A quasi due anni dall’applicazione del Regolamento Europeo 679/2016 (GDPR) sulla protezione dei dati personali, risultano ancora molto frequenti gli errori nell’utilizzo del consenso.
Gdpr e consenso, gli errori più comuni
Spesso i Titolari lo scelgono come unica base legittima del trattamento, quando evidentemente dovrebbero optare per una delle altre condizioni di liceità previste dall’articolo 5. Si riscontrano spesso numerose inesattezze nelle formule impiegate per chiedere il consenso, anche quando è effettivamente la base giuridica corretta (es. si chiede un consenso unico per finalità diverse).
Lo strumento del consenso generò ambiguità fin dai tempi delle prime normative privacy (la Direttiva UE 95/46 e la legge italiana 675 del 1996 per esempio), quando moltissime organizzazioni adottarono un approccio puramente formale e per nulla ragionato, richiedendo un consenso per qualunque tipo di trattamento, pensando così di porsi al riparo da possibili illeciti. Ancora oggi, in pieno periodo GDPR, agli interessati vengono sottoposte richieste di consenso inutili, accompagnate da informative generiche, errate se non addirittura intenzionalmente ingannevoli, o comunque per nulla rispettose dei requisiti di semplicità, trasparenza e chiarezza presenti nell’articolo 12 del Regolamento.
Una delle prime attività quindi che le organizzazioni dovrebbero programmare, in ottica di Accountability – il principio di responsabilizzazione che funge da motore del Regolamento – dovrebbe essere una attenta revisione delle proprie informative e dei relativi consensi già richiesti, quelli da chiedere ex-novo e quelli da non chiedere più, per evitare conseguenze negative, anche ad elevato impatto (es. controlli, sanzioni, blocco di trattamenti, perdite di immagine).
Le Linee guida dell’authority Ue
A supporto di questa analisi interna all’organizzazione, può essere utile ripercorrere le Linee guida sul consenso pubblicate dall’Autorità europea WP29 il 10 aprile 2018 (WP29 nr. 259), un documento di estrema utilità per comprendere meglio il concetto di consenso in ambito GDPR e il suo corretto utilizzo.
Partiamo innanzi tutto dall’articolo 4 del GDPR che al paragrafo 1, numero 11 ci fornisce la definizione di consenso: “Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
È evidente già dalla definizione che il consenso può essere una base legittima appropriata solo se l’interessato può realmente effettuare una libera scelta (accettare o meno quanto viene proposto), senza subire un pregiudizio, un disservizio o altro impedimento. Quindi, quando richiede il consenso, il Titolare del trattamento deve valutare se soddisferà tutti i requisiti per essere valido, diversamente l’attività di trattamento sarà considerata illecita.
Uno degli errori più frequenti e pericolosi, è l’inserimento del consenso come parte delle condizioni generali di un contratto per l’acquisto di beni o servizi. Non potrà essere considerato libero, visto che l’interessato non potrà rifiutarlo o revocarlo senza subire conseguenze negative (es. mancata conclusione del contratto).
Consenso e lavoro: l’errore da evitare
Anche in ambito occupazionale, dunque nei contratti di lavoro, non è in linea di massima corretto richiedere un consenso al dipendente o al candidato, in quanto si verifica una situazione di “squilibrio di potere” per cui difficilmente la risposta del lavoratore potrà essere libera da pressioni, che siano reali o solo percepite.
Le basi di legittimità dei trattamenti che riguardano il dipendente o collaboratore saranno pertanto altre, dagli adempimenti contrattuali al rispetto di obblighi legali e normativi da parte dell’azienda, fino anche al legittimo interesse dell’impresa (interessante a tal proposito il caso della sanzione da parte del Garante Greco a PWC nel luglio 2019).
Possono comunque esserci dei casi da gestire con la richiesta di consenso, perché relativi a trattamenti che non riguardano strettamente la prestazione lavorativa e il rapporto tra datore di lavoro e dipendente. Uno di questi è per esempio la ripresa e l’utilizzo di immagini (foto o video) in occasione di eventi aziendali, attività formative, produzione di materiale pubblicitario, ecc. Il lavoratore potrebbe anche rifiutare di essere ripreso ma senza avere ripercussioni sui suoi diritti e sulla sua posizione in azienda.
