A ridosso dell’entrata in vigore del GDPR (lo scorso 25 maggio) notevole è stato il flusso di mail, alert, avvisi vari ricevuti dalla collettività dei soggetti “interessati” con richieste di consenso. Tutte provenienti dai titolari del trattamento che hanno in gestione i dati personali ai fini dell’espletamento dei più vari servizi. Siamo stati costretti a dare il consenso, per sbloccare i servizi. Si è creata così una situazione paradossale: gli utenti stanno acquistando una consapevolezza dei propri diritti – qualora ci riescano – solo in una fase successiva alla prestazione del consenso.
Ci si può chiedere quindi se non sia il caso di intervenire per restituire un valore effettivo a questa prestazione del consenso.
Novità del GDPR e sovraccarico di informazioni
L’orientamento generale, seguito dalla maggior parte dei titolari del trattamento, è stato, infatti, ai fini dell’adeguamento alla normativa europea, quello di chiedere, in maniera esasperante, un nuovo consenso al trattamento dei dati personali, implementando la comunicazione con tutte le nuove indicazioni previste dal Regolamento. Un lavoro su larga scala, in alcuni casi superfluo, che ha determinato una esasperazione delle comunicazioni pervenute agli utenti.
Questa scelta ha comportato, di fatto, un sovraccarico di informazioni cui, nella maggior parte dei casi, non ha fatto seguito una reale presa di coscienza, da parte dei destinatari, delle importanti novità introdotte dalla disciplina: spesso e volentieri il consenso, proposto prima di accedere al servizio e quale limite per l’accesso, è stato prestato al solo fine di superare un ostacolo oggettivo e procedere nell’uso del servizio.
In alcuni casi si è trattato di scorrere un lungo testo e di cliccare sull’unica alternativa possibile posta al termine dello stesso, acconsentendo all’uso dei dati.
Un siffatto aggiornamento dell’informativa, per alcune tipologie di servizi, non poteva essere fatto altrimenti, tenuto conto delle modalità del servizio/contratto offerto e dell’acquisizione e gestione dei dati, ma, inevitabilmente, il recepimento “a valanga” di simili richieste, si è tradotto in una attività routinaria che certamente non ha permesso agli utenti di valutare l’effettiva scelta né di operare alcun distinguo circa la tipologia di dati per i quali veniva richiesto il consenso da parte del titolare del trattamento.
Qualche domanda sull’approccio generale
Ed è proprio in virtù di siffatto scenario che occorre domandarsi:
- Vi è stata dunque la possibilità di agire con margini di valutazione?
- Che tipo di richiesta è stata proposta al soggetto interessato?
- E’ stato rispettato il principio, di cui al GDPR, dell’uso di un linguaggio chiaro e semplice?
- E’ giunto al singolo utente il messaggio, che è alla base di tutta la nuova disciplina, ossia di essere titolare di diritti relativi all’uso dei dati personali e del valore che hanno i propri dati personali?
- E’ cambiato qualcosa nell’approccio alla diffusione e comunicazione dei propri dati?
Probabilmente una reale coscienza richiede tempo per formarsi, ma deve essere opportunamente edotta, e sul tipo di informazione vi è ancora molto da lavorare.
L’approccio generale, e la sensazione comunemente registrata, è stata, più che altro, quella di fornire il consenso, come detto, al solo fine di “sbloccare” l’uso di servizi ritenuti utili.
Paradossalmente l’informativa, e la relativa richiesta di consenso inoltrate al soggetto interessato, hanno determinato, di fatto, una situazione in cui l’utente, ad oggi, risulta maggiormente tutelato nel momento successivo alla prestazione del consenso, ove si attiva l’esercizio dei nuovi potenziali diritti, piuttosto che nella fase antecedente l’accettazione all’utilizzo dei propri dati da parte di un titolare del trattamento.
Si è stati indotti, pertanto, a prestare il consenso al fine di accedere ad un servizio, magari un consenso generalizzato, salvo verificarne successivamente la reale utilità e/o interesse all’uso dello stesso.
In altri termini: per accedere ad un servizio è richiesta la prestazione del consenso, obbligatoriamente, ed il mancato consenso spesso, soprattutto se si tratta di app che utilizzano la rete e che viaggiano sul web, non consente di conoscere il tipo di servizio offerto, né di accedere allo stesso, anche solo in maniera limitata, né di essere informato in via preventiva delle modalità di utilizzo, mentre, invece, solo accettando termini, condizioni ed informativa, si ha la possibilità di navigare e scoprire l’utilità o meno dei possibili servizi offerti dal titolare del trattamento.
E’ solo nel momento successivo alla prestazione del consenso, pertanto, che si amplia la gamma delle possibili scelte, con la facoltà di esercitare i propri diritti, di recedere, di chiedere informazioni o dettagli sull’uso dei dati, di limitare l’uso degli stessi o anche chiederne la correzione e via discorrendo.
Se da un lato un simile schema operativo potrebbe essere giustificato dal fatto che solo nel momento in cui un soggetto assume la qualifica di “utente/cliente” matura tutti i cennati diritti riconosciuti con l’informativa preliminare, dall’altro comunque è un meccanismo che induce ad acquisire clienti, duraturi o temporanei lo si saprà dopo, che autorizzano il trattamento dei dati al solo fine di scaricare l’app ed avere piena consapevolezza dei servizi offerti e della possibile utilità degli stessi.
Come sono state elaborate molte informative
Molte informative, pervenute a ridosso dell’entrata in vigore del GDPR sono state elaborate prevedendo, nelle comunicazioni, frasi del tipo “questa operazione è obbligatoria per poter continuare ad utilizzare i nostri servizi” o “devi completare il controllo di queste informazioni prima di accedere ai servizi” o ancora sono state adoperate espressioni del tipo “non abbiamo apportato modifiche di cui devi essere a conoscenza; si tratta soltanto di rileggere i concetti fondamentali che seguono” e ancora del tipo “i tuoi diritti resteranno gli stessi” minimizzando, in questo modo, anche il contenuto dell’informativa ed inducendo l’interessato a prestare facilmente un consenso generalizzato senza una reale illustrazione, chiara e semplice, dei cambiamenti che lo coinvolgono quale diretto interessato e che rappresentano i suoi diritti fondamentali in materia di trattamento dei dati personali.
Il mondo del web, in particolare le app, sono state oggetto di particolare attenzione anche da parte del Gruppo Articolo 29 in merito alla necessità di richiedere un consenso circoscritto ai soli dati utili e necessari per l’espletamento del servizio.
Le conseguenze della mancata prestazione del consenso
Come già accennato prima, le modalità seguite sul web per l’acquisizione del consenso spesso si basano sulla visualizzazione di un messaggio che richiede all’utente l’autorizzazione a conoscere altri dati personali, quali, ad esempio, la localizzazione o l’accesso alle foto o anche alla rubrica. La mancata prestazione del consenso in alcuni di questi casi determina la chiusura dell’app e la conseguente negazione del servizio in palese violazione del principio di libertà che dovrebbe caratterizzare la prestazione del consenso. Tenuto conto che il più delle volte non vi è un nesso tra il servizio richiesto ed i dati di cui si vuol venire a conoscenza, simile operatività potrebbe essere pacificamente oggetto di censura da parte dell’autorità di controllo.
Nel panorama delle possibili soluzioni di adeguamento alla nuova normativa europea vi è anche da registrare il comportamento di chi, tenuto conto del consenso precedentemente già richiesto all’utente, ha preferito non inoltrare alcuna ulteriore comunicazione.
Tale possibilità è stata prevista direttamente dal GDPR nel caso in cui il consenso già acquisito risulti compatibile con la nuova disciplina, ossia abbia tutte le caratteristiche richieste dal Regolamento europeo.
Alla base di simile scelta, operata soprattutto da parte ci chi ha a che fare con grandi numeri, vi è stata una valutazione di opportunità basata prevalentemente sul presupposto che l’informativa precedentemente acquisita fosse sufficientemente generica ed ampia da includere tranquillamente anche i nuovi diritti dell’interessato e che l’interessato, nel prestare il consenso, abbia goduto di tutte le prerogative espresse dalla nuova disciplina.
Dubbi di conformità col GDPR
L’art. 171 del GDPR si esprime proprio valutando positivamente simile evenienza e richiedendo, quale unico accorgimento “assicurarsi che il consenso di cui si dispone risponda agli standard richiesti dal GDPR e che i consensi siano documentati nel modo giusto”.
In verità anche questa scelta potrebbe sollevare dei dubbi di conformità non tanto sul corretto uso dei dati, quanto sulla gestione del rapporto con il soggetto interessato. Ciò in quanto, se è pur vero che con precedente informativa si è provveduto ad acquisire un consenso ampio sull’uso dei dati, qualche dubbio andrebbe sollevato sui nuovi diritti dell’interessato, in quanto costui avrebbe firmato certamente in maniera libera e cosciente, ma senza una opportuna consapevolezza dei suoi nuovi diritti e della possibilità, nonché delle modalità offerte, per esercitarli.
Tenuto conto, infatti, dell’ampliamento della gamma delle possibili azioni poste in essere dal soggetto interessato, e finalizzate al controllo ed all’accesso ai propri dati, probabilmente sarebbe opportuno quantomeno prevedere una integrazione della comunicazione al cliente, elaborata anche sotto forma di “informativa al pubblico” con lo scopo di rendere l’utente edotto dei cambiamenti e della perdurante validità del consenso espresso precedentemente all’entrata in vigore delle nuove disposizioni, fugando in questo modo ogni possibile dubbio sull’operato del titolare del trattamento e sulla validità dell’uso dei dati per i quali il consenso risulti già acquisito.
