Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Consenso e informativa col GDPR: le basi giuridiche per la compliance

Consenso e informativa costituiscono due dei pilastri su cui si fonda il GDPR per la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali. Ecco come ottenere la totale trasparenza nel trattamento dei dati e la piena consapevolezza dell’interessato

12 Nov 2018
B

Mauro Buontempi

Avvocato - Formatore DPO - Vice Presidente Associazione Europea Protezione Dati - Privacy


Il GDPR dedica particolare attenzione al consenso e alla relativa informativa anche in considerazione del fatto che il concetto di consenso ha subito profonde evoluzioni rispetto a quello indicato dalla direttiva 95/46/CE sulla protezione dei dati e dalla direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche.

Validità del consenso

Il consenso può costituire la base legittima del trattamento solo se all’interessato viene consentito sia il controllo di tale trattamento, sia la possibilità reale e concreta di scegliere se prestare o meno il proprio consenso al trattamento senza per questo correre il rischio di subire danni o pregiudizi.

Il consenso può definirsi valido quando, ai sensi dell’art. 4 punto 11:

  1. viene manifestato liberamente;
  2. è specifico;
  3. è informato;
  4. è espresso in modo inequivocabile.

La libera volontà dell’interessato implica necessariamente che questi si trovi di fronte ad una scelta effettiva da fare e possa sempre esercitare il pieno controllo dei propri dati personali.

La regola principe indicata dal GDPR stabilisce che se l’interessato non dispone di una scelta effettiva, ma in qualsiasi modo risulta condizionato nell’espressione del suo consenso, quest’ultimo non sarà ritenuto valido.

L’articolo 6, paragrafo 1, lettera a), conferma che il consenso dell’interessato deve essere espresso in relazione a “una o più specifiche” finalità e che l’interessato deve poter scegliere in relazione a ciascuna di esse. La ratio di tale norma risiede nel fatto che un consenso specifico per ogni finalità di trattamento dovrebbe garantire all’interessato un elevato livello di controllo dei propri dati personali e un ampio grado di trasparenza.

Il consenso granulare

Il requisito della specificità è strettamente legato a quello del consenso informato e a quello della cosiddetta granularità. Quest’ultimo aspetto è stato oggetto di studio ed attenzione da parte del Gruppo di lavoro Articolo 29 (oggi divenuto European Data Protection Board; c.d. EDPB) il quale più volte ha ribadito il concetto per cui l’interessato deve essere libero di scegliere quale finalità accettare anziché dover essere costretto ad acconsentire a tutto l’insieme delle finalità prospettate dal Titolare del trattamento.

Chiarificatore sul punto appare il considerando n. 32 che afferma che “il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità il consenso dovrebbe essere prestato per tutte queste.” In sostanza se il Titolare del trattamento ha previsto più finalità di trattamento ma non ha chiesto lo specifico e separato consenso per ciascuna di esse viene meno il principio di libera scelta.

Il concetto di granularità è quindi strettamente legato alla necessità che il consenso sia specifico.

La specificità del consenso

Per quanto concerne il requisito della specificità il Titolare del trattamento per rispettare tale elemento deve prevedere:

  1. la specificazione di ciascuna finalità;
  2. la granularità nelle richieste di consenso;
  3. una netta distinzione tra le informazioni rese per il consenso alle attività di trattamento rispetto a tutte le altre informazioni rese per altre questioni.

Abbiamo detto che il GDPR ha rafforzato il principio per cui il consenso deve necessariamente essere informato. Ciò sulla scorta dell’art. 5 che introduce il requisito della trasparenza considerato come uno dei principi cardine dell’intero impianto normativo unitamente ai principi di correttezza e liceità.

Fornire informazioni chiare, trasparenti e semplici agli interessati prima di ottenerne il consenso diventa fondamentale per consentire loro di prendere decisioni consapevoli. Il Gruppo di lavoro dei 29, elaborando le Linee guida sul consenso, ha previsto la possibilità per il Titolare del trattamento di poter fornire due tipologie di informativa: quella minima e quella estesa.

Con l’informativa estesa l’interessato ha completa contezza di tutte le attività di trattamento svolte dal Titolare del trattamento e delle loro finalità. Con la medesima informativa gli vengono inoltre comunicati i propri diritti nonché le modalità e i casi in cui tali diritti possono essere esercitati. Infine, l’interessato riceve comunicazioni sia della possibilità di essere informato in caso di violazione dei suoi dati personali, sia del fatto che in caso di nomina di un Responsabile della Protezione dei dati può contattarlo per tutte le questioni relative al trattamento dei suoi dati personali e all’esercizio dei suoi diritti.

Con l’informativa minima il Titolare del trattamento focalizza l’attenzione dell’interessato sul singolo trattamento dei dati personali che intende effettuare e sulla finalità connessa cosicché il conseguente consenso può definirsi informato e reso per quello specifico trattamento e per la finalità sottesa. Attraverso tale modalità di informazione viene rispettato il requisito della trasparenza che è uno dei principi fondamentali, unitamente a quelli di correttezza e liceità, che permea tutto il Regolamento.

Informativa minima ed estesa anche alla luce del D.lgs. 101/2018

Per avere pertanto un consenso valido l’informativa minima deve necessariamente contenere le seguenti informazioni:

  1. l’identità del titolare del trattamento;
  2. la finalità di ciascuno dei trattamenti per i quali è richiesto il consenso;
  3. la tipologia di dati personali che verranno raccolti ed utilizzati;
  4. l’esistenza del diritto di revocare il consenso;
  5. le informazioni sull’uso dei dati per un processo decisionale automatizzato ai sensi dell’articolo 22, paragrafo 2, lettera c).

Per quanto concerne l’informativa estesa appare evidente la necessità, per il Titolare del trattamento, di elaborare un formato utilizzando ai sensi del Regolamento un linguaggio chiaro, semplice e facilmente accessibile attraverso il quale fornire una serie di informazioni e di comunicazioni esaustive.

L’art. 12 del Regolamento individua le basi della corretta informativa allorquando al paragrafo 1 afferma che “il Titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34”. Per far sì che l’interessato abbia completa contezza dei trattamenti effettuati dal Titolare del trattamento, potendo così rendere un consenso libero e consapevole, l’informativa dovrà preliminarmente contenere l’indicazione e la specifica delle attività principali svolte dal Titolare del trattamento. Solo in questo modo le informazioni rese ai sensi degli articoli 13 e 14 e le comunicazioni rese ai sensi degli articoli da 15 a 22 e dell’art. 34 consentiranno all’interessato di poter avere un quadro completo del trattamento dei suoi dati personali potendo esercitare quel controllo che è il fine perseguito dal Regolamento.

Per quanto concerne il concetto di attività principali ricordiamo che l’articolo 37, paragrafo 1, lettere b) e c), del GDPR contiene un riferimento alle “attività principali del titolare del trattamento o del responsabile del trattamento” e che nel considerando 97 si afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Le attività principali, quindi, sono tutte quelle operazioni essenziali che sono necessarie al raggiungimento degli obbiettivi perseguiti dal titolare del trattamento o dal responsabile del trattamento.

Alla luce delle recenti modifiche apportate dal D.lgs. 101/2018, pubblicato in Gazzetta Ufficiale il 4 settembre 2018, entrato in vigore il 19 settembre 2018, l’informativa dovrà anche contenere l’indicazione del fatto che i diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al Titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 qualora dal loro esercizio possano derivare un pregiudizio effettivo e concreto ad una serie di interessi e attività che vengono tassativamente elencati in sei punti e precisamente:

  1. agli interessi tutelati in base alle disposizioni in materia di riciclaggio;
  2. agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;
  3. alle attività di Commissioni parlamentari d’inchiesta istituite ai sensi dell’art. 82 della Costituzione;
  4. alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari creditizi e finanziari, nonché alla tutela della loro stabilità;
  5. allo svolgimento delle investigazioni difensive o l’esercizio di un diritto in sede giudiziaria;
  6. alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 179/2017 (cosiddetto whistleblowing) l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.

