Il regolamento generale sulla protezione dei dati introduce requisiti che impongono al titolare del trattamento di prevedere modalità aggiuntive per garantire che ottiene un consenso valido, lo mantiene e sia in grado di dimostrarne l’esistenza. L’articolo 7 del stabilisce queste condizioni aggiuntive per il consenso valido tramite disposizioni specifiche sulla conservazione di registrazioni del consenso e sul diritto di revocare facilmente il consenso espresso. L’articolo 7 si applica anche al consenso di cui ad altri articoli del regolamento, ad esempio gli articoli 8 e 9. Si riportano in appresso orientamenti sull’ulteriore requisito di dimostrare l’esistenza di un consenso valido e sulla revoca del consenso.
Dimostrazione del consenso
L’articolo 7, paragrafo 1, prevede in maniera chiara l’obbligo esplicito del titolare del trattamento di dimostrare il consenso dell’interessato. Conformemente a tale articolo, l’onere della prova è a carico del titolare del trattamento.
Il considerando 42 afferma: “Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento”.
Il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane. Allo stesso tempo, l’obbligo in capo al titolare del trattamento di dimostrare l’ottenimento di un consenso valido non dovrebbe di per sé portare a quantità eccessive di trattamenti di dati supplementari. Ciò significa che il titolare del trattamento dovrebbe disporre di dati sufficienti per mostrare un collegamento al trattamento (ossia per fornire la prova che è stato ottenuto il consenso) ma non dovrebbe raccogliere più informazioni di quanto necessario.
Spetta al titolare del trattamento dimostrare che è stato ottenuto un consenso valido dall’interessato. Il regolamento non prescrive esattamente come ciò debba avvenire. Tuttavia, il titolare del trattamento deve essere in grado di dimostrare che l’interessato nel caso specifico ha espresso il proprio consenso. Fintantoché dura l’attività di trattamento dei dati in questione, sussiste l’obbligo di dimostrare l’esistenza del consenso. Al termine dell’attività di trattamento, la prova del consenso deve essere conservata non più di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, in conformità con l’articolo 17, paragrafo 3, lettere b) ed e).
Ad esempio, il titolare del trattamento può tenere una registrazione delle dichiarazioni di consenso ricevute onde poter dimostrare come e quando è stato ottenuto il consenso, e rendere dimostrabili le informazioni fornite all’interessato al momento dell’espressione del consenso. Il titolare del trattamento deve anche essere in grado di dimostrare che l’interessato è stato informato e che la propria procedura ha soddisfatto tutti i criteri pertinenti per la validità del consenso. La logica alla base di tale obbligo è che il titolare del trattamento deve essere responsabilizzato in relazione all’ottenimento di un consenso valido dell’interessato e ai meccanismi di consenso che ha messo in atto. Ad esempio, in un contesto online, il titolare del trattamento può conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento. Non sarebbe sufficiente fare semplicemente riferimento a una corretta configurazione del sito web.
[Esempio]
Un ospedale istituisce un programma di ricerca scientifica per il quale sono necessarie cartelle cliniche odontoiatriche di pazienti. I partecipanti sono selezionati tramite telefonate a pazienti che hanno volontariamente accettato di essere inseriti in un elenco di candidati che possono essere contattati a tale fine. Il titolare del trattamento chiede il consenso esplicito degli interessati all’uso della loro cartella clinica odontoiatrica. Il consenso viene ottenuto durante una telefonata, registrando una dichiarazione verbale dell’interessato nella quale quest’ultimo conferma di acconsentire all’uso dei suoi dati per le finalità del programma.
Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso.
Come migliore prassi il Gruppo di lavoro raccomanda di aggiornare il consenso a intervalli appropriati. Fornire nuovamente tutte le informazioni contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.
Revoca del consenso
Il regolamento generale sulla protezione dei dati dà ampio rilievo alla revoca del consenso. Le disposizioni e i considerando relativi alla revoca del consenso possono considerarsi una codificazione dell’interpretazione data al riguardo nei pareri del Gruppo di lavoro.
L’articolo 7, paragrafo 3, prescrive che il titolare del trattamento deve garantire che l’interessato possa revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha espresso. Il regolamento non dispone che l’espressione e la revoca del consenso debbano avvenire sempre allo stesso modo.
Tuttavia, quando il consenso viene prestato per via elettronica con un solo clic di mouse, un solo scorrimento o premendo un tasto, l’interessato deve, in pratica, poterlo revocare con altrettanta facilità. Se il consenso è espresso attraverso un’interfaccia utente specifica di servizio (ad esempio un sito web, un’applicazione, un account protetto, l’interfaccia di un dispositivo IoT oppure posta elettronica), è indubbio che l’interessato deve poterlo revocare tramite la medesima interfaccia elettronica, poiché il passaggio a un’altra interfaccia per la sola revoca richiederebbe uno sforzo eccessivo. Inoltre, l’interessato dovrebbe poter revocare il consenso senza subire pregiudizio. Ciò significa, tra l’altro, che il titolare del trattamento deve consentire la revoca senza spese o senza abbassare i livelli del servizio.
[Esempio]
Un festival musicale vende biglietti tramite un agente di vendita di biglietti online. All’atto della vendita del biglietto viene richiesto il consenso all’uso dei dettagli di contatto per finalità di marketing. Per acconsentire o meno a tale finalità, il cliente può cliccare su “Sì” oppure su “No”. Il titolare del trattamento informa il cliente che può revocare il consenso contattando gratuitamente un call center nei giorni lavorativi tra le 8:00 e le 17:00. Il titolare del trattamento di questo esempio non rispetta l’articolo 7, paragrafo 3, del regolamento. Telefonare durante l’orario di lavoro per revocare il consenso è più oneroso rispetto a un clic di mouse per prestare il consenso attraverso il venditore di biglietti online, che è aperto 24 ore al giorno, 7 giorni la settimana.
In base al regolamento il requisito della facilità della revoca è un elemento necessario del consenso valido. Se il diritto di revoca non soddisfa i requisiti del regolamento, il meccanismo di consenso del titolare del trattamento non è conforme al regolamento. Come menzionato nella sezione 3.1 sulla condizione del consenso informato, a norma dell’articolo 7, paragrafo 3, del regolamento il titolare del trattamento deve informare l’interessato del diritto di revoca prima che quest’ultimo presti effettivamente il consenso. Inoltre, nel contesto dell’obbligo di trasparenza, il titolare del trattamento deve informare l’interessato sulle modalità di esercizio dei suoi diritti.
Di norma, se il consenso viene revocato, tutti i trattamenti dei dati basati sul consenso avvenuti prima della revoca (e in conformità con il regolamento) rimangono leciti, tuttavia il titolare del trattamento deve interrompere le attività di trattamento interessate. Qualora non sussista un’altra base legittima per il trattamento (ad esempio l’ulteriore archiviazione) dei dati, questi dovrebbero essere cancellati dal titolare del trattamento.
Come già accennato, prima di raccogliere i dati è molto importante che il titolare del trattamento valuti le finalità per le quali i dati sono effettivamente trattati e le basi legittime del trattamento. Spesso le aziende hanno bisogno di dati personali per diverse finalità e il trattamento si basa su più basi legittime, ad esempio il trattamento di dati dei clienti può basarsi su un contratto e sul consenso. Di conseguenza, la revoca del consenso non implica che il titolare del trattamento deve cancellare i dati trattati per una finalità che si basa sull’esecuzione del contratto stipulato con l’interessato. Il titolare del trattamento dovrebbe pertanto precisare chiaramente sin dall’inizio la finalità che si applica a ciascun dato e le basi legittime del trattamento.
Il titolare del trattamento deve cancellare i dati trattati sulla base del consenso non appena questo viene revocato, supponendo che non vi siano altre finalità che giustificano l’ulteriore conservazione.
Oltre a questa situazione, prevista dall’articolo 17, paragrafo 1, lettera b), l’interessato può chiedere la cancellazione di altri dati che lo riguardano trattati sulla base di un’altra base legittima, ad esempio l’articolo 6, paragrafo 1, lettera b). Il titolare del trattamento è tenuto a valutare se la prosecuzione del trattamento dei dati in questione sia appropriata, anche in assenza di una richiesta di cancellazione da parte dell’interessato.
In caso di revoca del consenso, il titolare del trattamento, se vuole continuare a trattare i dati personali in base a un’altra base legittima, non può passare tacitamente dal consenso (che è stato revocato) all’altra base legittima. Qualsiasi modifica della base legittima del trattamento deve essere notificata all’interessato in conformità ai requisiti di informazione di cui agli articoli 13 e 14, nonché al principio generale di trasparenza.
