Il 12 dicembre, il Gruppo Articolo 29 (WP29) ha pubblicato la bozza di linee guida in materia di consenso dell’interessato. Il documento vuole fornire maggiori indicazioni a livello interpretativo delle problematiche relative al consenso, anche affiancando ai concetti le esemplificazioni più adatte o ricorrenti nei casi concreti. In questo contributo si cercheranno di affrontare le tematiche principali.
=> Privacy e DPIA: Linee Guida WP29
Il presupposto di partenza è che il consenso vada considerato come la base giuridica più appropriata per giustificare il trattamento dei dati personali, proprio per questo soggetta a requisiti rigorosi in quanto deve garantire e dimostrare la genuinità dell’accettazione e del rifiuto. Tuttavia, il titolare del trattamento dovrà sempre valutare se – nel caso concreto – egli abbia a disposizione alternative più adatte tra le sei previste all’art. 6.
L’articolo 4, paragrafo 11, stabilisce che il consenso dell’interessato, in modo inequivocabile, deve essere:
- libero;
- specifico;
- informato.
Sono tre requisiti che, come vedremo, si intrecciano l’un l’altro.
Consenso libero
Si ribadisce che è fondamentale tener conto del bilanciamento dei poteri: l’interessato non compie una scelta reale e si sente obbligato a prestare il proprio consenso anche per evitare conseguenze negative nel caso rifiutasse, allora il consenso non potrà essere considerato come valido. Per esempio se il consenso è inserito in una parte non negoziabile di termini e condizioni si presume che lo stesso non sia stato fornito liberamente.
L’utilizzo del verbo “presume” è significativo in quanto il WP29 chiarisce che in circostanze particolari il titolare del trattamento può vincere tale presunzione fornendo prova della libertà con cui è stato fornito il consenso. Il WP29 specifica che se è pur vero che il trattamento risulta necessario per l’esecuzione del contratto (e pertanto giustificato, ciò soprattutto nei rapporti di lavoro), tale ultima espressione deve essere interpretata rigorosamente; deve sussistere infatti un collegamento diretto e oggettivo tra il trattamento e la prestazione e o il servizio.
Consenso specifico
Il consenso non potrà considerarsi libero se utilizzato per giustificare molteplici trattamenti: se un servizio comporta più operazioni di elaborazione o più scopi, il consenso deve essere dato liberamente per ciascuno. Gli interessati devono essere in grado di scegliere a quali scopi acconsentono il trattamento.
Il Gruppo di lavoro individua tre componenti per garantire questo requisito:
- Indicazione esatta dello scopo, come salvaguardia contro l’abuso di trattamento;
- Granularità nelle richieste di consenso;
- Chiara separazione delle informazioni relative all’ottenimento del consenso per le attività di elaborazione dati da informazioni su altri argomenti.
I titolari del trattamento che desiderano utilizzare i dati raccolti per nuovi scopi sono obbligati ad ottenere dagli interessati il nuovo consenso prima di procedere.
Consenso informato
Senza informazioni accessibili, gli interessati non possono prendere decisioni informate e quindi, chiarisce il WP29 “il controllo dell’utente diventerebbe illusorio e il consenso non valido per l’elaborazione”. Il Gruppo ha identificato sei categorie di informazioni minime necessarie:
- L’identità del titolare;
- Lo scopo di ciascuna delle operazioni di trattamento per le quali è richiesto il consenso;
- Quali tipo di dati saranno raccolti e trattati;
- L’esistenza del diritto di revocare il consenso;
- Informazioni sull’uso dei dati per le decisioni basate esclusivamente sull’elaborazione automatica (inclusa la profilazione);
- Se il consenso riguarda trasferimenti, circa i possibili rischi di trasferimenti di dati verso paesi terzi in assenza di una decisione di adeguatezza / garanzie appropriate.
Va ricordato anche che l’informativa deve essere facilmente comprensibile per la persona media non contenere dichiarazioni piene di gergo legale, anzi scritta in linguaggio semplice.
Nelle situazioni, poi, in cui emergono “gravi rischi per la protezione dei dati”, è richiesto un consenso esplicito: un diverso livello di consenso rispetto a quello ordinario appena sopra descritto. Ci si riferisce in particolare ai dati relativi all’articolo 9 (categoria speciale), ai trasferimenti verso Paesi o organizzazioni privi di una decisione di adeguatezza e al processo decisionale individuale automatizzato (compresa la profilazione).
Il Gruppo di lavoro suggerisce per esempio che il consenso dato attraverso una espressa e formale dichiarazione scritta (firmata dall’interessato) è da considerarsi esplicito. Altri modalità, in particolare nel contesto elettronico, includono il coinvolgimento dell’interessato: compilare un modulo elettronico; inviare una mail; caricare un documento scansionato con firma; registrare una dichiarazione orale, o verificare il consenso tramite un processo di autenticazione a due fasi (come un’e-mail seguita da un messaggio SMS).
Il gruppo di lavoro fornisce importanti indicazioni in merito al mantenimento della prova del consenso. I responsabili ed i titolare del trattamento terranno prova del consenso per tutta la durata dell’attività connessa all’elaborazione dei dati; quando questa termina la prova del consenso deve essere mantenuta soltanto al fine di adempiere agli obblighi di legge o per stabilire, esercitare o difendere i diritti legali.
Il GDPR obbliga inoltre i responsabili del trattamento a garantire che il consenso possa essere ritirato con la stessa facilità con cui può essere dato, in qualsiasi momento, anche se non necessariamente attraverso la stessa azione. Tuttavia, il gruppo di lavoro osserva che nel contesto elettronico, se il consenso è ottenuto tramite una singola azione (clic del mouse, scorrimento, sequenza di tasti, ecc.) o tramite l’interfaccia di un singolo dispositivo IoT, il ritiro dovrebbe essere possibile attraverso la stessa interfaccia.
Consenso ottenuto ai sensi della direttiva 95/46/CE
Infine, il consenso pre-Regolamento conforme alla legge nazionale non deve essere necessariamente riformulato e riottenuto. Il Gruppo di lavoro riconosce che “il consenso … ottenuto fino ad oggi continua ad essere valido nella misura in cui è in linea con le condizioni stabilite nel GDPR”.
_______