Consenso privacy: le nuove regole del GDPR

Il Gruppo di Lavoro dell’Articolo 29 (il c.d. “WP29”), ha adottato delle linee guida indicando quali sono i requisiti richiesti dal nuovo Regolamento europeo (Regolamento Ue 2016/679 – GDPR) per il consenso al trattamento dei dati personali.

Il GDPR è intervenuto in tema di “informativa e del consenso al trattamento dei dati”, disponendo nuove regole volte a garantire una perfetta informazione dei soggetti interessati, affinché il consenso sia sempre libero, specifico, informato e inequivocabile.

Il consenso è identificato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Si è, pertanto, adottato un approccio rigido, con la conseguenza che, nel caso in cui si tenti di barattare il consenso con delle controprestazioni o qualora il consenso venga prestato in situazioni in cui vi è uno sbilanciamento tra le posizioni di forza delle parti, lo stesso verrà considerato non valido.

Inoltre, si richiede che il consenso sia specifico, quindi diretto a quella determinata tipologia di trattamento: la base giuridica del trattamento deve essere definita fin dall’inizio e non può essere modificata nel corso del trattamento.

Stante la rigidità di questa nuova tipologia di consenso, bisognerà valutare la sopravvivenza dei consensi prestati nella vigenza del Codice Privacy dopo l’inizio dell’applicabilità del GDPR che fissa requisiti certamente più elevati.

Nel considerando 171 del GDPR, è stabilito che “qualora il trattamento si basi sul consenso a norma della direttiva 95/46, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento”.

Elemento necessario per il trattamento dei dati personali è il consenso prestato dagli interessati. Tuttavia, con riferimento a determinate categorie di dati (quali ad esempio i dati sulle condanne penali e reati raccolti tramite il certificato dei carichi pendenti), il consenso non è una base sufficiente, in quanto è possibile trattarli solo se previsto da una disposizione di legge.

Inoltre, anche qualora il consenso venga legittimamente prestato, il trattamento non deve mai andare oltre quello che si ritiene strettamente necessario: nelle linee guida si chiarisce che il consenso, una volta ottenuto “non legittimerebbe la raccolta di dati che non è necessaria in relazione a una finalità specifica del trattamento”.

 UTILIZZANDO IL GESTIONALE LEGALDESK SEMPLIFICHI LA TUA GIORNATA, PROVALO ORA !

Consenso al trattamento dei dati personali: requisiti

Come detto, e così come indicato dall’articolo 4, n.11 del GDPR, il consenso è definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Pertanto, quattro sono gli elementi da considerare per valutare la validità del consenso al trattamento dei dati personali, che deve essere:

LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?

Liberamente prestato

Tale caratteristica è stata spiegata dal Gruppo di Lavoro, WP29, che intende il consenso liberamente prestato quando rappresenta una “vera scelta ed è sotto controllo degli interessati”, mentre “se il consenso è inserito come parte non negoziabile di termini e condizioni si presume che non sia stato prestato liberamente”.

Prestare liberamente il consenso vuol dire anche che, il soggetto deve poter rifiutare il consenso o revocarlo senza subire un danno.

Questo vuol dire che, la fornitura di un servizio non può essere condizionata alla prestazione del consenso, qualora tale attività di trattamento dei dati non è necessaria per offrire il servizio (cosa che, invece, risulta necessaria per la raccolta di dati di geolocalizzazione per scopi pubblicitari comportamentali come condizione per fornire un servizio di video editing).

Lo stesso vale quando si istaura un rapporto di lavoro, che comporta naturalmente uno squilibrio di potere tra il titolare e l’interessato: in questo caso, il consenso (almeno nella maggior parte dei casi) non può essere una valida base giuridica in un rapporto di lavoro dove dipendente si trova in una situazione di debolezza rispetto al proprio datore di lavoro.

Invece, si stabilisce un rapporto paritario e il consenso si ritiene prestato liberamente qualora una società offre ai propri clienti “una scelta genuina se l’individuo è in grado di scegliere tra un servizio che include il consenso all’utilizzo dei dati personali per finalità ulteriori e un servizio equivalente offerto dallo stesso titolare del trattamento che non comporta il consenso al trattamento dei dati per finalità ulteriori.Nei limiti in cui esiste la possibilità che il contratto venga eseguito o che il servizio appaltato sia prestato dal titolare del trattamento senza il consenso al trattamento per le finalità ulteriori o aggiuntive, ciò significa che non esiste più un servizio condizionato al consenso”.

Il WP29 ha esaminato, inoltre, un’ulteriore questione, che riguarda livello di granularità del consenso al trattamento dei dati personali da richiedere e ottenere dagli individui: “se il titolare del trattamento ha raggruppato diverse finalità del trattamento e non ha tentato di ottenere il consenso separato per ogni finalità, c’è una mancanza di libertà”. L’esempio fornito dal Gruppo di Lavoro di cui all’Articolo 29, fa riferimento all’impossibilità di avere un unico consenso per le finalità di direct marketing del titolare del trattamento e per la condivisione dei dati in tutte le società del suo gruppo.

Specifico

Altra caratteristica del consenso (strettamente legata al suo livello di granularità), è quella riguardante la specificità.

Questo significa che:

  • il consenso deve essere raccolto per finalità specifiche, esplicite e legittime.
  • il consenso deve essere raccolto per ogni specifica finalità del trattamento dei dati.
  • le informazioni specifiche devono essere fornite con ciascuna richiesta di consenso separata al fine di rendere gli interessati consapevoli circa l’impatto delle diverse scelte che hanno a disposizione.

Informato

Dovendo il consenso essere “informato”, il Gruppo di Lavoro dell’articolo 29, ha stabilito che la formula del consenso deve includere almeno le seguenti informazioni:

  • l’identità del titolare del trattamento.
  • la finalità di ciascun trattamento per il quale è richiesto il consenso.
  • quale tipologia di dati saranno raccolti e utilizzati.
  • l’esistenza e le modalità di esercizio del diritto di revoca del consenso.
  • le informazioni sull’uso dei dati per decisioni automatizzate, inclusa la profilazione.
  • se il consenso riguarda trasferimenti al di fuori dell’UE, i dettagli circa i possibili rischi di trasferimenti di dati verso Paesi terzi in assenza di una decisione di adeguatezza e di garanzie appropriate.

Come chiarito anche nel Regolamento, le informazioni non possono essere rese attraverso lunghe informative illeggibili o dal lessico complicato; e il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma comprensibile e facilmente accessibile.

Nel Regolamento vengono anche indicate in modo dettagliato le caratteristiche dell’informativa, che deve: avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; essere scritta in un linguaggio chiaro e semplice.

L’informativa, poi, dovrebbe essere consegnata per iscritto e preferibilmente in formato elettronico (anche se sono ammessi altri mezzi, potendo quindi essere fornita anche oralmente, ma nel rispetto delle caratteristiche sopra indicate).

Un’indicazione univoca di volontà

Il consenso al trattamento dei dati personali deve essere fornito mediante un “chiaro atto affermativo”: con ciò si vuole intendere che il consenso deve essere frutto di un’azione deliberata dell’interessato, per consentire il trattamento specifico che significa che l’interessato deve aver intrapreso un’azione.

Il consenso potrà, pertanto, essere raccolto attraverso una dichiarazione scritta o registrata, anche per via elettronica, che tuttavia deve comunicare chiaramente un atto affermativo.

Di conseguenza, il WP29, non ha considerato sufficienti, ad esempio:

  • lo scorrimento delle pagine su uno schermo.
  • le caselle “preticcate”.
  • il silenzio o l’inattività.
  • i consensi forniti come parte di un contratto o di accettazione di termini e condizioni generali di un servizio.

Consenso esplicito

Infine, il consenso deve essere esplicito, potendo in questo caso permetter, e quindi rendere legittimi:

  • il trattamento di categorie speciali di dati, come dati relativi alla salute o i dati biometrici.
  • il trasferimento di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguate salvaguardie.
  • l’utilizzo di processi decisionali automatizzati, inclusa la profilazione.

Secondo il Gruppo di Lavoro dell’Articolo 29, “il requisito del consenso esplicito, può essere soddisfatto, non solo mediante una dichiarazione scritta, ma anche compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la firma dell’individuo o utilizzando una firma elettronica”.

Anche una dichiarazione orale potrebbe soddisfare i requisiti di un consenso esplicito, volendo dire con ciò che non è espressamente vietata, ma secondo il WP29, in questo caso, potrebbe essere difficile dimostrare che tutti i requisiti sono soddisfatti.

 USA LEGALDESK, IL GESTIONALE ALL’AVANGUARDIA PER IL TUO STUDIO LEGALE

Come dimostrare il consenso trattamento dei dati

I titolari del trattamento devono essere in grado di dimostrare il consenso ottenuto.

Il WP29 non ha fornito linee guida specifiche su come conservare il consenso, ma sicuramente è necessario essere in grado di collegare il consenso ottenuto alle informazioni fornite al momento del consenso.

Inoltre, il consenso ottenuto deve essere conservato per il periodo strettamente necessario ai fini del trattamento dei dati e per difendere i diritti del titolare del trattamento.

Il Gruppo di Lavoro dell’Articolo 29, ha anche chiarito che non esiste un limite temporale di validità del consenso, che varia in relazione al consenso inizialmente ottenuto e alle aspettative dell’interessato, nonché alla tipologia di trattamento da svolgere.

Tuttavia, se le operazioni di trattamento cambiano o si evolvono considerevolmente, allora il consenso inizialmente prestato non è più valido e deve essere ottenuto un nuovo consenso.

Come viene ritirato il consenso trattamento dati

Come detto in precedenza, l’interessato deve essere messo nella condizione di poter revocare il consenso in qualsiasi momento con la stessa facilità con cui è stato inizialmente prestato.

Ad esempio, se il consenso è stato prestato attraverso l’utilizzo di un’interfaccia utente specifica del servizio, l’interessato dovrà poter revocare il consenso tramite la stessa modalità gratuita e senza alcun impatto sul livello di servizio offerto.

Il ritiro del consenso, poi, non incide sulle precedenti attività di trattamento dei dati, che rimangono legittime. Purtuttavia, se viene a mancare la base giuridica che giustifichi la conservazione dei dati personali dopo il ritiro del consenso, i dati dovrebbero essere cancellati o resi anonimi.

Infatti, il WP29 ha chiarito che, i titolari del trattamento non possono cambiare, a seconda delle necessità, la base legale del trattamento.

LEGGI ANCHE: GDPR in sintesi

E i consensi ottenuti ai sensi del Codice Privacy?

Il WP29 ha ritenuto che i consensi ottenuti in precedenza, possano essere considerati validi, nei limiti in cui sono conformi con i requisiti fissati dal GDPR.

Su questo punto è bene fare molta attenzione e, in vista dell’inizio dell’applicabilità del GDPR, sarebbe utile adottare un’informativa sul trattamento dei dati personali transitoria e consensi conformi sia al nostro attuale Codice Privacy che al GDPR.