Dalla lettura dell’art. 2-undecies del D.Lgs. 101/2018 si evince come l’art. 12 paragrafo 1 del Regolamento nell’enunciare il contenuto della informativa non fornisca un elenco tassativo delle informazioni e delle comunicazioni da fornire all’interessato. E infatti se l’art. 2-undecies indica tra le limitazioni ai diritti dell’interessato quello del reclamo previsto dall’art. 77, articolo non richiamato dall’art. 12 paragrafo 1 del Regolamento, allora appare evidente che l’informativa estesa andrà completata fornendo all’interessato una chiara comunicazione in ordine al diritto di proporre reclamo all’Autorità di controllo ai sensi di tale articolo 77.

L’informativa estesa dovrà anche contenere la comunicazione del diritto dell’interessato di ricorrere avanti la giustizia ordinaria nei confronti dell’Autorità di controllo (art. 78) e nei confronti del Titolare del trattamento o del Responsabile del trattamento (art 79). Il contenuto dell’informativa estesa dovrà inoltre prevedere ex art. 38 paragrafo 4 del GDPR, la comunicazione per cui gli interessati possono contattare il Responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento.

L’informativa estesa dovrà essere sempre nella immediata disponibilità dell’interessato ed essere collocata sul sito del Titolare del trattamento piuttosto che negli uffici e più in generale negli ambienti in cui opera il Titolare del trattamento ed in cui vengono ricevuti, o stazionano in attesa, gli interessati. Questi ultimi, infatti, all’atto di rilasciare il loro consenso al trattamento dei dati dovranno dare atto non solo di avere letto e compreso l’informativa minima, ma anche quella estesa.

La prova del consenso

Per quanto concerne le modalità con cui devono essere fornite le informazioni va evidenziato come il GDPR, in generale, e fatta eccezione per i casi previsti dall’art 7 paragrafo 2, non prescriva né la forma né il formato attraverso il quale fornire le informazioni affinché sia soddisfatto il requisito del consenso informato. Nello scegliere la forma o la modalità più idonea per fornire informazioni e comunicazioni all’interessato occorre prestare particolare attenzione all’art. 7 paragrafo 1 del Regolamento il quale prevede in maniera chiara l’obbligo per il Titolare del trattamento di dimostrare il consenso fornito dall’interessato.

L’onere della prova, quindi, è a carico del Titolare del trattamento, in ossequio al principio di responsabilizzazione (cosiddetta accountability) che permea tutta la struttura della norma europea. Tale obbligo è rafforzato anche dalla lettura del considerano n. 42 il quale afferma che “Per i trattamenti basati sul consenso dell’interessato, il Titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito”.

Il Regolamento non fornisce alcuna indicazione in ordine alle modalità con cui il Titolare del trattamento deve fornire la prova di avere ottenuto un valido consenso ma pretende comunque che tale prova venga resa. La scrittura rappresenta sicuramente un valido strumento di prova anche se non è l’unico che può essere utilizzato. Fino a quando dura il trattamento dei dati personali permane l’obbligo in capo al Titolare del trattamento di dimostrare, in qualunque momento, l’esistenza del consenso. Terminata l’attività del trattamento la prova del consenso deve essere conservata solamente per il tempo necessario per adempiere ad eventuali obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (art. 17 paragrafo 3 lettere b ed e) del GDPR).

Se dunque il Regolamento non prescrive come il Titolare del trattamento debba fornire la prova del valido consenso, è però vero che la medesima norma afferma chiaramente che il consenso richiede una dichiarazione o una azione positiva inequivocabile da parte dell’interessato; quest’ultimo deve cioè avere intrapreso una azione deliberata per acconsentire allo specifico trattamento. Sta quindi alla sensibilità e alla preparazione del Titolare del trattamento ricercare ed utilizzare il mezzo migliore per poter dimostrare di avere raccolto un valido consenso.

