Sabato 20 Ottobre 2018
MacroambienteGDPR e il “nuovo” consenso al trattamento dei dati personali

GDPR e il "nuovo" consenso al trattamento dei dati personali

Quali sono le innovazioni che il GDPR introduce in tema di requisiti, forma e modalità di esternazione del consenso al trattamento dei dati personali?


Marco Fiorillo

A cura di: Marco Fiorillo Autore Inside Marketing

GDPR e il

Dopo due anni di vacatio, si approssima sempre di più il 25 maggio, giorno in cui finalmente entrerà in vigore il nuovo Regolamento Generale sulla Protezione dei Dati, noto anche con l’acronimo inglese come GDPR (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016). Com’è noto, si tratta di un intervento normativo particolarmente importante, perché le relative disposizioni risulteranno direttamente efficaci e immediatamente applicabili in tutti gli Stati membri dell’Unione, con la conseguenza che le disposizioni di diritto interno eventualmente contrastanti con le previsioni del GDPR dovranno essere immediatamente disapplicate dal giudice nazionale a vantaggio della normativa unionistica in forza del principio della primautè del diritto UE su quello degli Stati membri nelle materie di competenza dell’Unione. Ciò posto, è facile intuire come molte siano le novità, sia di principio che di carattere squisitamente operativo che la nuova normativa, sostituendo quella risalente al 1995 (Direttiva 95/46/EC) apporta, adeguando le previsioni giuridiche di tutela della privacy alle nuove sfide che la società globale pone: sono oramai del tutto insufficienti approcci basati su una disciplina solo nazionale a fronte della dimensione internazionale o addirittura globale che sempre più spesso assumono le vicende relative al trattamento dei dati personali. Dal punto di vista delle condizioni di liceità, tuttavia, resta impregiudicata la centralità del consenso al trattamento dei dati personali dell’interessato, quale requisito abilitante (lawful base), anche se non può negarsi che la stessa nozione di consenso abbia subito delle evoluzioni nel tempo, sicché l’istituto che oggi viene disciplinato dal GDPR presenta caratteristiche specifiche e differenziali rispetto, ad esempio, a quello utilizzato nella già menzionata Data Protection Directive e nella e-Privacy Directive (2002/58/EC). Per questa ragione, il Gruppo di lavoro “Art. 29” (organismo UE che proprio con il GDPR assumerà la denominazione di “Comitato europeo per la protezione dei dati“) ha elaborato delle linee guida che si concentrano su questi cambiamenti, con l’obiettivo di fornire importanti indicazioni, anche di taglio pratico-operativo.

Quanto può veramente parlarsi di “consenso”?

In termini generali va precisato che il consenso può costituire una valida base legale solo se esso riflette una condizione in cui all’interessato viene effettivamente offerto il controllo e una possibilità di scelta relativamente all’accettazione o al rifiuto dei termini negoziali prospettati senza che da ciò derivi pregiudizio per l’interessato. L’esistenza di un consenso che effettivamente sottenda un dominio volontaristico dell’interessato sulla sorte dei propri dati personali è ovviamente verificato mediante il rispetto dei requisiti e delle modalità che il GDPR precisa, sicché diversamente la manifestazione di volontà andrà considerata “illusory“, ovverosia apparente, con la conseguenza che essa non potrà costituire una valida base per il trattamento e quest’ultimo risulterà illecito. Va comunque precisato, tuttavia, che al trattamento basato sul consenso come a quelli basati su una delle altre lawful bases di cui all’art. 6 GDPR si applicano comunque i principi generali dettati dall’art. 5 GDPR, ovverosia liceitàcorrettezza, trasparenza, proporzionalità, esattezza, delimitazione temporale, integrità e responsabilità.

Ciò posto, il consenso al trattamento dei dati personali è definito dal GDPR come «qualsiasi manifestazione di volontà libera, specificainformata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento» (art. 3 n. 11). Risalta immediatamente la scelta di centralità relativa al consenso che il nuovo regolamento compie rispetto, ad esempio, al Codice privacy (D. Lgs. 196/2003), giacché il legislatore UE sceglie di dettare (peraltro tra i primi articoli, dunque nella “parte generale” del Regolamento) una definizione normativa di consenso, senza limitarsi solamente a precisarne le condizioni di validità in operativis (come avviene con l’art. 23 Cod. privacy).

