Nelle pieghe del GDPR si aggira un “concetto” che è facile rischiare di usare in modo quantomeno imprudente. Convinti che la nuova normativa non si discosti più di tanto dalla Direttiva 95/46, molti sembrano ritenere che richiedere il consenso dell’interessato al trattamento dei suoi dati sia una sorta di grimaldello o passe partout, utilissimo per “tagliare la testa al toro”, e assicurarsi una base di legittimità che consenta di ampliare senza limite le finalità che i titolari possono perseguire.
Equivoci e ambiguità intorno al consenso
Capita così che in alcuni casi si chieda il consenso informato anche per trattamenti di dati essenziali per l’esecuzione di un contratto o di misure precontrattuali. Accade anche di sentir dire che spesso si tende a “costruire” le informative ex art. 13 e 14 come se fossero la condizione necessaria per richiedere il consenso informato rispetto ai trattamenti che ne sono oggetto.
Insomma, a pensar male (ma, come si sa, a pensar male spesso si fa peccato ma si indovina) pare che intorno al consenso e al ruolo che questo istituto ha nel GDPR regnino molti equivoci e non poche ambiguità.
Può essere utile dunque provare a fare un poco di chiarezza, utilizzando, come fossero un Virgilio che ci conduce in questa “selva oscura”, le Linee guida sul consenso pubblicate in via definitiva dal Working Party articolo 29 il 10 aprile 2018 (WP29 n.259).
Le guidelines sul consenso del Working Party articolo 29
Si tratta di un documento complesso, come tutti quelli elaborati dal Working Party negli ultimi due anni, ma particolarmente utile.
Il primo punto che queste Linee guida mettono in luce è che il “consenso” come concepito nel quadro del GDPR coincide solo in modo parziale con quello previsto dalla Direttiva 95/46 e con quello fino ad ora utilizzato anche nell’ambito della Direttiva e-privacy.
Sottolinea, infatti, il WP29 che l’art. 4, paragrafo 1, numero 11 del GDPR, prevede che il consenso deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile”. Non solo: fermi restando questi elementi, che nelle Linee guida sono analizzati uno per uno, l’assenso deve essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”.
La base giuridica della legittimità del trattamento
A sua volta l’art. 6, paragrafo 1 specifica che il consenso è solo una delle sei basi di legittimità dei trattamenti di dati personali. Per questo, come precisa il WP29 al punto 1 delle Linee guida, il titolare (controller) deve sempre valutare innanzitutto quale delle sei basi di legittimità previste dalla norma è la più idonea rispetto al trattamento che intende porre in essere. Una valutazione da fare con la massima attenzione anche perché, come specificano gli artt. 13 e 14 paragrafi 1, lettera c), nelle informative da rendere agli interessati devono essere chiaramente indicate sia le finalità del trattamento che la sua base giuridica.
È dunque un preciso dovere del titolare definire la base giuridica su cui intende fondare la legittimità del trattamento e di questa decisione deve informare l’interessato, anche perché i diritti di questo sono diversi a seconda della base giuridica scelta. Si pensi al diritto alla revoca del consenso (art. 7, paragrafo 3), che non si ha negli altri casi; o al diritto a ottenere la portabilità dei dati, che si ha solo se il trattamento è basato sul contratto o sul consenso (art.20); o al diritto di opposizione dell’art.21, che non sussiste se la legittimità del trattamento è basata sul consenso, proprio perché in questo caso prevale il diritto alla revoca.
La scelta della base giuridica che legittima ciascun trattamento spetta sempre al titolare, ma questo deve tener conto che essa deve essere conforme a quanto previsto dal GDPR. Il che significa che il titolare non è affatto libero di scegliere a suo piacere il fondamento di legittimità del trattamento ma deve rispettare le condizioni previste dal GDPR rispetto alle caratteristiche di ciascuna delle sei basi indicate nell’art. 6 ed essere sempre in grado di dimostrare la correttezza della scelta fatta.
La libertà di scelta dell’interessato
Il Working Party, in coerenza con questo quadro, richiama l’attenzione sul fatto che se il titolare decide di basare i trattamenti sul consenso dell’interessato, ha l’obbligo di garantire che questi possa avere una effettiva libertà di scelta, sia nel dare il proprio assenso sia nel negarlo, senza per questo incorrere in alcun detrimento. Se così non fosse, infatti, il consenso non potrebbe essere ritenuto valido perché la manifestazione di volontà non sarebbe “libera”, come invece l’art. 4 paragrafo 1, numero 11 richiede. È dunque fondamentale che, se si sceglie come base giuridica il consenso, questo possa essere liberamente rifiutato, senza che questo produca conseguenze negative per l’interessato.
Fin qui la posizione espressa nelle Linee Guida richiama quella già esposta dallo stesso WP29 nella Opinione 15/2011 sulla definizione di consenso, adottata quando era ancora vigente la Direttiva 95/46.
Il rispetto dei principi di legittimità, correttezza e trasparenza
Nelle Linee Guida che si stanno commentando, però, il Working Party va oltre e, così facendo, sottolinea uno degli aspetti più importanti delle innovazioni introdotte in questo ambito dal GDPR.
Afferma infatti che, anche se il titolare fonda i suoi trattamenti sulla base del consenso dell’interessato, deve comunque rispettare i principi di legittimità, correttezza e, soprattutto, di trasparenza, fissati dall’art. 5. Il che significa che l’aver ottenuto il consenso dell’interessato legittima solo a porre in atto i trattamenti strettamente necessari per le finalità indicate. Ogni eventuale ulteriore trattamento di tali dati, anche con riguardo alla loro conservazione, sarebbe, proprio perché basato sul consenso informato, scorretto e violerebbe il principio di trasparenza. In sostanza violerebbe i principi dell’art. 5 e di conseguenza renderebbe illegittimo il trattamento stesso.
Consenso, GDPR e Direttiva e-privacy
Ancora più importante è però l’ulteriore specificazione, contenuta anch’essa al punto 1 delle Linee guida n. 259 del 10 aprile 2018.
Si afferma, infatti, che la nozione di consenso, così come definita e regolata dal GDPR, si applica anche al consenso previsto dalla Direttiva e-privacy, malgrado che, in attesa della riforma del settore, l’art. 95 escluda obblighi supplementari in relazione alle materie regolate da quella normativa.
Per motivare la sua posizione il WP29 sottolinea che applicare le norme relative al consenso previste dal GDPR anche alle materie regolate dalla Direttiva e-privacy non costituisce un obbligo ulteriore, ma solo il verificarsi di una precondizione. Sulla base di quella Direttiva, infatti, il consenso dell’interessato al trattamento dei dati personali è definita come una condizione necessaria affinché il titolare possa fornire, sulla base dei relativi contratti, i servizi della società dell’informazione da essa regolati.
Il consenso come precondizione necessaria al trattamento
Il punto importante non è tanto l’affermazione scontata che per quanto riguarda il consenso il GDPR si applichi anche alla materie regolate dalla Direttiva 2002/58, quanto che esso, proprio perché previsto come obbligatorio nell’ambito della normativa e-privacy, deve essere considerato come un “prerequisito” o una “precondizione” per la legittimità dei trattamenti stessi.
Si tratta di una affermazione importantissima perché chiarisce che in tutti i casi in cui un trattamento si basa sul contratto ma i dati trattati richiedono, per la loro natura o per la minore età degli interessati, un consenso specifico, questo si configura non come base di legittimità del trattamento ma come precondizione necessaria.
Una precondizione che non incide sulla base di legittimità del trattamento ove questa sia una delle altre cinque previste dall’art. 6 e in particolare quando consista nell’adempimento di un contratto o di modalità precontrattuali.
Consenso ed esecuzione del contratto
In questo quadro dovrebbe essere chiara l’inutilità di chiedere il consenso al trattamento di dati personali necessari all’esecuzione del contratto a meno che, ovviamente, esso non sia richiesto dal GDPR o da altre norme dell’Unione o dello Stato, come precondizione necessaria, in ragione del tipo di dati trattati.
Si chiederebbe infatti un consenso inutile, non previsto come precondizione e che comunque, in un contesto in cui il rapporto tra titolare e interessato è basato sul vincolo contrattuale, non può costituire la base di legittimità dei trattamenti.
Per contro, in questi casi, proprio perché il consenso non è la base di legittimità del trattamento né una precondizione necessaria, anche la sua eventuale revoca resterebbe senza effetti. Infatti, stante il rapporto che lega il titolare all’interessato, prevarrebbe l’obbligo di dare esecuzione al contratto e i vincoli che da questo discendono.
Si conferma dunque la inutilità, e anche la inopportunità, di mischiare tra loro la figura del contratto e quella del consenso, nel tentativo, sostanzialmente illegittimo, di duplicare le basi di legittimità.
A questo si aggiunga l’incertezza che da una scelta di questo genere può derivare per i diritti degli interessati. Essi, infatti, potrebbero ritenere, a torto, di poter revocare in ogni momento il consenso prestato, innescando come conseguenza la interruzione legittima del contratto. Così come, a sua volta, il titolare potrebbe trovarsi costretto a considerare priva di effetti rispetto al contratto la revoca del consenso al trattamento di dati personali, a suo tempo inutilmente chiesto e inutilmente prestato.
Tutto questo spinge a richiamare ancora una volta l’attenzione sulla necessità di evitare di innescare cortocircuiti molto pericolosi, cercando di affiancare l’uno all’altro il contratto e il consenso, come se potessero sussistere due basi diverse di legittimazione di un medesimo trattamento.
Il cortocircuito tra consenso e contratto
Le norme sul dovere del titolare di dichiarare all’interessato la base di legittimità del trattamento e le relative finalità, indicando anche tutti i diritti che egli può esercitare, consigliano assolutamente di evitare questo cortocircuito. Per contro tutto spinge a utilizzare la provvida distinzione fatta dal WP29, con riguardo al rapporto tra GDPR e Direttiva 2002/58 CE: quella tra consenso come base di legittimazione del trattamento e consenso come precondizione per la legittimità di trattamenti fondati sul contratto, o su una delle altre basi previste dall’art. 6. Solo così, infatti è possibile dare un ordine compiuto a una matassa altrimenti inestricabile.
Per questi stessi motivi è anche nettamente sconsigliabile costruire le informative ex art. 13 e 14 come se fossero finalizzate ad ottenere un consenso specifico e autonomo anche quando si riferiscono a trattamenti fondati su basi normative diverse da quella dell’art. 6, paragrafo primo, lettera a).
Una prassi del genere, infatti, sarebbe probabilmente fonte di illegittimità per mancanza di adeguata trasparenza circa la base di legittimazione del trattamento e le sue finalità. Inoltre rischierebbe di creare un labirinto pericolosissimo in ordine alla individuazione, caso per caso e situazione per situazione, dei diritti che l’interessato può esercitare.
Come si è detto, infatti, i diritti dell’interessato variano notevolmente a seconda che i trattamenti che lo riguardino si fondino sul consenso ex art. 4 paragrafo1, numero 11 e art. 7, ovvero si richiamino a una delle altre basi di legittimità indicate nell’art. 6.
Nelle Linee Guida del WP29 in materia di consenso pubblicate il 10 aprile 2018 vi è infinitamente di più di quanto qui si sia detto. Proprio per questo se ne raccomanda la lettura, anche con riguardo al tema delicatissimo dei trattamenti di dati per finalità scientifiche, soprattutto nei casi in cui sia possibile trattarli su una base di legittimazione diversa dal consenso.
Su questo tema si tornerà in un prossimo articolo, dopo che sarà noto il testo del decreto delegato di adeguamento al GDPR.
Per ora accontentiamoci di aver provato, grazie al tenue ma resistentissimo filo rosso che le Linee Guida ci hanno offerto, a cercare di “tornare a veder la luce”.
