolante la necessità che il consenso sia fornito in modo esplicito, ad esempio tramite dichiarazioni scritte e firmate. Si pensi ai casi in cui il consenso è la condizione per il trattamento di categorie particolari di dati personali (art. 9 GDPR), o per autorizzare trasferimenti di dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate (art. 49) o nel caso di processi decisionali automatizzati, inclusa la profilazione (art. 22).
Verificabilità del consenso
Spetta al titolare l’onere di dimostrare che l’interessato ha prestato il consenso con riferimento a quello specifico trattamento e per tutto il periodo nel quale viene effettuato il trattamento. (articolo 7, paragrafo 1 e Considerando 42).
Il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane. Ad esempio, il titolare del trattamento può tenere una registrazione delle dichiarazioni di consenso ricevute così da poter dimostrare come e quando è stato ottenuto il consenso e rendere dimostrabili le informazioni fornite all’interessato al momento dell’espressione del consenso (rif. Linee guida 5/2020).
Al termine dell’attività di trattamento la prova del conferimento del consenso deve essere conservata per non più tempo di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (articolo 17 GDPR).
Revocabilità del consenso
Per quanto riguarda la revoca del consenso, il GDPR prevede che l’interessato ha diritto a revocare il consenso in qualsiasi momento e senza condizionamenti (art. 7.3). Questo vuol dire che tutti i casi in cui viene prestato il consenso sono anche casi in cui può essere liberamente revocato.
Per quanto ci sia perfetta specularità fra i due istituti, questo non significa che l’espressione e la revoca del consenso debbano avvenire sempre allo stesso modo. Tuttavia, quando il consenso viene prestato per via elettronica con un solo clic di mouse, un solo scorrimento o premendo un tasto, l’interessato deve, in pratica, poterlo revocare con altrettanta facilità.
Inoltre, l’interessato dovrebbe poter revocare il consenso senza subire pregiudizio. Ciò significa, tra l’altro, che il titolare del trattamento deve consentire la revoca senza spese o senza abbassare i livelli del servizio.
Se il consenso viene revocato, tutti i trattamenti dei dati fondati sul consenso avvenuti prima della revoca rimangono leciti, tuttavia il titolare del trattamento deve interrompere le operazioni di trattamento interessate a meno che non sussista un’altra base legittima
Quanto tempo dura il consenso?
Il consenso deve essere precedente all’inizio del trattamento, e il Regolamento – al netto del diritto alla revocabilità – non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto del trattamento, dalla portata del consenso originale e dalle aspettative dell’interessato. Ad esempio, il marketing legato alla vendita di beni di consumo può avere caratteristiche e necessità diverse a seconda del settore merceologico (es. beni di lusso vs. beni di prima necessità o largo consumo) e/o della frequenza di acquisto.
Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso.
La miglior prassi suggerisce in ogni caso di aggiornare il consenso a intervalli appropriati. Fornire nuovamente o regolarmente tutte le informazioni contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.