112. Il regolamento generale sulla protezione dei dati dà ampio rilievo alla revoca del consenso. Le disposizioni e i considerando relativi alla revoca del consenso possono considerarsi una codificazione dell’interpretazione data al riguardo nei pareri del Gruppo di lavoro Articolo 29.
113. L’articolo 7, paragrafo 3, prescrive che il titolare del trattamento deve garantire che l’interessato possa revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha espresso. Il regolamento non dispone che l’espressione e la revoca del consenso debbano avvenire sempre allo stesso modo.
114. Tuttavia, quando il consenso viene prestato per via elettronica con un solo clic di mouse, un solo scorrimento o premendo un tasto, l’interessato deve, in pratica, poterlo revocare con altrettanta facilità. Se il consenso è espresso attraverso un’interfaccia utente specifica di servizio (ad esempio un sito web, un’applicazione, un account protetto, l’interfaccia di un dispositivo IoT oppure posta elettronica), è indubbio che l’interessato deve poterlo revocare tramite la medesima interfaccia elettronica, poiché il passaggio a un’altra interfaccia per la sola revoca richiederebbe uno sforzo eccessivo. Inoltre, l’interessato dovrebbe poter revocare il consenso senza subire pregiudizio. Ciò significa, tra l’altro, che il titolare del trattamento deve consentire la revoca senza spese o senza
abbassare i livelli del servizio.
115. Esempio 22: Un festival musicale vende biglietti tramite un agente di vendita di biglietti online. All’atto della vendita del biglietto viene richiesto il consenso all’uso dei dettagli di contatto per finalità di marketing. Per acconsentire o meno a tale finalità, il cliente può cliccare su “Sì” oppure su “No”. Il titolare del trattamento informa il cliente che può revocare il consenso contattando gratuitamente un call center nei giorni lavorativi tra le 8:00 e le 17:00. Il titolare del trattamento di questo esempio non rispetta l’articolo 7, paragrafo 3, del regolamento. Telefonare durante l’orario di lavoro per revocare il consenso è più oneroso rispetto a un clic di mouse per prestare il consenso attraverso il venditore di biglietti online, che è aperto 24 ore al giorno, 7 giorni la settimana.
116. In base al regolamento il requisito della facilità della revoca è un elemento necessario del consenso valido. Se il diritto di revoca non soddisfa i requisiti del regolamento, il meccanismo di consenso del titolare del trattamento non è conforme al regolamento. Come menzionato nella sezione 3.1 sulla condizione del consenso informato, a norma dell’articolo 7, paragrafo 3, del regolamento il titolare del trattamento deve informare l’interessato del diritto di revoca prima che quest’ultimo presti effettivamente il consenso. Inoltre, nel contesto dell’obbligo di trasparenza, il titolare del trattamento deve informare l’interessato sulle modalità di esercizio dei suoi diritti.
117. Di norma, se il consenso viene revocato, tutti i trattamenti dei dati basati sul consenso avvenuti prima della revoca (e in conformità con il regolamento) rimangono leciti, tuttavia il titolare del trattamento deve interrompere le attività di trattamento interessate. Qualora non sussista un’altra base legittima per il trattamento (ad esempio l’ulteriore archiviazione) dei dati, questi dovrebbero essere cancellati dal titolare del trattamento.
118. Come già accennato, prima di raccogliere i dati è molto importante che il titolare del trattamento valuti le finalità per le quali i dati sono effettivamente trattati e le basi legittime del trattamento. Spesso le aziende hanno bisogno di dati personali per diverse finalità e il trattamento si basa su più basi legittime, ad esempio il trattamento di dati dei clienti può basarsi su un contratto e sul consenso. Di conseguenza, la revoca del consenso non implica che il titolare del trattamento deve cancellare i dati trattati per una
finalità che si basa sull’esecuzione del contratto stipulato con l’interessato. Il titolare del trattamento dovrebbe pertanto precisare chiaramente sin dall’inizio la finalità che si applica a ciascun dato e le basi legittime del trattamento.
119. Il titolare del trattamento deve cancellare i dati trattati sulla base del consenso non appena questo viene revocato, supponendo che non vi siano altre finalità che giustificano l’ulteriore conservazione. Oltre a questa situazione, prevista dall’articolo 17, paragrafo 1, lettera b), l’interessato può chiedere la cancellazione di altri dati che lo riguardano trattati sulla base di un’altra base legittima, ad esempio l’articolo 6, paragrafo 1, lettera b). Il titolare del trattamento è tenuto a valutare se la prosecuzione del trattamento dei dati in questione sia appropriata, anche in assenza di una richiesta di cancellazione da parte dell’interessato.
120. In caso di revoca del consenso, il titolare del trattamento, se vuole continuare a trattare i dati personali in base a un’altra base legittima, non può passare tacitamente dal consenso (che è stato revocato) all’altra base legittima. Qualsiasi modifica della base legittima del trattamento deve essere notificata all’interessato in conformità ai requisiti di informazione di cui agli articoli 13 e 14, nonché al principio generale di trasparenza.