NEWS

Ancora confusione sul consenso come manifestazione di volontà riguardante uno specifico trattamento

In questi mesi abbiamo ravvisato la necessità di fermarci per un breve ragionamento su un aspetto della normativa sulla protezione dei dati personali che potrebbe sembrare banale, ma sul quale abbiamo notato molta confusione: il consenso al trattamento dei dati personali. Prima dell’entrata in vigore del Regolamento generale sulla protezione dei dati personali, nel decreto legislativo 196/03 Codice della Privacy), il consenso era posto al centro dell’analisi della liceità del trattamento, apparendo come condizione basilare di liceità.

Con il Gdpr, come sappiamo, l’impostazione di principio cambia radicalmente (anche se con scarse ricadute pratiche); le altre condizioni di liceità del trattamento non sono più presentate come eccezioni al consenso, venendo poste insieme ad esso in una lista unica all’art. 6 del Regolamento.

Il consenso in tema di privacy è una base giuridica per il trattamento di dati personali

A nostro parere, il consenso è una condizione di liceità del trattamento molto complessa; apparentemente “semplice”, il consenso ha molte caratteristiche che devono essere rispettate ed in assenza delle quali, non può essere ritenuto valido (invalidando, di conseguenza, il trattamento cui si riferisce). Come efficacemente indicato dalle linee guida WP259, il consenso è una manifestazione di volontà che dev’essere: libera, specifica, informata e inequivocabile.

L’art. 4, punto 11) del Regolamento UE 679/2016 definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Concentriamoci sulla libertà della manifestazione di volontà dell’interessato: questo elemento implica che l’interessato abbia effettivamente una scelta e un controllo sui propri dati; per valutare ciò si prenderanno in massima considerazione alcune ipotesi: che il consenso sia collegato all’esecuzione di un contratto o alla prestazione di un servizio, che sia in relazione ad un rapporto caratterizzato da uno squilibrio di potere (come nei rapporti con la PA o con un datore di lavoro), che sia un consenso “non granulare” (quindi un consenso che riguarda più finalità del trattamento) e che vi sia il rischio di un pregiudizio in caso di rifiuto del consenso o di revoca dello stesso.

Abbiamo deciso di concentrarci proprio su questo elemento perché, secondo noi, è proprio qui che si creano i maggiori fraintendimenti. Abbiamo notato che in molte informative viene indicato come condizione di liceità del trattamento il consenso, facendolo coincidere con la libertà dell’interessato a conferire o meno i propri dati personali al titolare del trattamento, anche in contesti dove, alla base del rapporto tra titolare e interessato, c’è un contratto (spesso di servizi).

Ciò che ci preme far presente è che il consenso è una manifestazione di volontà riguardante lo specifico trattamento e non il rapporto alla base del conferimento dei dati personali.

Il conferimento dei dati personali, l’atto “di consegna” delle informazioni da parte dell’interessato al titolare del trattamento, non è necessariamente retto dal consenso dello stesso solo per il fatto che l’interessato è libero di comunicare o meno i dati.

Ma perché simili errori sono così comuni? Non siamo nelle condizioni di poter dare una risposta certa, ma vorremmo proporre alcune ipotesi sulle quali poter riflettere.

Sicuramente in molti contesti vi è ancora il brutto vizio del “copia-incolla” delle informative di qualcun altro, che porta, di conseguenza, a non porre un esame critico del proprio contesto organizzativo diffondendo questo specifico errore (e sicuramente anche altri). Un’altra idea potrebbe essere quella per la quale certi titolari del trattamento utilizzano la condizione di liceità del trattamento “consenso” per retaggio della vecchia normativa e, in generale, “perché così fan tutti”, dimostrando, di nuovo, la totale assenza di un esame critico del proprio contesto organizzativo.

Altra ipotesi, infine, è l’utilizzo del consenso come “rafforzativo” del conferimento del dato, esulando dall’essere una condizione di liceità del trattamento e diventando una “prova” del benestare dell’interessato al trattamento dei suoi dati (fondato, però, su un’altra condizione di liceità). Quest’ultima ipotesi snatura del tutto il concetto di consenso al trattamento dei dati personali, diventando, per chi non conosce la normativa, “una carta in più” nel mazzo delle carte da giocare contro un’eventuale contestazione.

Il consenso è un’importante condizione di liceità che riconosce all’interessato un elevato controllo sul trattamento, l’inserirlo “di default” nelle informative non solo fa perdere di ogni valore questo istituto, ma dimostra che gli importanti principi previsti nel Gdpr, per molti titolari del trattamento, non sono che carta stampata.

A cura di Federico Mirri e Maria Elena Poggioli

Note sull'Autore

Federico Mirri Federico Mirri

Privacy Officer e Consulente della Privacy, socio membro di Federprivacy

Prev Regole pratiche per l'uso del CRM in conformità al Gdpr
Next La privacy by default nell’ottica del garante per la protezione dei dati personali spagnolo

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy