Diritto & Internet

10 cose che non si possono non sapere sul regolamento Privacy – 2: Il consenso

firma_digitale2Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cos’è il consenso al trattamento?

Secondo la nuova definizione del GDPR, per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n 11).

Analizzando la definizione, si desume che il consenso rappresenta una manifestazione di volontà, espressa in termini affermativi e in maniera inequivocabile. Dunque potrà essere unicamente una dichiarazione o azione positiva dell’interessato e non invece un suo comportamento meramente passivo, per esempio un suo ipotetico silenzio-assenso.

Inoltre, il GDPR, come anche il Codice privacy, richiede che il consenso sia non solo inequivocabile, ma anche: libero (prestato in assenza di costrizioni); specifico (uno per ogni finalità di trattamento); informato (all’interessato deve essere stata fornita adeguata informativa sul trattamento dei dati personali).

Chi deve richiedere il consenso per il trattamento dei dati personali?

Il titolare del trattamento o, se a ciò specificatamente istruito, il responsabile del trattamento devono raccogliere il consenso dell’interessato nel caso vogliano trattarne i dati.

Si segnala che il GDPR pone in capo al titolare un vero e proprio onere probatorio. L’art. 7, 1° comma specifica infatti che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso, cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se: a) è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte; b) è necessario per adempiere ad un obbligo legale; c) è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona; d) è necessario per l’esecuzione di un compito di interesse pubblico; e) è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati.

In quest’ultimo caso sarà dovere e responsabilità del titolare operare il bilanciamento fra il suo interesse legittimo e i diritti degli interessati, giustificando la prevalenza del suo interesse su quello dei diversi interessati.

Quali possono essere legittimi interessi del titolare?

Il GDPR ai considerando 47,48 e 49 elenca a titolo esemplificativo alcuni attività che potrebbero essere considerate di interesse legittimo per il titolare, prevalenti rispetto a quelli degli interessati.

Tra queste si inserisce la legittima prevenzione delle frodi o le finalità di marketing diretto (che si precisa avviene nel caso il titolare utilizzi i dati di contatto che l’interessato gli aveva fornito in precedenza nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso). Ancora potrebbe considerarsi coperto dall’interesse legittimo il trattamento di dati a fini amministrativi interni o al fine di garantire la sicurezza delle reti e dell’informazione.

Ci sono condizioni particolari per il trattamento dei dati sensibili (c.d. particolari categorie di dati)?

Per il trattamento di categorie particolari di dati (dati sensibili), la regola generale e? quella del consenso “esplicito” (il consenso esplicito si applica anche nel caso in cui il titolare intenda adottare un procedimento decisionale basato unicamente su trattamenti automatizzati, compresa la profilazione, che produca effetti giuridici sull’interessato).

Anche in questo caso il GDPR prevede una serie “circostanze equipollenti” che derogano alla necessità di raccogliere il consenso (art. 9). Tra queste ve ne sono alcune particolarmente innovative, tra cui trattamenti necessari per: assolvere ad obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale; finalità di medicina preventiva o di medicina del lavoro; motivi di interesse pubblico nel settore della sanita? pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici.

Quali sono le novità in materia di consenso dei minori?

Il GDPR inserisce una disposizione ad hoc per il consenso dei minori, che tuttavia riguarda esclusivamente l’offerta diretta di servizi della società dell’informazione.

In considerazione dell’ampia varietà di contenuti e servizi digitali a cui i minori hanno accesso grazie all’utilizzo di Internet, il GDPR vuole rafforzare la posizione di tutela di questi ultimi di fronte ai pericoli della Rete. L’art. 8 specifica quindi che il consenso prestato dal minore per il trattamento dei suoi dati personali, nell’ambito di un servizio della società dell’informazione, è lecito solo nel caso il minore abbia almeno 16 anni (età che può essere diminuita fino a un minimo di 13 anni dagli Stati membri).

Nel caso l’età del minore sia inferiore, il trattamento sarà legittimato solo con il consenso, prestato o autorizzato, dal genitore o comunque titolare della responsabilità genitoriale.

Quali sono le condizioni di raccolta del consenso?

Alla luce della definizione di consenso (manifestazione di volontà libera, specifica, informata e inequivocabile), il GDPR specifica alcune condizioni richieste al titolare al fine di assicurare la raccolta di un consenso legittimo.

Il consenso può essere prestato tramite dichiarazione scritta o a mezzo di dichiarazione orale.

Nel caso il consenso sia prestato per iscritto, nell’ambito di una dichiarazione che riguardi anche altre questioni, il consenso al trattamento dei dati personali deve essere presentato in maniera chiaramente distinguibile dalle altre materie.

La formulazione del consenso deve essere comprensibile e facilmente accessibile, utilizzando quindi un linguaggio semplice e chiaro.

Inoltre il titolare deve tenere in considerazione che il consenso prestato dall’interessato potrà essere dallo stesso sempre revocato, in qualsiasi momento, con la stessa facilità con cui è stato accordato.

Come scrivere un consenso conforme al regolamento?

Per sintetizzare, per formulare un consenso conforme al GDPR, questo:

1) deve integrare un atto positivo inequivocabile: può essere raccolto attraverso una dichiarazione scritta, anche attraverso mezzi elettronici, o una dichiarazione orale;

1.1) ciò implica che non equivalgono a consenso: silenzio, inattività o preselezione di caselle

1.2) al contrario si potrà raccogliersi il consenso tramite: apposita casella (non preselezionata) su un sito; la scelta di impostazioni tecniche per i servizi della società dell’informazione o comunque qualsiasi dichiarazione o comportamento che indichi chiaramente l’accettazione dell’interessato

2) deve essere formulato con un linguaggio semplice, chiaro e comprensibile;

3) deve esserci un consenso per ciascuna finalità di trattamento (si ricorda che marketing e profilazione costituiscono finalità distinte);

4) in presenza di minori: verificare l’età del minore o richiedere il consenso parentale;

5) per le particolari categorie di dati, deve essere in ogni caso “esplicito”;

6) necessita l’adozione di misure che permettano al titolare di dimostrare l’avvenuta raccolta del consenso e l’esercizio agevole del diritto di revoca dell’interessato.

Avv. Maria Chiara Meneghetti

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi