Lo scenario

Consenso privacy, l’interessato deve averne pieno controllo: la sentenza europea

La Corte di giustizia europea ha consigliato, per i trattamenti basati sul consenso, di fare in modo che le informazioni da fornire all’interessato siano tali da consentirgli di individuare in modo semplice le conseguenze del consenso prestato

17 Nov 2020
Z
Rodolfo Zani

Avvocato, Studio Associato Servizi Professionali Integrati – Fieldfisher Global

Con la sentenza dell’11 novembre, la Corte di giustizia europea fa luce su un aspetto del consenso informato di interesse per le imprese. Infatti, talvolta le società nel predisporre la documentazione da sottoporre ai propri clienti per la sottoscrizione di contratti, sono portate a semplificare ed accorpare alcune clausole.

Quando tali contratti prevedono anche un trattamento di dati che ha come base giuridica il consenso, le decisioni della Corte di Giustizia europea conformi alle linee guida sul consenso dell’EDPB e ai provvedimenti delle Autorità nazionali in materia, consigliano di prestare le puntuali attenzioni del caso affinché le informazioni da fornire all’interessato siano tali da consentirgli di individuare agevolmente le conseguenze del consenso prestato e che possa esprimerlo con piena cognizione di causa.

Di tale consenso l’interessato deve avere pieno controllo, quindi con possibilità di revocarlo in modo semplice in ogni momento.

Cosa dice il GDPR

Il titolare deve inoltre individuare le più idonee forme e modalità di raccolta, incombendo su di lui l’onere di dimostrare di averlo raccolto conformemente alle previsioni normative. Infatti qualora il titolare non sia in grado di dimostrare che il consenso è stato espresso conformemente alle disposizioni del GDPR, il trattamento eventualmente posto in essere sarà illecito in quanto privo di adeguata giuridica.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software

Con il GDPR, infatti, le condizioni e i requisiti per la raccolta di un valido consenso sono state ulteriormente specificate rispetto alla precedente Direttiva 95/46 (CE). Due sono i principali riferimenti normativi:

  • l’art. 4 che precisa come la manifestazione di volontà dell’interessato debba essere libera, specifica, informata e inequivocabile e che il consenso debba essere espresso mediante dichiarazione o azione positiva inequivocabile dell’interessato stesso;
  • l’art. 7 che pone in capo al titolare la necessità di dimostrare che l’interessato abbia prestato il proprio consenso e individua le condizioni per un consenso valido, in particolare quando rilasciato nel contesto di una dichiarazione scritta o nell’esecuzione di un contratto. Tale norma stabilisce inoltre il diritto di revoca del consenso in ogni momento da parte dell’interessato.

Le linee guida dell’EDPB

L’analisi dei requisiti e delle modalità idonee a considerare valido il consenso rilasciato è stata approfondita e sviluppata dall’European Data Protection Board (EDPB) nelle specifiche Linee guida del 2020 [1](che hanno aggiornato le precedenti Guidelines adottate dal WP29[2]).

Tale guida analizza compiutamente, anche con appropriati esempi, il significato di manifestazione di volontà libera, specifica, informata e il significato di “dichiarazione o azione positiva inequivocabile dell’interessato”. L’EDPB, tra l’altro, ha precisato che:

  • per il principio di legittimità, correttezza e trasparenza, l’aver ottenuto il consenso dell’interessato, legittima il titolare solo a porre in atto i trattamenti strettamente necessari per le finalità indicate. Ogni ulteriore trattamento, anche con riguardo alla conservazione, violerebbe il principio di trasparenza e di conseguenza renderebbe illegittimo il trattamento stesso;
  • il titolare deve assicurarsi che l’azione attraverso la quale è prestato il consenso sia distinta dalle altre (ad esempio l’accettazione globale delle condizioni generali di un contratto non può essere considerata come un’azione positiva inequivocabile);
  • non è consentito utilizzare caselle preselezionate;
  • l’onere della prova della valida raccolta del consenso è a carico del titolare del trattamento.

I pronunciamenti della Corte di giustizia dell’Unione Europea

La Corte di Giustizia dell’Unione Europe (la CGUE o la Corte) si era già occupata di consenso in varie pronunce. Ricordiamo in particolare quella emessa a seguito di una domanda di pronuncia pregiudiziale della Corte Federale di Giustizia tedesca nel procedimento fra la Federazione delle organizzazioni dei consumatori e la Planet 49GmbH, società che propone giochi on line, in merito alla validità del consenso prestato dagli interessati e dell’utilizzo che di detto consenso ha effettuato la società; il procedimento si è concluso con sentenza del 1 ottobre 2019[3].

Recentemente è stata pubblicata un’ulteriore interessante sentenza della Corte che riguarda ancora l’interpretazione della normativa relativa al consenso, partendo dalla Direttiva 95/46/CE.[4]

Il caso esaminato dalla Corte

Il Tribunale superiore di Bucarest ha rivolto alla CGUE una richiesta in merito al procedimento promosso da Orange Romania SA, fornitore di servizi di telecomunicazione mobile nel mercato rumeno (di seguito la Società), contro l’Autorità rumena di protezione dei dati personali (ANSPDCP).

La società di telco aveva presentato ricorso avverso alla sanzione e alla richiesta di distruzione dei documenti decisa dall’Autorità di controllo per aver raccolto e conservato copia dei documenti d’identità dei propri clienti senza valido consenso.

La società si è difesa sostenendo la correttezza del proprio operato e allegando copia dei documenti contrattuali dai quali risultava la raccolta del consenso.

