requisiti minimi di contenuto del consenso “informato”
articoli e news

L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati (GDPR) definisce il consenso dell’interessato come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

La nozione di consenso rimane sostanzialmente simile a quella della direttiva 95/46/CE, e il consenso rimane uno dei presupposti per il trattamento dei dati personali, ai sensi dell’articolo 6 del regolamento generale sulla protezione dei dati (GDPR) . Oltre alla definizione modificata di cui all’articolo 4, punto 11, il regolamento fornisce ulteriori indicazioni, all’articolo 7 e ai considerando 32, 33, 42 e 43, su come il titolare del trattamento deve agire per rispettare gli elementi principali del requisito del consenso. L’inclusione, nel regolamento, di disposizioni e considerando specifici sulla revoca del consenso, conferma che quest’ultimo dovrebbe essere una decisione reversibile e che l’interessato mantiene un certo grado di controllo.

L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati stabilisce che il consenso dell’interessato è qualsiasi:

- manifestazione di volontà libera,

- specifica,

- informata e

- inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva, si sente obbligato ad acconsentire o subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è parte non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente.

Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra il titolare del trattamento e l’interessato.

Nel valutare se il consenso sia stato prestato liberamente, si deve anche tener conto dell’eventualità che il consenso sia collegato all'esecuzione di un contratto o alla prestazione di un servizio come descritto all’articolo 7, paragrafo 4. L’articolo 7, paragrafo 4, contenendo l’inciso “tra le altre”, non è esaustivo e può quindi comprendere altre eventualità. In termini generali, qualsiasi azione di pressione o influenza inappropriata sull'interessato (che si può manifestare in svariati modi) che impedisca a quest’ultimo di esercitare il suo libero arbitrio, rende il consenso invalido.

Affinché il consenso sia informato è necessario informare l’interessato su determinati elementi che sono fondamentali per effettuare una scelta.

Per ottenere un consenso valido siano necessarie almeno le seguenti informazioni:

(i) l’identità del titolare del trattamento;

(ii) la finalità di ciascuno dei trattamenti per i quali è richiesto il consenso;

(iii) quali (tipi di) dati saranno raccolti e utilizzati;

(iv) l’esistenza del diritto di revocare il consenso;

(v) informazioni sull’uso dei dati per un processo decisionale automatizzato ai sensi dell’articolo 22, paragrafo 2, lettera c), se del caso;

(vi) informazioni sui possibili rischi di trasferimenti di dati dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate come descritto nell'articolo 46.

Il regolamento generale sulla protezione dei dati dà ampio rilievo alla revoca del consenso. Le disposizioni e i considerando relativi alla revoca del consenso possono considerarsi una codificazione dell’interpretazione data al riguardo nei pareri del Gruppo di lavoro.

L’articolo 7, paragrafo 3, prescrive che il titolare del trattamento deve garantire che l’interessato possa revocare il consenso in qualsiasi momento con la stessa facilità con cui lo ha espresso. Il regolamento non dispone che l’espressione e la revoca del consenso debbano avvenire sempre allo stesso modo.

Tuttavia, quando il consenso viene prestato per via elettronica con un solo clic di mouse, un solo scorrimento o premendo un tasto, l’interessato deve, in pratica, poterlo revocare con altrettanta facilità. Se il consenso è espresso attraverso un’interfaccia utente specifica di servizio (ad esempio un sito web, un’applicazione, un account protetto, l’interfaccia di un dispositivo IoT oppure posta elettronica), è indubbio che l’interessato deve poterlo revocare tramite la medesima interfaccia elettronica, poiché il passaggio a un’altra interfaccia per la sola revoca richiederebbe uno sforzo eccessivo. Inoltre, l’interessato dovrebbe poter revocare il consenso senza subire pregiudizio. Ciò significa, tra l’altro, che il titolare del trattamento deve consentire la revoca senza spese o senza abbassare i livelli del servizio.

In base al regolamento il requisito della facilità della revoca è un elemento necessario del consenso valido. Se il diritto di revoca non soddisfa i requisiti del regolamento, il meccanismo di consenso del titolare del trattamento non è conforme al regolamento. Il titolare del trattamento deve informare l’interessato del diritto di revoca prima che quest’ultimo presti effettivamente il consenso. Inoltre, nel contesto dell’obbligo di trasparenza, il titolare del trattamento deve informare l’interessato sulle modalità di esercizio dei suoi diritti .

Di norma, se il consenso viene revocato, tutti i trattamenti dei dati basati sul consenso avvenuti prima della revoca (e in conformità con il regolamento) rimangono leciti, tuttavia il titolare del trattamento deve interrompere le attività di trattamento interessate. Qualora non sussista un’altra base legittima per il trattamento (ad esempio l’ulteriore archiviazione) dei dati, questi dovrebbero essere cancellati dal titolare del trattamento.

Come già accennato, prima di raccogliere i dati è molto importante che il titolare del trattamento valuti le finalità per le quali i dati sono effettivamente trattati e le basi legittime del trattamento. Spesso le aziende hanno bisogno di dati personali per diverse finalità e il trattamento si basa su più basi legittime, ad esempio il trattamento di dati dei clienti può basarsi su un contratto e sul consenso.

Di conseguenza, la revoca del consenso non implica che il titolare del trattamento deve cancellare i dati trattati per una finalità che si basa sull’esecuzione del contratto stipulato con l’interessato. Il titolare del trattamento dovrebbe pertanto precisare chiaramente sin dall’inizio la finalità che si applica a ciascun dato e le basi legittime del trattamento. Il titolare del trattamento deve cancellare i dati trattati sulla base del consenso non appena questo viene revocato, supponendo che non vi siano altre finalità che giustificano l’ulteriore conservazione.

Oltre a questa situazione, prevista dall’articolo 17, paragrafo 1, lettera b), l’interessato può chiedere la cancellazione di altri dati che lo riguardano trattati sulla base di un’altra base legittima, ad esempio l’articolo 6, paragrafo 1, lettera b). Il titolare del trattamento è tenuto a valutare se la prosecuzione del trattamento dei dati in questione sia appropriata, anche in assenza di una richiesta di cancellazione da parte dell’interessato.

In caso di revoca del consenso, il titolare del trattamento, se vuole continuare a trattare i dati personali in base a un’altra base legittima, non può passare tacitamente dal consenso (che è stato revocato) all’altra base legittima. Qualsiasi modifica della base legittima del trattamento deve essere notificata all’interessato in conformità ai requisiti di informazione di cui agli articoli 13 e 14, nonché al principio generale di trasparenza.



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.