Consenso privacy, l'interessato deve averne pieno controllo: la sentenza europea - Cyber Security 360

Lo scenario

Consenso privacy, l’interessato deve averne pieno controllo: la sentenza europea

La Corte di giustizia europea ha consigliato, per i trattamenti basati sul consenso, di fare in modo che le informazioni da fornire all’interessato siano tali da consentirgli di individuare in modo semplice le conseguenze del consenso prestato

17 Nov 2020
Z
Rodolfo Zani

Avvocato, Studio Associato Servizi Professionali Integrati Fieldfisher Global, DPO dell'Ordine degli Avvocati di Verbania


Con la sentenza dell’11 novembre, la Corte di giustizia europea fa luce su un aspetto del consenso informato di interesse per le imprese. Infatti, talvolta le società nel predisporre la documentazione da sottoporre ai propri clienti per la sottoscrizione di contratti, sono portate a semplificare ed accorpare alcune clausole.

Quando tali contratti prevedono anche un trattamento di dati che ha come base giuridica il consenso, le decisioni della Corte di Giustizia europea conformi alle linee guida sul consenso dell’EDPB e ai provvedimenti delle Autorità nazionali in materia, consigliano di prestare le puntuali attenzioni del caso affinché le informazioni da fornire all’interessato siano tali da consentirgli di individuare agevolmente le conseguenze del consenso prestato e che possa esprimerlo con piena cognizione di causa.

Di tale consenso l’interessato deve avere pieno controllo, quindi con possibilità di revocarlo in modo semplice in ogni momento.

Cosa dice il GDPR

Il titolare deve inoltre individuare le più idonee forme e modalità di raccolta, incombendo su di lui l’onere di dimostrare di averlo raccolto conformemente alle previsioni normative. Infatti qualora il titolare non sia in grado di dimostrare che il consenso è stato espresso conformemente alle disposizioni del GDPR, il trattamento eventualmente posto in essere sarà illecito in quanto privo di adeguata giuridica.

Con il GDPR, infatti, le condizioni e i requisiti per la raccolta di un valido consenso sono state ulteriormente specificate rispetto alla precedente Direttiva 95/46 (CE). Due sono i principali riferimenti normativi:

  • l’art. 4 che precisa come la manifestazione di volontà dell’interessato debba essere libera, specifica, informata e inequivocabile e che il consenso debba essere espresso mediante dichiarazione o azione positiva inequivocabile dell’interessato stesso;
  • l’art. 7 che pone in capo al titolare la necessità di dimostrare che l’interessato abbia prestato il proprio consenso e individua le condizioni per un consenso valido, in particolare quando rilasciato nel contesto di una dichiarazione scritta o nell’esecuzione di un contratto. Tale norma stabilisce inoltre il diritto di revoca del consenso in ogni momento da parte dell’interessato.

Le linee guida dell’EDPB

L’analisi dei requisiti e delle modalità idonee a considerare valido il consenso rilasciato è stata approfondita e sviluppata dall’European Data Protection Board (EDPB) nelle specifiche Linee guida del 2020 [1](che hanno aggiornato le precedenti Guidelines adottate dal WP29[2]).

Tale guida analizza compiutamente, anche con appropriati esempi, il significato di manifestazione di volontà libera, specifica, informata e il significato di “dichiarazione o azione positiva inequivocabile dell’interessato”. L’EDPB, tra l’altro, ha precisato che:

  • per il principio di legittimità, correttezza e trasparenza, l’aver ottenuto il consenso dell’interessato, legittima il titolare solo a porre in atto i trattamenti strettamente necessari per le finalità indicate. Ogni ulteriore trattamento, anche con riguardo alla conservazione, violerebbe il principio di trasparenza e di conseguenza renderebbe illegittimo il trattamento stesso;
  • il titolare deve assicurarsi che l’azione attraverso la quale è prestato il consenso sia distinta dalle altre (ad esempio l’accettazione globale delle condizioni generali di un contratto non può essere considerata come un’azione positiva inequivocabile);
  • non è consentito utilizzare caselle preselezionate;
  • l’onere della prova della valida raccolta del consenso è a carico del titolare del trattamento.

I pronunciamenti della Corte di giustizia dell’Unione Europea

La Corte di Giustizia dell’Unione Europe (la CGUE o la Corte) si era già occupata di consenso in varie pronunce. Ricordiamo in particolare quella emessa a seguito di una domanda di pronuncia pregiudiziale della Corte Federale di Giustizia tedesca nel procedimento fra la Federazione delle organizzazioni dei consumatori e la Planet 49GmbH, società che propone giochi on line, in merito alla validità del consenso prestato dagli interessati e dell’utilizzo che di detto consenso ha effettuato la società; il procedimento si è concluso con sentenza del 1 ottobre 2019[3].

Recentemente è stata pubblicata un’ulteriore interessante sentenza della Corte che riguarda ancora l’interpretazione della normativa relativa al consenso, partendo dalla Direttiva 95/46/CE.[4]

Il caso esaminato dalla Corte

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Il Tribunale superiore di Bucarest ha rivolto alla CGUE una richiesta in merito al procedimento promosso da Orange Romania SA, fornitore di servizi di telecomunicazione mobile nel mercato rumeno (di seguito la Società), contro l’Autorità rumena di protezione dei dati personali (ANSPDCP).

La società di telco aveva presentato ricorso avverso alla sanzione e alla richiesta di distruzione dei documenti decisa dall’Autorità di controllo per aver raccolto e conservato copia dei documenti d’identità dei propri clienti senza valido consenso.

La società si è difesa sostenendo la correttezza del proprio operato e allegando copia dei documenti contrattuali dai quali risultava la raccolta del consenso.

Le questioni pregiudiziali sollevate dal Tribunale

La domanda posta dal Tribunale di Bucarest alla Corte ha riguardato due questioni:

  • quali sono le condizioni che debbono essere soddisfatte per poter considerare una manifestazione di volontà come specifica e informata;
  • quali sono le condizioni che debbono essere soddisfatte per poter considerare una manifestazione di volontà come liberamente espressa.

In particolare, il Tribunale si riferiva alla seguente questione: se un contratto relativo a servizi di telecomunicazioni – che contenga una clausola secondo la quale la persona interessata è stata informata ed ha acconsentito alla raccolta e alla conservazione del suo documento d’identità a fini di identificazione – sia idoneo a dimostrare che tale persona ha prestato validamente il proprio consenso, ai sensi della normativa privacy applicabile.

Al riguardo, la Corte ha ritenuto opportuno analizzare e fornire la propria interpretazione sia relativamente alla normativa prevista all’epoca delle sanzioni (direttiva 95/46/CE) sia alle previsioni più stringenti del GDPR.

Ciò perché tra gli adempimenti imposti dall’Autorità rumena vi era anche l’obbligo di distruzione dei documenti raccolti illecitamente.

Interessante, infatti, a latere della questione relativa al consenso, il dictum sull’applicazione del GDPR anche all’omessa distruzione. Infatti, non essendovi prova alcuna che l’ordine di distruzione fosse stato attuato prima dell’entrata in vigore del GDPR, la Corte non ha escluso che il GDPR fosse “applicabile ratione temporis”.

La CGUE ha esaminato i diversi considerando ed articoli previsti dalla Direttiva 95 e dal Regolamento 679 riferiti sia al consenso che alla liceità, correttezza e trasparenza del trattamento di dati personali e valutati rispetto alle clausole contrattuali presentate da Orange Romania.

Nell’interpretazione i giudici della Corte hanno tenuto essenzialmente conto delle linee guida dell’EDPB e delle valutazioni già espresse nella sentenza Planet46GmbH per quanto applicabili. La Corte ha inoltre posto l’accento sulla necessità che l’interessato debba poter prestare o meno il consenso per il trattamento dei suoi dati con piena cognizione di causa.