La revoca del consenso

Il GDPR riserva un’attenzione particolare anche alla revoca del consenso e prescrive all’art. 7 paragrafo 3 che il Titolare del trattamento deve garantire che l’interessato possa revocare il consenso in qualsiasi momento e con la stessa facilità con cui lo ha espresso.

A ben vedere la norma non prevede che l’espressione e la revoca del consenso debbano avvenire sempre allo stesso modo e con le medesime forme; ciò che deve essere garantita è la facilità di revocare il consenso dei propri dati personali da parte dell’interessato.

Ulteriore garanzia che il Titolare del trattamento deve fornire è quella per cui l’interessato deve poter revocare il consenso senza subire alcun pregiudizio. Ciò significa che la revoca del consenso non pregiudica la liceità del trattamento dei dati personali eseguito sino al momento della revoca. L’unica conseguenza sarà quella della immediata cessazione delle attività di trattamento interessate a partire dal momento in cui il consenso è stato revocato.

Se l’unica base legittima per il trattamento è quella del consenso, la sua revoca avrà come naturale conseguenza la distruzione di tutti i dati personali trattati salva la loro conservazione per il rispetto di obblighi di legge o per l’esercizio dell’azione giudiziaria.

I minori e il consenso

Il GDPR presta inoltre molta attenzione ai minori e ha inteso innalzare il livello di protezione per il trattamento dei loro dati personali. L’articolo 8 del Regolamento introduce ulteriori obblighi per garantire una maggiore protezione dei dati dei minori in relazione ai servizi resi dalle società dell’informazione. I motivi di tale protezione rafforzata sono indicati nel considerando 38: “I minori… possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.

Ancora al considerando 38 si afferma che “tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore”. Con il termine “in particolare” il legislatore ha voluto indicare che la protezione specifica non si limita al marketing o alla profilazione, ma si estende alla più ampia raccolta di dati personali relativi ai minori.

L’articolo 8, paragrafo 1, stabilisce che laddove si applichi il consenso, per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni.

Ove quest’ultimo abbia un’età inferiore, tale trattamento è lecito soltanto se e nella misura in cui il consenso è prestato o autorizzato dall’esercente la responsabilità parentale. Per quanto concerne il limite di età per il consenso valido, il Regolamento offre flessibilità in quanto gli Stati membri possono stabilire per legge una diversa età purché non inferiore ai 13 anni. Il legislatore italiano è intervenuto sul punto con il D.lgs. 101/2018 che, attraverso l’art. 2-quinquies, ha fissato a 14 anni il limite di età dei minori che non possono prestare il loro consenso ma necessitano di quello dell’esercente la responsabilità parentale.

In conclusione, possiamo affermare che sia il consenso che l’informativa costituiscono due dei pilastri su cui si fonda il GDPR che contribuiscono a cercare di raggiungere lo scopo che la normativa si è prefissata e cioè la protezione delle persone fisiche con riguardo al trattamento dei loro dati personali: l’interessato deve sempre avere la possibilità di esercitare il pieno controllo dei propri dati personali anche quando questi vengano trattati.

Ciò è tanto vero che il considerando n. 42, proprio per facilitare tale possibilità di controllo, ha previsto che il Titolare del trattamento debba predisporre una dichiarazione di consenso da sottoporre all’interessato che abbia una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Questo ulteriore onere a carico del Titolare del trattamento si pone sul solco del principio di responsabilizzazione che grava su questa figura e che nelle intenzioni del legislatore europeo dovrebbe garantire la totale trasparenza nel trattamento dei dati personali e la piena consapevolezza dell’interessato delle finalità di tale trattamento e delle modalità dello stesso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5