Con le recenti linee guida del 28 novembre 2017, il WP29 si è soffermato sul tema delle condizioni per il consenso al trattamento dei dati disciplinate, in particolare, dall’art. 7 del GDPR.
Il WP29 ha, innanzitutto, posto l’accento sul fatto che il consenso rappresenta solo una delle possibili basi giuridiche previste dal GDPR per il trattamento dei dati, considerato che l’art. 6 GDPR (lettere da b a f) ne prevede altre cinque:
- esecuzione di un contratto;
- adempimento di un obbligo legale;
- interessi vitali dell’interessato;
- esecuzione di un compito di interesse pubblico o connesso con l’esercizio di pubblici poteri;
- legittimo interesse.
E’, quindi, indispensabile che il titolare del trattamento si domandi sempre, nel caso concreto, se il consenso sia l’appropriata base giuridica del trattamento perché, in base alla lettura combinata dell’art. 6 e dell’art. 7 del GDPR, il trattamento dei dati non può avvenire contemporaneamente in virtù di due o più basi giuridiche.
Ne consegue che il titolare del trattamento:
1) deve identificare in modo chiaro fin dall’inizio qual è l’appropriata base giuridica del trattamento;
2) non può modificare, strada facendo, la base giuridica del trattamento;
3) non può scambiare, a suo piacimento o a sua convenienza, le basi giuridiche del trattamento (per esempio, continuando il trattamento in base al legittimo interesse dopo che l’interessato ha revocato il consenso o perché lo stesso è risultato non validamente espresso).
Perché il consenso sia valido, deve possedere, ex art. 4 GDPR, le seguenti caratteristiche:
a) essere libero;
b) specifico;
c) informato;
d) inequivocabile, cioè frutto di una chiara manifestazione di volontà positiva e affermativa.
A. Libertà
Secondo il WP29 il consenso è libero quando l’interessato ha realmente e concretamente la possibilità di scegliere se concederlo o meno.
La libertà di scelta dell’interessato potrà dirsi esistente qualora sia possibile dimostrare che l’interessato era nelle condizioni di rifiutare senza essere esposto a pericoli, intimidazioni, coercizioni o rilevanti conseguenze negative.
Questo è il motivo, ad esempio, per il quale l’art. 7, comma 4, GDPR prevede che, per l’esecuzione di un contratto, non possono essere considerati validi i consensi rilasciati “in blocco” o “a catena” – cioè in situazioni in cui non è possibile scindere le singole finalità del trattamento – anche quando alcune di esse non siano necessarie.
Quando, cioè, un contratto impone al contraente di accettare trattamenti sovrabbondanti e non necessari, pena l’esclusione integrale dal servizio, siamo in presenza di una situazione di invalidità perché il consenso è stato estorto all’interessato in seguito ad un’inappropriata pressione o ad una influenza illecita.
Occorre, dunque, fare sempre riferimento allo scopo del contratto – da interpretare in modo rigorosamente restrittivo, così come indicato dal WP29 nell’Opinion 06/2014 – per comprendere se la manifestazione di volontà dell’interessato sia stata realmente libera.
B. Specificità
In merito al requisito della specificità del consenso, il WP29 richiama il principio di granularità: nel caso in cui un servizio comprenda una molteplicità di operazioni e/o di scopi, è fondamentale che sia lasciata all’interessato la facoltà di esprimere liberamente il proprio consenso solo per gli scopi che realmente desidera perseguire.
Ciò significa, in concreto, che l’imprenditore dovrà predisporre documenti in cui:
a) siano chiaramente distinte le singole operazioni/finalità;
b) sia richiesto il consenso in modo granulare per ciascuna di esse;
c) siano tenute chiaramente separate e distinte le informazioni relative ai singoli consensi che vengono richiesti rispetto agli altri contenuti.
C. Informativa
Il consenso potrà, poi, dirsi informato solo quando l’interessato è messo in condizione di conoscere gli elementi indispensabili per fare una reale scelta.
Secondo il WP29, il contenuto minimo indispensabile dell’informativa non può prescindere dalla presenza di questi elementi:
- l’identità del titolare del trattamento;
- lo scopo del trattamento;
- quale tipo di dati saranno raccolti;
- il diritto a revocare il consenso;
- le informazioni relative all’uso dei dati basate esclusivamente su decisioni automatizzate, compresa la profilazione, ex art. 22 GDPR;
- se il consenso prevede anche il trasferimento dei dati, l’evidenziazione dei possibili rischi in caso di trattamenti in Paesi privi di provvedimento di adeguatezza.
E’ importante segnalare che il WP29 ha espressamente specificato che una privacy policy eccessivamente lunga e piena di termini giuridici e/o legalesi non può essere considerata una valida informativa per carenza del profilo di trasparenza e intellegibilità.
D. Inequivocabilità
Per quanto riguarda, infine, il requisito dell’inequivocabilità, tale requisito comporta che:
a) il consenso sia espresso mediante una chiara azione positiva;
b) il silenzio o l’inattività di un soggetto non siano validi presupposti per ritenere che l’interessato abbia compiuto una reale scelta;
c) i c.d. pre-ticked opt-in box non siano validi.
Occorre, da ultimo, segnalare che, in base all’art. 7, comma 1, GDPR, l’onere della prova in merito alla validità del consenso grava sul titolare del trattamento.
Pertanto, qualora sia messa in discussione la modalità di acquisizione del consenso, sarà fondamentale per il titolare del trattamento poter dimostrare che l’interessato avrebbe potuto facilmente rifiutare il consenso, per una o più finalità, senza subire alcun tipo di danno o di penalizzazione.
Il WP29 suggerisce, inoltre, quale best practice:
- di eseguire dei test preventivi sull’informativa attraverso dei panel di interessati aventi caratteristiche simili al target di riferimento dell’imprenditore, per dimostrare la chiara e agevole comprensibilità dell’informativa;
- in caso di trattamenti che si prolungano significativamente nel tempo, di rinnovare la richiesta del consenso all’interessato ad “a regolari ed appropriati intervalli di tempo”.
Considerati i molteplici elementi di cui sopra e le possibili insidie connesse alla carenza di uno dei quattro presupposti sopra descritti, è chiaro che, qualora sia possibile rinvenire un’altra base giuridica per il trattamento dei dati, sarà preferibile fare riferimento ad essa, utilizzando la base giuridica del consenso dell’interessato solo nei casi davvero indispensabili (come, ad esempio, nel caso di trattamento di dati sensibili).
Interessante sunto.
Credo che, a lungo andare, una delle novità più importanti introdotte dal GDPR sarà il concetto di “legittimo interesse” al trattamento dei dati. E temo già che ci saranno degli abusi…
Molti autori, in effetti, hanno già messo in guardia contro l’eventualità che il legittimo interesse possa essere utilizzato come una base giuridica di comodo quando il titolare del trattamento non sa bene come giustificare il trattamento dei dati. E’ auspicabile che le Autorità Garanti facciano capire fin da subito che questo modus operandi non può essere utilizzato, così che venga immediatamente bloccata qualsiasi velleità in tal senso.
Obiettivamente, comunque, il legittimo interesse è, sussistendone i presupposti, un’ottima base giuridica che può semplificare moltissimo la fase di acquisizione dei dati in svariate tipologie di attività.