La decisione della Corte

Ad esito del procedimento, la CGEU ha stabilito che un contratto di fornitura di un servizio di telecomunicazioni contenente una clausola secondo cui l’interessato è stato informato ed ha acconsentito alla raccolta e alla conservazione di copia del suo documento d’identità ai fini di identificazione, non è idonea a dimostrare che tale persona abbia validamente manifestato il proprio consenso, qualora:

  • la casella relativa a tale clausola sia stata selezionata dal titolare prima della sottoscrizione del contratto;
  • le clausole contrattuali possono indurre in errore le persone interessate circa la possibilità di stipulare il contratto anche senza tale specifico trattamento di dati;
  • la libera scelta di opporsi alla raccolta e alla conservazione sia indebitamente pregiudicata dal titolare esigendo che la persona interessata per rifiutare il consenso compili un modulo supplementare che ne attesti tale rifiuto.

L’interpretazione fornita, in considerazione delle informazioni disponibili, pare assolutamente in linea con le Linee Guida dell’EDPB e con i precedenti provvedimenti delle Autorità di controllo dei singoli Stati (compreso il Garante per la protezione dei dati personali).

Gli interventi del Garante italiano

Come accennato, anche i provvedimenti adottati nel tempo dall’Autorità italiana, sia in vigenza della Direttiva 95 che del GDPR, non si discostano dalle interpretazioni e soluzioni adottate dalla Corte.

Fra i numerosi atti assunti dal Garante in tema di consenso, si citano ad esempio:

  • il provvedimento sanzionatorio nei confronti di una catena alberghiera che non risultava aver rispettato la disciplina in materia di trattamento di dati personali in merito alla raccolta del consenso per attività di marketing né adottato misure idonee a consentire agli interessati di manifestare un consenso libero e specifico;[5]
  • l’ordinanza ingiunzione nei confronti di una società che, a fronte di trattamenti effettuati per invio di informazioni commerciali, ha reso obbligatoria l’espressione del consenso per poter completare l’iscrizione al sito e per aver preimpostato in senso positivo i flag per il consenso;[6]
  • il provvedimento sanzionatorio nei confronti di una società commerciale per aver chiesto un unico consenso per diverse finalità di trattamento e assoggettato la fruizione del servizio proposto all’espressione del consenso per altre finalità;[7]
  • il provvedimento sanzionatorio e ingiuntivo nei confronti di una società di telecomunicazioni per, tra l’altro, aver utilizzato un consenso non definibile libero, in quanto indebitamente necessitato accettando l’utilizzo dei propri dati personali conferiti ad altri scopi per l’invio di comunicazioni pubblicitarie; aver previsto necessaria l’accettazione congiunta e inscindibile di termini di servizio e informativa privacy; aver acquisito un consenso unico per finalità contrattuali e finalità distinte e diverse per le quali sarebbe stato necessario un ulteriore e specifico consenso.[8]

NOTE

  1. Guidelines On Consent under Regulation 2016/679n 5 2020 dell’EDPB
  2. Linee guida n 259 del 10 aprile 2018
  3. Sentenza della Corte del 1 ottobre 2019 “rinvio pregiudiziale –Direttiva 95/46/CE – Direttiva CE – Regolamento UE2016/679 Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Cookie – Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata.
  4. Sentenza nella causa C-61/19 Orange Romania SA/ANSPDCP del 11 novembre 2020
  5. Trattamento di dati personali in albergo per finalità di marketing 31/1/2008 doc. web. 1490553
  6. Provvedimento dell’11 giugno 2015 doc. web 4243173
  7. Provvedimento del 12 giugno 2019 doc. web. 9120218
  8. Provvedimento del 15 gennaio 2020 doc. web. 9256486
WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5