Il regolamento generale sulla protezione dei dati non prescrive la forma o il formato in cui è necessario fornire le informazioni affinché sia soddisfatto il requisito del consenso informato. Le informazioni valide possono quindi essere presentate in vari modi, ad esempio sotto forma di dichiarazioni scritte o verbali oppure di messaggi audio o video. Tuttavia, il regolamento prevede varie prescrizioni in merito al consenso informato, in particolare all’articolo 7, paragrafo 2, e al considerando 32. Ciò assicura un maggiore livello di chiarezza e accessibilità delle informazioni.
Quando richiede il consenso, il titolare del trattamento dovrebbe assicurarsi di usare sempre un linguaggio chiaro e semplice. Ciò significa che il messaggio dovrebbe essere facilmente comprensibile per una persona media, non solo per un avvocato. Il titolare del trattamento non può usare lunghe politiche sulla tutela della vita privata difficili da comprendere oppure informative piene di gergo giuridico. Il consenso deve essere chiaro e distinguibile dalle altre questioni, e deve essere presentato in una forma intelligibile e facilmente accessibile. Ciò significa, in sostanza, che le informazioni pertinenti per prendere una decisione informata sul consenso non possono essere nascoste all’interno delle condizioni generali di contratto/servizio.
Il titolare del trattamento deve garantire che il consenso sia fornito sulla base di informazioni che consentono all’interessato di identificare facilmente chi è il titolare del trattamento e di capire a cosa sta acconsentendo. Il titolare del trattamento deve descrivere chiaramente la finalità del trattamento dei dati per la quale richiede il consenso.
Ulteriori orientamenti specifici in materia di accessibilità sono stati forniti dal Gruppo di lavoro nelle linee guida sulla trasparenza. Quando il consenso deve essere prestato per via elettronica, la richiesta deve essere chiara e concisa. La messa a disposizione di informazioni “a livelli” e granulari può essere un modo appropriato per soddisfare il duplice obbligo di essere precisi e completi, da un lato, e comprensibili, dall’altro.
Il titolare del trattamento deve valutare il tipo di pubblico che fornisce dati personali alla sua organizzazione. Ad esempio, se il pubblico di destinazione include interessati minorenni, il titolare del trattamento deve assicurarsi che le informazioni siano comprensibili per i minori. Dopo aver individuato il pubblico, il titolare del trattamento deve stabilire le informazioni da fornire e, successivamente, il modo in cui fornirle.
L’articolo 7, paragrafo 2, concerne le dichiarazioni scritte di consenso preformulate che riguardano anche altre questioni. Quando il consenso viene richiesto nell’ambito di un contratto (cartaceo), la richiesta di consenso deve essere chiaramente distinguibile dal resto. Se il contratto cartaceo tratta numerosi aspetti che non sono collegati al consenso all’uso dei dati personali, quest’ultimo deve essere trattato in modo da distinguersi chiaramente oppure in un documento distinto. Analogamente, ai sensi del considerando 32, se il consenso viene richiesto per via elettronica, la richiesta di consenso deve essere separata e distinta, e non può semplicemente figurare in un paragrafo all’interno delle condizioni generali di contratto/servizio. Per tener conto degli schermi di piccole dimensioni o degli spazi ristretti per le informazioni, può essere appropriata, se del caso, una modalità di visualizzazione delle informazioni “a livelli” per evitare eccessivi disturbi all’esperienza dell’utente o alla progettazione del prodotto.
Per rispettare il regolamento il titolare del trattamento che si basa sul consenso dell’interessato deve adempiere anche gli obblighi di informazione separati di cui agli articoli 13 e 14. Nella pratica il rispetto degli obblighi di informazione e del requisito del consenso informato possono portare in molti casi a un approccio integrato. Tuttavia la presente sezione è scritta nella consapevolezza che possa sussistere un consenso “informato” valido anche quando non tutti gli aspetti di cui agli articoli 13 e/o 14 sono menzionati nel processo di ottenimento del consenso (questi punti dovrebbero ovviamente essere menzionati altrove, come ad esempio nell’informativa sulla protezione dei dati personali dell’azienda). Il Gruppo di lavoro ha emanato linee guida separate sul requisito della trasparenza.
[Esempio 12]
L’azienda X è un titolare del trattamento che ha ricevuto reclami per il fatto che agli interessati non è chiaro l’uso dei dati per il quale si chiede loro il consenso. L’azienda ritiene quindi sia necessario verificare se le informazioni contenute nella sua richiesta di consenso sono comprensibili per gli interessati. X organizza gruppi di prova volontari di categorie specifiche dei propri clienti e presenta loro nuovi aggiornamenti delle informazioni di consenso prima di comunicarle esternamente. La selezione di tale gruppo rispetta il principio di indipendenza ed avviene sulla base di norme che garantiscono un risultato rappresentativo e non distorto. Il gruppo riceve un questionario e indica cosa ha capito delle informazioni e quale valutazione darebbe sulla comprensibilità e pertinenza delle informazioni. Il titolare del trattamento continua a eseguire prove fino a quando i gruppi di prova non indicano che le informazioni sono comprensibili. X redige una relazione della prova e la tiene disponibile per riferimento futuro. Questo esempio mostra un modo con cui X può dimostrare che gli interessati hanno ricevuto informazioni chiare prima di acconsentire al trattamento dei loro dati personali da parte di X.
[Esempio 13]
Un’azienda effettua un trattamento di dati basandosi sul presupposto del consenso. L’azienda utilizza un’informativa sulla protezione dei dati a più livelli che include una richiesta di consenso. L’azienda comunica tutti i dettagli di base del titolare del trattamento e le attività di trattamento dei dati previste40. Tuttavia, l’azienda non indica in che modo sia possibile contattare il responsabile della protezione dei dati nel primo livello di informazioni dell’informativa. Ai fini della base legittima e valida per il trattamento ai sensi dell’articolo 6, questo titolare del trattamento ha ottenuto un consenso “informato” valido, anche se i dati di contatto del responsabile della protezione dei dati non sono stati comunicati all’interessato (nel primo livello di informazioni), a norma dell’articolo 13, paragrafo 1, lettera b) o dell’articolo 14, paragrafo 1, lettera b).