Quale base giuridica del trattamento prevista all’art. 6 del GDPR, il consenso presenta specifici elementi il cui rispetto è fondamentale affinché possa ritenersi valido. Due in particolare, dimostrabilità e revocabilità, richiedono da parte del titolare il compimento di azioni dirette al loro rispetto, anche nell’ottica del principio di accountability di cui all’art. 24 GDPR.
Indice degli argomenti
Le norme sulla gestione dei consensi privacy in azienda
Il consenso rappresenta una delle principali basi giuridiche previste all’articolo 6 del Regolamento (UE) 2016/679 (GDPR) per il trattamento dei dati personali. Il consenso da un lato non risulta sempre obbligatorio (potendo il trattamento trovare fondamento in una diversa condizione di liceità), mentre all’opposto, in taluni casi, è previsto necessariamente (es. finalità di marketing).
A prescindere dalla specifica casistica per la quale debba essere richiesto, la raccolta del consenso deve avvenire nel rispetto delle condizioni stabilite dall’art. 7 della normativa europea, nonché dalle relative linee guida 5/20203 del Comitato europeo per la protezione dei dati (EDP – European Data Protection Board).
Cosa dice il GDPR
La normativa europea del GDPR, che mira alla protezione dei dati personali, intende il consenso quale manifestazione di volontà libera, specifica, informata e inequivocabile dei soggetti interessati (ovvero di coloro ai quali i dati personali fanno riferimento), che manifestano il proprio assenso mediante una dichiarazione o un’azione positiva inequivocabile, che i dati che lo riguardano siano oggetto di trattamento4.
Rinviando, per ragioni di sintesi, alla lettura del citato art. 7 GDPR, nonché del par. 3 delle linee guida, preme qui sottolineare come ciascuno degli elementi ivi individuati concorra e sia indispensabile al fine dell’ottenimento da parte del titolare di un consenso valido.
Raccolta dei consensi: procedure e best practice
Altrettanto centrale appare il rispetto dei principi di cui al regolamento europeo e, in particolare, ai fini della raccolta del consenso, un’impostazione interna all’azienda che dia concreto seguito al principio di privacy by design di cui all’articolo 25 risulta necessaria: la redazione di corrette informative, la nomina formale e la formazione del personale preposto all’attività di raccolta del consenso, la conservazione di questi ultimi alla luce del ricorso ad adeguate misure di sicurezza sono solo alcuni esempi di quanto il titolare deve garantire ed essere in grado di dimostrare anche nel rispetto dell’ulteriore principio di accountability di cui art. 24 GDPR.
Dimostrabilità del consenso: documentazione e registrazione
Tra i vari elementi caratterizzanti un consenso valido ai quali è stato fatto cenno, l’attenzione del presente contributo si sofferma su quelli della dimostrabilità e revocabilità.
Partendo dal primo, l’art. 7, comma 1, GDPR (così come anche il Considerando 42), prevede in maniera chiara l’obbligo del titolare del trattamento di dimostrare il consenso dell’interessato (in linea, a ben vedere, con il principio di accountability e di responsabilizzazione).
Sotto questo profilo, per il rispetto di tale disposizione, il titolare è libero di sviluppare i metodi che ritiene più adatti al proprio contesto, pur nel limite di evitare di raccogliere per tale scopo informazioni supplementari: i dati di cui dispone, dunque, dovrebbero essere di per sé sufficienti al titolare per mostrare un collegamento con il trattamento effettuato, ossia che il consenso sia stato effettivamente ottenuto5,
L’obbligo sussiste fin quando perdura l’attività di trattamento che ha avuto il consenso quale condizione di liceità e, quando termina, è richiesto al titolare di conservare prova del consenso non più di quanto strettamente necessario al fine di adempiere a obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, conformemente all’art. 17, comma 3, lett. b) ed e), GDPR.
Esempi pratici
Passando a degli esempi concreti, l’azienda che abbia raccolto delle dichiarazioni da parte di potenziali clienti circa la volontà di essere ricontattati per ricevere comunicazioni di carattere promozionale, dovrà conservare copia di detti documenti. Qualora ciò avvenga online, potrà essere dimostrato mediante le informazioni sulla sessione in cui tale consenso è stato espresso, mentre non sarebbe possibile far generico riferimento alla corretta configurazione del sito web.
