Il regolamento generale sulla protezione dei dati afferma chiaramente che il consenso richiede una dichiarazione o un’azione positiva inequivocabile da parte dell’interessato, il che significa che il consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. Deve essere ovvio che l’interessato ha acconsentito al particolare trattamento.
L’articolo 2, lettera h), della direttiva 95/46/CE definisce il consenso come una “manifestazione di volontà con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento”. L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati si basa su tale definizione, chiarendo che il consenso, per essere valido, richiede una manifestazione inequivocabile mediante una dichiarazione o azione positiva inequivocabile, in conformità alle precedenti linee guida del Gruppo di lavoro.
Con “azione positiva inequivocabile” si intende che l’interessato deve aver intrapreso un’azione deliberata per acconsentire al trattamento specifico. Il considerando 32 stabilisce ulteriori orientamenti al riguardo. Il consenso può essere raccolto attraverso una dichiarazione scritta o verbale (registrata), anche tramite mezzi elettronici.
Probabilmente il modo più rigoroso per soddisfare il criterio della “dichiarazione scritta” consiste nell’assicurarsi che l’interessato scriva una lettera o un messaggio di posta elettronica al titolare del trattamento spiegando ciò a cui acconsente esattamente. Tuttavia, spesso ciò non è realistico. Le dichiarazioni scritte possono avere forme e formati diversi che potrebbero essere conformi al regolamento generale sulla protezione dei dati.
Fatto salvo il diritto contrattuale (nazionale) in vigore, il consenso può essere ottenuto attraverso una dichiarazione verbale registrata, sebbene sia necessario prendere debita nota delle informazioni rese disponibili all’interessato prima dell’espressione del consenso. L’uso di caselle di adesione preselezionate non è valido ai sensi del regolamento. Il silenzio o l’inattività da parte dell’interessato, così come il semplice procedere all’uso di un servizio, non possono essere considerati una manifestazione attiva di scelta.
[Esempio 14]
Durante l’installazione di un software, l’applicazione richiede all’interessato di acconsentire a utilizzare segnalazioni di arresto anomalo non anonimizzate per migliorare il software. La richiesta di consenso è accompagnata da una informativa sulla protezione dei dati a più livelli che fornisce le necessarie informazioni. Selezionando attivamente la casella facoltativa “Acconsento”, l’utente è in grado di eseguire validamente una “azione positiva inequivocabile” per acconsentire al trattamento.
Il titolare del trattamento deve inoltre fare attenzione al fatto che il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio. L’accettazione globale delle condizioni generali di contratto/servizio non può essere considerata come un’azione positiva inequivocabile ai fini del consenso all’uso dei dati personali. Il regolamento generale sulla protezione dei dati non consente al titolare del trattamento di mettere a disposizione caselle preselezionate o procedure di rinuncia (opt-out) che richiedono un intervento dell’interessato per rifiutare il consenso (ad esempio “caselle di rinuncia”).
Quando il consenso deve essere prestato a fronte di una richiesta elettronica, quest’ultima non deve interferire inutilmente con l’utilizzo del servizio per il quale viene fornito il consenso43. Un’azione positiva con cui l’interessato manifesta il proprio consenso può essere necessaria quando una modalità di espressione del consenso meno in violazione e meno invasiva potrebbe determinare ambiguità. Di conseguenza potrebbe essere necessario che, per essere efficace, la richiesta di consenso interrompa in una certa misura l’esperienza d’uso.
Tuttavia, nel contesto dei requisiti di cui al regolamento generale sulla protezione dei dati, il titolare del trattamento è libero di sviluppare un flusso di consenso adatto alla propria organizzazione. A questo proposito, le azioni fisiche possono qualificarsi come un’azione positiva inequivocabile in conformità con il regolamento.
Il titolare del trattamento dovrebbe progettare meccanismi di consenso che operano in maniera chiara per gli interessati. Il titolare del trattamento deve evitare ambiguità e garantire che l’azione con cui viene espresso il consenso possa essere distinta da altre azioni. La semplice prosecuzione dell’uso normale di un sito web non è pertanto un comportamento dal quale si può dedurre una manifestazione di volontà dell’interessato a prestare il consenso a un trattamento proposto.
[Esempio 15]
Far scorrere una barra su uno schermo, muovere la mano davanti a una telecamera intelligente, ruotare lo smartphone in senso orario o fargli compiere un movimento a otto potrebbero essere opzioni per indicare un consenso a patto che siano fornite informazioni chiare e sia inequivocabile che l’azione richiesta implica un consenso a una richiesta specifica (istruzione esemplificativa: se fai scorrere questa barra verso sinistra, acconsenti all’uso delle informazioni X per la finalità Y. Ripeti il movimento per confermare). Il titolare del trattamento deve essere in grado di dimostrare che il consenso è stato ottenuto in questo modo e l’interessato deve poter revocare il consenso con la stessa facilità con cui lo ha espresso.
[Esempio 16]
Scorrere un sito verso il basso o sfogliarne le pagine non sono azioni chiare e positive, poiché l’avviso che continuare a scorrere il sito costituirà un’espressione di consenso può essere difficile da distinguere e/o può essere trascurato inavvertitamente quando l’interessato scorre rapidamente grandi quantità di testo; inoltre tali azioni non sono sufficientemente inequivocabili.
Nel contesto digitale molti servizi necessitano di dati personali per funzionare, quindi gli interessati ricevono quotidianamente molteplici richieste di consenso che implicano risposte tramite clic e scorrimenti. Ne può derivare un certo grado di stanchezza a cliccare: se occorre farlo troppe volte, l’effettivo effetto di avvertimento dei meccanismi di consenso diminuisce.
Si può quindi verificare la situazione in cui le domande di consenso non vengono più lette, con un conseguente rischio specifico per l’interessato, in quanto in genere viene richiesto il consenso per azioni che in linea di principio sono illecite in assenza di consenso. Il regolamento generale sulla protezione dei dati impone al titolare del trattamento l’obbligo di sviluppare soluzioni per affrontare questo problema.
Un esempio spesso citato nel contesto online è l’ottenimento del consenso dell’utente di Internet tramite le impostazioni del browser. Tali impostazioni dovrebbero essere sviluppate in linea con le condizioni per la validità del consenso previste dal regolamento, come ad esempio il fatto che il consenso deve essere granulare per ciascuna delle finalità previste e che le informazioni da fornire per ottenere il consenso devono indicare i titolari del trattamento.
In ogni caso, il consenso deve sempre essere ottenuto prima che il titolare del trattamento inizi a trattare i dati personali per i quali è necessario il consenso. Il Gruppo di lavoro ha costantemente affermato nei precedenti pareri che il consenso dovrebbe essere espresso prima dell’avvio dell’attività di trattamento. Sebbene il regolamento non prescriva esplicitamente all’articolo 4, punto 11, che il consenso debba essere manifestato prima dell’attività di trattamento, ciò è chiaramente implicito. La rubrica dell’articolo 6 e il verbo “ha espresso” di cui all’articolo 6, paragrafo 1, lettera a), confermano tale interpretazione. Consegue logicamente dall’articolo 6 e dal considerando 40 che prima di iniziare un trattamento dei dati deve sussistere una base legittima e valida. Pertanto, il consenso dovrebbe essere espresso prima che abbia luogo l’attività di trattamento. In linea di principio può essere sufficiente chiedere il consenso dell’interessato una sola volta. Tuttavia, il titolare del trattamento deve ottenere un nuovo consenso specifico qualora le finalità del trattamento dei dati cambino dopo che è stato ottenuto il consenso o qualora sia prevista una finalità aggiuntiva.