Dalla lettura della definizione legislativa, comunque, possono già trarsi le direttrici lungo le quali si sviluppa poi tutta la disciplina di dettaglio relativa ai trattamenti basati sul consenso, ovverosia: semplificazioneresponsabilizzazione (accountability)-effettività delle situazioni giuridiche. Per comprendere la portata innovativa di una impostazione di tal fatta, basterà osservare come il GDPR per un verso “ampia” la preesistente nozione di consenso, riconnettendolo ad una «qualsiasi manifestazione di volontà», eventualmente riconnessa anche ad una “azione” dell’interessato e dunque non necessariamente a una dichiarazione resa documentata per iscritto (art. 23 Cod. Privacy) così evidentemente semplificando la costituzione della lawful bases per il trattamento; per altro verso, però, insiste (per ben due volte) sul connotato di inequivocabilità che la manifestazione di volontà (o la sottesa azione) devono presentare e, all’art. 7, precisa che è in ogni caso onere del titolare del trattamento dimostrare che il consenso sia stato prestato. Ecco dunque che all’impostazione pericolosamente formalistica del Codice Privacy (basato sulla Direttiva 46) che rischiava di rendere le vicende del consenso poco più che un fastidioso orpello burocratico, si sostituisce l’approccio funzionale-sostanziale del GDPR: non è importante che vi sia il proverbiale modulo a documentare il consenso; è importante ed essenziale che il titolare possa provare che v’è stata da parte dell’interessato una valida e consapevole manifestazione di volontà, eventualmente (ma nei limiti di cui si dirà a breve) anche resa per facta concludentiagiacché non importa il “come“, bensì il “che cosa” si acconsente.

A parte questo aspetto, sicuramente molto significativo in quanto sintomatico del celeberrimo pragmatismo giuridico UE, i requisiti del consenso al trattamento dei dati personali richiesti dal GDPR non si differenziano poi molto da quelli già pretesi dal Codice Privacy. Il consenso, infatti, dovrà essere:

  • liberamente prestato;
  • specifico;
  • informato;
  • inequivoco.

Libera manifestazione del consenso al trattamento dei dati personali e bundling

Con riferimento al primo requisito, già s’è accennato al dato per cui la “libertà” dell’interessato si identifica, in buona sostanza, con la possibilità di denegare il consenso senza subire conseguenze pregiudizievoli. Ovviamente va precisato che tale circostanza non ricorre allorché il trattamento riguardi, ad esempio, dati essenziali per la esecuzione, da parte del titolare, di una prestazione in ambito contrattuale o precontrattuale, ipotesi del resto che opportunamente il GDPR fa fuoriuscire dai casi di trattamento basati sul consenso (art. 6 lett. b). Dunque deve trattarsi di informazioni non essenziali e non strumentali all’esecuzione di una prestazione nei riguardi dell’interessato. Interessante, al riguardo, è l’esempio fornito dalle Linee Guida WP29: «Un’app mobile per il fotoritocco chiede ai propri utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’app comunica inoltre ai propri utenti che utilizzerà i dati raccolti per scopi di pubblicità comportamentale. Né la geo-localizzazione né la pubblicità comportamentale online sono necessari per la fornitura del servizio di fotoritocco e vanno oltre la consegna del servizio di base fornito. Poiché gli utenti non possono utilizzare l’app senza acconsentire a tali scopi, il consenso non può essere considerato come dato liberamente».

Proprio per contrastare ipotesi del genere, una importante previsione a tutela della libera manifestazione del consenso al trattamento dei dati personali è dettata dal co. IV dell’art. 7 GDPR, ove si disciplina il fenomeno del bundling. Quel che viene in rilievo, qui, è il “raggruppamento” o la “legatura” di un contratto o di un servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione di quel contratto o servizio. Ebbene, espressamente il GDPR chiarisce che, in una tal situazione, si presume che il consenso non sia stato fornito liberamente (considerando 43). Secondo le Linee Guida (part. 3.1.2), con l’articolo 7, paragrafo 4 «il GDPR garantisce che il trattamento dei dati personali per il quale viene richiesto il consenso non può diventare direttamente o indirettamente controprestazione di un contratto. Le due basi legittime per il trattamento legale dei dati personali, cioè il consenso e il contratto, non possono essere unite e confuse». 