Le questioni pregiudiziali sollevate dal Tribunale

La domanda posta dal Tribunale di Bucarest alla Corte ha riguardato due questioni:

  • quali sono le condizioni che debbono essere soddisfatte per poter considerare una manifestazione di volontà come specifica e informata;
  • quali sono le condizioni che debbono essere soddisfatte per poter considerare una manifestazione di volontà come liberamente espressa.

In particolare, il Tribunale si riferiva alla seguente questione: se un contratto relativo a servizi di telecomunicazioni – che contenga una clausola secondo la quale la persona interessata è stata informata ed ha acconsentito alla raccolta e alla conservazione del suo documento d’identità a fini di identificazione – sia idoneo a dimostrare che tale persona ha prestato validamente il proprio consenso, ai sensi della normativa privacy applicabile.

Al riguardo, la Corte ha ritenuto opportuno analizzare e fornire la propria interpretazione sia relativamente alla normativa prevista all’epoca delle sanzioni (direttiva 95/46/CE) sia alle previsioni più stringenti del GDPR.

Ciò perché tra gli adempimenti imposti dall’Autorità rumena vi era anche l’obbligo di distruzione dei documenti raccolti illecitamente.

Interessante, infatti, a latere della questione relativa al consenso, il dictum sull’applicazione del GDPR anche all’omessa distruzione. Infatti, non essendovi prova alcuna che l’ordine di distruzione fosse stato attuato prima dell’entrata in vigore del GDPR, la Corte non ha escluso che il GDPR fosse “applicabile ratione temporis”.

La CGUE ha esaminato i diversi considerando ed articoli previsti dalla Direttiva 95 e dal Regolamento 679 riferiti sia al consenso che alla liceità, correttezza e trasparenza del trattamento di dati personali e valutati rispetto alle clausole contrattuali presentate da Orange Romania.

Nell’interpretazione i giudici della Corte hanno tenuto essenzialmente conto delle linee guida dell’EDPB e delle valutazioni già espresse nella sentenza Planet46GmbH per quanto applicabili. La Corte ha inoltre posto l’accento sulla necessità che l’interessato debba poter prestare o meno il consenso per il trattamento dei suoi dati con piena cognizione di causa.

La decisione della Corte

Ad esito del procedimento, la CGEU ha stabilito che un contratto di fornitura di un servizio di telecomunicazioni contenente una clausola secondo cui l’interessato è stato informato ed ha acconsentito alla raccolta e alla conservazione di copia del suo documento d’identità ai fini di identificazione, non è idonea a dimostrare che tale persona abbia validamente manifestato il proprio consenso, qualora:

  • la casella relativa a tale clausola sia stata selezionata dal titolare prima della sottoscrizione del contratto;
  • le clausole contrattuali possono indurre in errore le persone interessate circa la possibilità di stipulare il contratto anche senza tale specifico trattamento di dati;
  • la libera scelta di opporsi alla raccolta e alla conservazione sia indebitamente pregiudicata dal titolare esigendo che la persona interessata per rifiutare il consenso compili un modulo supplementare che ne attesti tale rifiuto.

L’interpretazione fornita, in considerazione delle informazioni disponibili, pare assolutamente in linea con le Linee Guida dell’EDPB e con i precedenti provvedimenti delle Autorità di controllo dei singoli Stati (compreso il Garante per la protezione dei dati personali).

Gli interventi del Garante italiano

Come accennato, anche i provvedimenti adottati nel tempo dall’Autorità italiana, sia in vigenza della Direttiva 95 che del GDPR, non si discostano dalle interpretazioni e soluzioni adottate dalla Corte.

Fra i numerosi atti assunti dal Garante in tema di consenso, si citano ad esempio:

  • il provvedimento sanzionatorio nei confronti di una catena alberghiera che non risultava aver rispettato la disciplina in materia di trattamento di dati personali in merito alla raccolta del consenso per attività di marketing né adottato misure idonee a consentire agli interessati di manifestare un consenso libero e specifico;[5]
  • l’ordinanza ingiunzione nei confronti di una società che, a fronte di trattamenti effettuati per invio di informazioni commerciali, ha reso obbligatoria l’espressione del consenso per poter completare l’iscrizione al sito e per aver preimpostato in senso positivo i flag per il consenso;[6]
  • il provvedimento sanzionatorio nei confronti di una società commerciale per aver chiesto un unico consenso per diverse finalità di trattamento e assoggettato la fruizione del servizio proposto all’espressione del consenso per altre finalità;[7]
  • il provvedimento sanzionatorio e ingiuntivo nei confronti di una società di telecomunicazioni per, tra l’altro, aver utilizzato un consenso non definibile libero, in quanto indebitamente necessitato accettando l’utilizzo dei propri dati personali conferiti ad altri scopi per l’invio di comunicazioni pubblicitarie; aver previsto necessaria l’accettazione congiunta e inscindibile di termini di servizio e informativa privacy; aver acquisito un consenso unico per finalità contrattuali e finalità distinte e diverse per le quali sarebbe stato necessario un ulteriore e specifico consenso.[8]

NOTE

  1. Guidelines On Consent under Regulation 2016/679n 5 2020 dell’EDPB
  2. Linee guida n 259 del 10 aprile 2018
  3. Sentenza della Corte del 1 ottobre 2019 “rinvio pregiudiziale –Direttiva 95/46/CE – Direttiva CE – Regolamento UE2016/679 Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Cookie – Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata.
  4. Sentenza nella causa C-61/19 Orange Romania SA/ANSPDCP del 11 novembre 2020
  5. Trattamento di dati personali in albergo per finalità di marketing 31/1/2008 doc. web. 1490553
  6. Provvedimento dell’11 giugno 2015 doc. web 4243173
  7. Provvedimento del 12 giugno 2019 doc. web. 9120218
  8. Provvedimento del 15 gennaio 2020 doc. web. 9256486

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr