Le Linee Guida del Gruppo di lavoro articolo 29 (Working Party article 29 o WP29, appunto perchè previsto dall’art. 29 della direttiva europea 95/46) aiutano a fare luce sulle ambiguità legate al concetto di consenso al trattamento dei dati personali.

La marea di richieste di consenso che, per settimane, ha rischiato di far affogare le nostre caselle di posta elettronica, sta lentamente rallentando. Siamo certi che tutto questo florilegio di richieste abbia una effettiva utilità?
Molti soggetti sembrano ritenere che richiedere il consenso dell’interessato al trattamento dei suoi dati sia una rimedio universale, utilissimo per “coprirsi le spalle” nei confronti di ogni questione riguardante la privacy e, così, assicurarsi una base di legittimità che consenta di ampliare a piacimento le finalità che i titolari possono perseguire.

 

Equivoci intorno al consenso

Non di rado capita di imbattersi in richieste di consenso informato anche per trattamenti di dati essenziali per l’esecuzione di un contratto o di misure precontrattuali. Accade anche di sentir dire che spesso si tende a “costruire” le informative ex articoli 13 e 14 del GDPR come se fossero la condizione necessaria per richiedere il consenso informato rispetto ai trattamenti che ne sono oggetto.
Il tutto senza contare quante volte ci siamo imbattuti in richieste di consenso informato inviate ad aziende… Forse alla base ci sono consulenti improvvisati o problemi di “comprensione del testo”  (perdonateci il sarcasmo, ma non riusciamo a capire quale sia la parte poco chiara de Regolamento europeo in materia di protezione dei dati personali)

Il paradosso di una ditta che chiede ad un’altra ditta il consenso al trattamento dei dati personali.

 

In sostanza, pare che intorno al consenso e al ruolo che questo istituto ha nel GDPR regnino molti equivoci, conoscenze superficiali e non poche ambiguità.

Il consenso e la base giuridica del trattamento

La prima cosa da sottolineare (così come sottolinea il Gruppo di lavoro articolo 29) consiste nel fatto che l’articolo 4, paragrafo 1, numero 11 del GDPR, prevede che il consenso deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile”; non solo però, fermi restando questi elementi, l’assenso deve essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”, quindi nessuno spazio per ipotesi quali silenzio assenso.

A sua volta l’articolo 6, paragrafo 1 specifica che il consenso è solo una delle sei basi di legittimità dei trattamenti di dati personali (riportiamole nei loro tratti essenziali):

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

 

Per questo, il titolare del trattamento dei dati personali deve sempre valutare in primo luogo quale delle sei basi di legittimità previste dal GDPR è la più idonea in riferimento al trattamento che intende porre in essere.
Questa valutazione non deve essere presa alla leggera anzi, deve essere effettuata con la massima attenzione anche perché, come specificano gli articoli 13 e 14 paragrafi 1, lettera c), nelle informative da rendere agli interessati devono essere indicate inequivocabilmente sia le finalità del trattamento che la relativa base giuridica.

È dunque un preciso dovere del titolare definire la base giuridica su cui intende fondare la legittimità del trattamento e di questa decisione deve informare l’interessato, anche perché i diritti di questo sono diversi a seconda della base giuridica scelta. Si pensi al diritto alla revoca del consenso (articolo 7, paragrafo 3), che non si ha negli altri casi; o al diritto a ottenere la portabilità dei dati, che si ha solo se il trattamento è basato sul contratto o sul consenso (articolo 20).

La scelta della base giuridica che legittima ciascun trattamento spetta sempre al titolare, ma questo deve tener conto che essa deve essere conforme a quanto previsto dal GDPR. Il che significa che il titolare non è affatto libero di scegliere discrezionalmente il fondamento di legittimità del trattamento ma deve rispettare le condizioni previste dal GDPR riguardo alle caratteristiche di ciascuna delle sei basi giuridiche indicate nell’articolo 6 ed essere sempre in grado di dimostrare la correttezza della scelta fatta.

 

La libertà di scelta dell’interessato e il rispetto dei principi di legittimità, correttezza e trasparenza

Alla luce di queste disposizioni, se il titolare decide di basare i trattamenti sul consenso dell’interessato, ha il preciso obbligo di garantire che questi possa avere una effettiva libertà di scelta, sia nel dare il proprio assenso sia nel negarlo, senza che questa scelta possa causargli pregiudizio alcuno. Se così non fosse, infatti, il consenso non potrebbe essere ritenuto valido perché la manifestazione di volontà non sarebbe “libera”, come invece l’articolo 4 paragrafo 1, numero 11 richiede. È dunque fondamentale che, se si sceglie come base giuridica il consenso, questo possa essere liberamente rifiutato, senza che questo produca conseguenze negative per l’interessato.

Il WP 29, però, si spinge oltre, sottolineando uno degli aspetti più importanti delle innovazioni introdotte in questo ambito dal GDPR.

Afferma infatti che, anche se il titolare fonda i suoi trattamenti sulla base del consenso dell’interessato, deve comunque rispettare i principi di legittimità, correttezza e, soprattutto, di trasparenza, fissati dall’articolo 5. Questo vuol dire che l’aver conseguito il consenso dell’interessato legittima solo ed esclusivamente a porre in essere i trattamenti strettamente necessari per le finalità indicate. Ogni trattamento ulteriore di tali dati, sarebbe improprio e contravverrebbe al principio di trasparenza, proprio perché basato sul consenso informato. In sostanza violerebbe i principi dell’articolo 5 e di conseguenza renderebbe illegittimo il trattamento stesso.

Consenso ed esecuzione del contratto

Quando il consenso al trattamento di dati personali necessari è requisito essenziale per l’esecuzione di un contratto, è perfettamente inutile richiederlo, a meno che, ovviamente, esso non sia richiesto dal GDPR o da altre norme dell’Unione Europea o dello Stato, come precondizione necessaria, in ragione del tipo di dati trattati. In questo caso il consenso non si configura come base giuridica di legittimità del trattamento ma come precondizione necessaria per porre in atto gli adempimenti contrattuali.

in questi casi, inoltre, proprio perché il consenso non è la base giuridica di legittimità del trattamento né una precondizione necessaria, anche la sua eventuale revoca resterebbe senza alcun effetto in quanto prevarrebbe l’obbligo di dare esecuzione al contratto e i vincoli che da questo derivano.

Si conferma dunque l’inutilità e l’inopportunità di un consenso “ulteriore” per non mischiare la figura del contratto e quella del consenso, nel tentativo, sostanzialmente illegittimo, di duplicare le basi di legittimità.

A questo si aggiunga l’incertezza che da una scelta di questo genere potrebbe derivare per i diritti degli interessati. Essi, infatti, potrebbero ritenere, a torto, di poter revocare in ogni momento il consenso prestato, innescando come conseguenza la interruzione legittima del contratto.

 

Conclusioni

Le norme sul dovere del titolare di dichiarare all’interessato la base di legittimità del trattamento e le relative finalità, indicando anche tutti i diritti che egli può esercitare, consigliano di tenere ben presente la distinzione tra consenso come base di legittimazione del trattamento e consenso come precondizione per la legittimità di trattamenti fondati sul contratto, o su una delle altre basi previste dall’articolo 6.

Alla luce di queste considerazioni possiamo fissare alcuni punti guida:

  1. Il GDPR si riferisce esclusivamente ai dati personali delle persone fisiche.
  2. Le informative devono essere redatte coerentemente con le necessità dei trattamenti che si intende porre in essere.
  3. Prestare attenzione a quando il consenso è base giuridica di un trattamento e a quando è prerequisito contrattuale o precontrattuale.
  4. E’ imperativo rispettare i principi di legittimità, correttezza e trasparenza.