Tali considerazioni, si badi bene, potrebbero avere indirette implicazioni anche con riferimento all’affaire Facebook-Cambridge Analityca, incidendo negativamente sulla già censurata natura ingannevole della gratuità dei servizi offerti dalla piattaforma, atteso che in buona sostanza il consenso alla cessione dei propri dati personali pare essere occultamente strutturato quale controprestazione dell’utilizzo del social.

Secondo il parere 06/2014 del WP29, infatti, «il termine “necessario per l’esecuzione di un contratto” deve essere interpretato rigorosamente. […] Ciò può includere, ad esempio, l’elaborazione dell’indirizzo dell’interessato affinché i beni acquistati online possano essere consegnati o l’elaborazione dei dettagli della carta di credito al fine di facilitare il pagamento. Nel contesto lavorativo, questo terreno può consentire, ad esempio, l’elaborazione di informazioni sugli stipendi e i dettagli dei conti bancari, in modo che i salari possano essere pagati». Ciò che importa, i altri termini, è che «deve esserci un collegamento diretto e obiettivo tra il trattamento dei dati e lo scopo del esecuzione del contratto». Precisato che questa regola specifica riflette il principio generale di responsabilità (accountability) che si estende a tutto il GDPR, ancora una volta il WP29 ritiene che un esempio possa risultare esplicativo: «Una banca chiede ai clienti il consenso a utilizzare i loro dettagli di pagamento per scopi di marketing. Questa attività di elaborazione non è necessaria per l’esecuzione del contratto con il cliente e la prestazione di servizi ordinari di conto bancario. Se il rifiuto del cliente di acconsentire a questo scopo di trattamento portasse alla negazione dei servizi bancari, alla chiusura del conto bancario o ad un aumento della tariffa, il consenso non potrà essere considerato come fornito o revocato liberamente».

Il concetto di consenso specifico ed informato

L’articolo 6 GDPR ribadisce che il consenso dell’interessato deve essere fornito in relazione a “uno o più scopi specifici” e che l’interessato ha facoltà di scelta in relazione a ciascuno di essi. Si tratta di un requisito che, corollario della esigenza di effettività del controllo dell’interessato sul trattamento dei dati, non è stato modificato dal GDPR e rimane strettamente legato al requisito del consenso “informato“. Allo stesso tempo, deve essere interpretato in linea con il requisito della “granularità“. Con tale espressione si fa riferimento al caso in cui un servizio comporti più operazioni di elaborazione e per più di uno scopo. In tali casi, le persone interessate devono essere libere di scegliere quale scopo accettare, piuttosto che dover acconsentire a un insieme di finalità di elaborazione. Ed infatti, Il Considerando 43 chiarisce che si presume che il consenso non sia concesso liberamente se il processo o la procedura per ottenere il consenso non consentono agli interessati di esternare un consenso separato.

Il GDPR, dunque, ponendosi in un solco di continuità rispetto al passato, rafforza il requisito secondo il quale il consenso deve essere informato. E infatti, nelle linee guida si ribadisce (par. 3.3) come, in base all’articolo 5 del GDPR, «l’obbligo di trasparenza è uno dei principi fondamentali del trattamento, strettamente legato ai principi di equità e liceità. Fornire informazioni agli interessati prima di ottenere il loro consenso è essenziale per consentire loro di prendere decisioni informate, capire a cosa stanno accettando e, ad esempio, esercitare il loro diritto di revocare il loro consenso. Se il titolare non fornisce informazioni accessibili, il controllo dell’utente diventa illusorio e il consenso non potrà più considerarsi una base valida per l’elaborazione».

Sono anche elaborati dei “Requisiti minimi perché il consenso sia informato” (par. 3.3.1) che, secondo il WP29 comprendono la esplicitazione del titolare all’interessato almeno delle seguenti informazioni:

  • identità del titolare;
  • lo scopo di ciascuna delle operazioni di trattamento per le quali è richiesto il consenso;
  • quali tipi di dati saranno raccolti e utilizzati;
  • l’esistenza del diritto di revocare il consenso;
  • informazioni sull’uso dei dati per le decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione, conformemente all’articolo 22;
  • se il consenso riguarda trasferimenti, informazioni circa i possibili rischi in assenza di una decisione di adeguatezza e di garanzie appropriate (articolo 49).

Unambiguos indication of wishes: il cuore del nuovo approccio UE al consenso

Abbiamo avuto modo di verificare come, nell’ambito della definizione che il GDPR offre del “consenso” quale lawful base del trattamento, un ruolo significativo è svolto dalla sua aggettivazione di inequivocità. In effetti tale estremo rappresenta una innovazione introdotta dal Regolamento, giacché la preesistente direttiva 95/46/EC si limitava a descrivere il consenso come una «indicazione di volontà mediante la quale il soggetto titolare dei dati manifesta il suo gradimento in ordine al fatto che i dati che lo riguardano vengano processati» (art. 2, lett. h). Ebbene il GDPR si basa pur sempre su tale definizione, ma puntualizza che un valido consenso presuppone una esternazione inequivocabile, sotto forma di dichiarazione (statement) ovvero di azione positiva inequivocabile (clear affirmative action). Da ciò si ricava anzitutto che il consenso non potrà mai derivare da un comportamento silente dell’interessato. Inoltre, deve ritenersi che l’utilizzo di caselle pre-flaggate così come il semplice dar corso alla esecuzione di un servizio, ancorché fruito dall’interessato non possano essere considerati come un’indicazione attiva di scelta.

Esemplifica, quindi, il WP29: «Durante l’installazione del software, l’applicazione richiede all’interessato di acconsentire a utilizzare report di crash non anonimi per migliorare il software. Una informativa sulla privacy a più livelli che fornisce le informazioni necessarie accompagna la richiesta di consenso. Selezionando attivamente la casella facoltativa affermando “Acconsento”, l’utente è in grado di eseguire validamente un “atto affermativo chiaro” per consentire l’elaborazione». Se, viceversa, la spunta sulla casella facoltativa comparisse automaticamente (e dunque fosse necessario l’intervento dell’utente per deselezionarla), la dichiarazione così documentata non costituirebbe una valida manifestazione di consenso, proprio perché essa si andrebbe a imperniare su una inammissibile situazione di opt-out fondata su un non-dissenso rispetto alla quale non vi può essere sufficiente certezza circa il compimento di una ponderata scelta da parte dell’interessato, la cui condotta, quindi, sarà da considerarsi ambigua.

Sempre per evitare le ambiguità nelle scelte dell’interessato, secondo le linee guida il titolare deve inoltre «prestare attenzione al dato per cui il consenso non può essere ottenuto con la stessa dichiarazione di sottoscrizione di un contratto o accettazione di termini e condizioni generali di un servizio. L’accettazione generale dei termini e delle condizioni generali non può essere vista come una chiara azione affermativa per consentire l’uso dei dati personali». Un consenso al trattamento dei dati che fosse incorporato in una documentazione contrattuale di altra natura, infatti, potrebbe far residuare il dubbio circa la portata della determinazione del titolare dei dati personali, che potrebbe essere ambigua nella misura in cui potrebbe dirsi rivolta alla sola stipulazione e non anche ad un consenso al trattamento dei dati (accessorio, perché diversamente opererebbe l’art. 6 lett. b, come si è visto).

Per contro, «passare il dito su uno schermo, muoversi davanti a una fotocamera intelligente, ruotare lo smartphone in senso orario o formando una figura ad otto può essere un’opzione per indicare un accordo, purché siano fornite informazioni chiare e risulti chiaro che il movimento in questione importa raggiungimento di un accordo su una richiesta specifica (ad es. se si fa scorrere questa barra verso sinistra, si accetta l’uso delle informazioni X per lo scopo Y. Ripeti il movimento per confermare). Il responsabile del trattamento deve però essere in grado di dimostrare che il consenso è stato ottenuto in questo modo e gli interessati devono essere in grado di ritirare il consenso con la stessa facilità con cui lo hanno ricevuto».

E purtuttavia, si badi bene, contrariamente a quanto molto spesso avviene, non può essere considerato atto esplicativo di un un consenso validamente prestato il cd. scrolling-down. Ed infatti, afferma il WP29, «se scorrendo verso il basso o scorrendo i termini e le condizioni che includono le dichiarazioni di consenso (laddove una dichiarazione appare sullo schermo per avvisare l’interessato che continuando a scorrere costituirà il consenso), tale azione non soddisferà il requisito di un’azione chiara e affermativa. Questo perché l’avviso può essere facilmente ignorato dall’utente quando si scorrono rapidamente grandi quantità di testo e tale azione non è sufficientemente dis-ambigua» (par. 3.4.1).

Consenso “regolare” e consenso “esplicito”

Talvolta il GDPR richiede poi una tipologia “rafforzata” di consenso che, nella versione italiana del Regolamento UE, è stata definita come “consenso esplicito” in forza di una traduzione pedissequa e letterale del testo inglese, ove per l’appunto si discorre di “explicit consent“. Tuttavia, l’espressione non è delle più felici, perché non risulta immediatamente evocativa dell’effettivo concetto sottostante: a ben vedere, infatti, ogni consenso rilevante ai fini del GDPR deve essere esplicito, per la semplice ragione che – come detto – non si può desumere una manifestazione di volontà da comportamenti di altra natura (dunque ambigui) o, peggio, dalla mera inerzia. Sarebbe stato forse più corretto parlare, allora, di un consenso speciale (ad es ex art. 9 GDPR) che si va ad affiancare a quello di cui all’art. 7 e che potremmo, per comodità, definire “ordinario”. Ed in effetti allorquando il legislatore UE pretende un consenso esplicito/speciale, significa che si è in presenza di alcune situazioni in cui emergono gravi rischi per la protezione dei dati, quindi è necessario approntare un livello supplementare di controllo. Ai sensi del GDPR, infatti, il consenso esplicito svolge un ruolo sia con riferimento al trattamento di categorie speciali di dati (art. 9 GDPR), sia con riferimento alle disposizioni sui trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di garanzie adeguate (art. 49), sia con riferimento alle decisioni individuali automatizzate, incluso il profiling (art. 22 GDPR).

Ebbene, se il GDPR prescrive che un “chiaro atto affermativo” è un requisito sufficiente per il consenso “regolare”, posto che detto standard del GDPR è già più elevato rispetto alla direttiva 95/46/CE, occorre necessario chiarire quali sforzi supplementari debbano essere intrapresi da un responsabile del trattamento al fine di ottenere il consenso esplicito di un soggetto dei dati in linea con il GDPR. Il termine “esplicito”, dunque, si riferisce (con terminologia non felice) al modo in cui il consenso è manifestato dall’interessato, implicando che questi dovrà fornire una dichiarazione specifica di consenso, ovverosia autonoma dal resto delle sue manifestazioni di volontà (anche relative al consenso “regolare”) e basata sulla piena comprensione del particolare profilo di rischio attinente all’oggetto o alle modalità del trattamento. Peraltro, se ovviamente la strada principale per documentare un consenso esplicito/speciale è quello di raccogliere una dichiarazione ad hoc sottoscritta dall’interessato, non può comunque dirsi che il GDPR (diversamente dal Codice Privacy) prescriva di necessità dichiarazioni scritte e firmate in tutte le circostanze che richiedono un consenso esplicito valido.

Anche in questo caso, dunque, si assiste ad un rinnovato rapporto di tensione tra i principi di effettività della protezione dei dati e responsabilizzazione del titolare, rapporto finalizzato a garantire la prevalenza della sostanza sulla forma.

© RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti

Potrebbe interessarti

×

Informativa

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy.
Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie.