GDPR. I primi ricorsi (e non sono pochi) riguardano il consenso al trattamento dei dati

05/06/2018 14:27


a cura degli avv. ti Damiana Lesce, Valeria De Lucia e Paola Lonigro- Trifirò & Partners


Notizia battuta dalla stampa: secondo le dichiarazioni di Andrea Jelinek, Garante della privacy austriaca nonché capo del comitato di sorveglianza dei dati dell'UE (WP 29), che ha il potere di imporre nuove e severe leggi sulla privacy da maggio di quest'anno, a pochi giorni dall'efficacia Regolamento Ue 2016/679 ( Gdpr - General Data Protection Regulation) sono già arrivati i primi e non pochi ricorsi sulle modalità del "consenso" alla raccolta e al trattamento dei dati personali in base alle nuove regole Ue.

"Solo se richiesto correttamente e in modo comprensibile per la gente - dice il Capo dell'organo di vigilanza - è giusto; invece se il consenso è forzato allora non c'è nessun consenso"
Il tema è di assoluta e rilevante importanza se si considera che il consenso è una delle basi giuridiche del trattamento.

Ai sensi del Considerando 32 del GDPR: "il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso".

Quanto sopra è stato recepito nell'art. 4 del GDPR, ai sensi del quale è consenso qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano. Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo.

Il consenso dunque deve essere:

(1) inequivocabile: esplicito oppure implicito (ma non tacito) ma comunque tale per cui non sussista alcun dubbio circa il fatto che l'interessato abbia voluto dare il proprio consenso. L'inerzia non costituisce manifestazione di consenso;

(2) esplicito: per il trattamento di dati sensibili o nel caso di processi decisionali automatizzati;

(3) espresso liberamente: l'interessato deve essere posto nelle condizioni di scegliere effettivamente se concederlo o no. Ad esempio, non può ritenersi liberamente espresso se la prestazione del consenso è condizione per la conclusione di un contratto in cui il trattamento di dati personali non è necessario per l'esecuzione del contratto medesimo;

(4) specifico: deve essere richiesto e può essere concesso per le finalità di un trattamento specifico. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per ciascuna delle diverse finalità;

(5) informato: l'interessato deve sapere quali dati sono trattati, in che modo e con quali finalità nonché i diritti che gli sono attribuiti dalla legge;

(6) dimostrabile: il titolare deve essere in grado di provare che l'interessato ha conferito il consenso per uno o più specifici trattamenti;

(7) revocabile in qualsiasi momento: le modalità di revoca devono essere semplici; la revoca non deve essere motivata.

Si ricorda, inoltre, che se il trattamento dei dati è basato sul consenso dell'interessato o in esecuzione di un contratto e avviene con mezzi automatizzati, l'interessato acquisisce anche il diritto alla portabilità dei dati.

Vetrina