Come ricordato dall’EDPB all’interno delle sue linee guida, “La logica alla base di tale obbligo è che il titolare del trattamento deve essere responsabilizzato in relazione all’ottenimento di un consenso valido dell’interessato e ai meccanismi di consenso che ha messo in atto”6.
Revoca del consenso: diritto dell’interessato e obblighi dell’azienda
L’altro elemento preso qui in esame è quello della revocabilità del consenso che, come previsto dal comma 3 dell’art. 7 GDPR, “non pregiudica la liceità del trattamento basata sul consenso prima della revoca”: ciò significa che, se il consenso viene revocato, tutti i trattamenti basati su quest’ultimo effettuati prima della revoca rimangono leciti, pur essendo richiesto al titolar di interrompere le attività di trattamento interessate. Inoltre, qualora non sia presente un’altra base legittima per il trattamento, questi ultimi dovrebbero essere cancellati non appena il consenso viene revocato. All’opposto, nel caso in cui, ad esempio, il trattamento veda coinvolte come basi giuridiche sia il contratto che il consenso, la revoca di quest’ultimo non comporta necessariamente la cancellazione dei dati trattati per finalità connesse all’esecuzione del contratto stipulato con l’interessato.
Tuttavia, come chiarito dalle linee guida, nel rispetto dei requisiti di informazione di cui agli artt. 12 e ss., nonché al principio di trasparenza, “in caso di revoca del consenso, il titolare del trattamento, se vuole continuare a trattare i dati personali in base a un’altra base legittima, non può passare tacitamente dal consenso (che è stato revocato) all’altra base legittima. Qualsiasi modifica della base legittima del trattamento deve essere notificata all’interessato” (par. 5.2, punto 120).
Sempre all’interno dell’art. 7, comma 3, della normativa europea, vengono evidenziate altre due importanti caratteristiche della revocabilità del consenso.
In primo luogo, l’obbligo per il titolare di informare l’interessato di tale possibilità e di farlo prima che presti effettivamente il consenso. Ciò, avviene principalmente attraverso una specifica indicazione contenuta all’interno dell’informativa, così come anche richiesto a norma dell’art. 13, comma 2, lett. c), GDPR.
In secondo luogo, è previsto che il consenso debba essere revocato con la stessa facilità con cui è stato accordato, senza peraltro comportare per l’interessato alcun pregiudizio, come una spesa o un abbassamento dei livelli di un servizio. Nell’ipotesi, ad esempio, di un consenso richiesto e ottenuto da parte dell’interessato mediante un clic all’interno di un form del sito web aziendale, l’eventuale revoca dovrà essere prevista con le medesime modalità, ossia attraverso quello stesso form, poiché “l’eventuale passaggio a una diversa interfaccia per la sola revoca richiederebbe uno sforzo eccessivo” (cfr. par. 5.2, punto 114 delle linee guida sul consenso).
Verso una cultura del rispetto della privacy
Infine, appare opportuna una riflessione. Spesso si assiste a un utilizzo inflazionato di richieste del consenso, quando invece – come visto in apertura – esso rappresenta soltanto una delle condizioni di liceità del trattamento contemplate all’art. 6 della normativa privacy europea.
Ciò, oltre ad appesantire il carico operativo per l’azienda con riferimento alla gestione della sua raccolta, comporta per essa la necessità di prestare attenzione anche all’effettiva presenza e rispetto degli elementi richiesti per la sua validità, nonché la capacità di dar seguito alle richieste di revoca e, in sede di eventuale controllo, di essere in grado di dimostrare la relativa corretta conservazione.
Occorre, pertanto, un’attenta e preliminare riflessione da parte dell’azienda – che, sotto questo profilo, laddove nominato, troverà nel DPO7 valido alleato per trovare le giuste risposte in merito alle necessità del proprio contesto – al fine di non eccedere e ricorrere senza motivo al consenso quale base giuridica laddove non sia necessario, alla luce degli specifici compiti ai quali dar seguito in merito a dimostrabilità e revocabilità, una volta che si è proceduto alla sua raccolta.