Contratti e trattamento dati “inutile”
Un altro importante aspetto relativo al consenso che il WP29 approfondisce nelle Linee Guida, è la presenza o meno di situazioni di accorpamento o subordinazione del consenso ad un contratto. Come già evidenziato, il trattamento di dati personali effettivamente necessari all’esecuzione di un contratto non potrà essere regolato da consenso. Soprattutto, non sarà corretto obbligare l’interessato a fornire dati personali aggiuntivi vincolandolo all’erogazione della prestazione. Facciamo un esempio.
Un’applicazione mobile per la consultazione di ricette chiede agli utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’applicazione comunica agli utenti che utilizzerà i dati raccolti per finalità pubblicitarie (segnalazione ristoranti nella zona dell’utente). La geolocalizzazione non è necessaria in realtà per l’utilizzo dell’applicazione e va oltre la fornitura del servizio principale. Gli utenti però non possono utilizzare l’applicazione senza acconsentire a tale finalità, quindi il consenso non può essere considerato liberamente espresso e due diversi trattamenti sono accorpati in maniera errata.
È importante quindi che il Titolare determini in modo rigoroso e preciso quali sono i dati effettivamente “necessari per l’esecuzione di un contratto” e di conseguenza per gli stessi non dovrà raccogliere alcun consenso ma sarà coperto dalla relativa base giuridica. Se intende raccogliere anche dati aggiuntivi ed utilizzarli per altri scopi, come nell’esempio, dovrà necessariamente separare le finalità e ottenere il consenso per ciascuna di quelle che lo richiedono (granularità).
Il principio di granularità
Per soddisfare tale requisito di granularità e allo stesso tempo garantire le altre caratteristiche del consenso (libero, specifico, informato), le Linee Guida WP29 ci ricordano tre utili passaggi:
- Esprimere in modo dettagliato tutte le finalità di trattamento, per garantire l’Interessato che non si verificheranno fenomeni di estensione indebita dei trattamenti (c.d. “function creep”);
- Richiedere i consensi in modo granulare (se sono previste diverse finalità, sarà necessaria una richiesta di consenso per ciascuna)
- Informazioni chiare (e ben distinte da altri temi) sui dati trattati per le diverse finalità e su quali sono le conseguenze in caso di mancato consenso.
Vale la pena sottolineare, a questo proposito, l’importanza delle informazioni da fornire all’Interessato per consentirgli di effettuare la sua scelta. Gli articoli 13 e 14 del GDPR indicano in modo puntuale quali siano gli elementi da portare a conoscenza degli Interessati, attraverso una apposita “Informativa” che può corrispondere ad un documento, una pagina di sito web, un volantino esposto al pubblico o altre forme di comunicazione.
Non ci occupiamo in questa circostanza di approfondire gli elementi dell’informativa e le modalità per renderla nota agli Interessati – argomenti molti ampi e da trattare in modo specifico – ma riportiamo solamente le informazioni indispensabili per ottenere un consenso valido:
- Identità e contatti del Titolare
- finalità di ogni trattamento per il quale si chiede il consenso
- tipologie di dati raccolti e trattati
- diritto di revocare il consenso
- esistenza o meno di un processo decisionale automatizzato
- eventuale trasferimento all’estero e relativi rischi in caso di assenza di garanzie adeguate
Importanza del linguaggio adottato
Per costruire una informativa a regola d’arte, va ricordato soprattutto di utilizzare un linguaggio chiaro e semplice. Il messaggio deve essere facilmente comprensibile per una persona di media cultura, mentre spesso si trovano documenti scritti con terminologie strettamente giuridiche, lunghi preamboli e introduzioni, testi troppo prolissi sulla politica privacy dell’organizzazione. Importanza ancora maggiore riveste la chiarezza della richiesta di consenso: deve essere distinguibile dagli altri argomenti e deve essere presentata in una forma intelligibile e facilmente accessibile. L’interessato deve poter comprendere rapidamente a cosa sta dando il consenso (finalità) e a chi lo sta fornendo (identità del Titolare).
In questo esempio si riportano alcuni stralci da una informativa realmente ricevuta, il cui messaggio risulta poco chiaro, a volte contradditorio se non del tutto errato. Da notare che si tratta di una normale relazione B2B tra azienda cliente (che ha scritto l’informativa) e azienda fornitore (che l’ha ricevuta).
“Punto 1 – Titolare del trattamento e Responsabile esterno del trattamento
La presente informativa privacy è predisposta da (società A), quale società capogruppo, alla cui direzione e controllo sono sottoposte le seguenti società: società B, società C, società D. Ciascuna delle predette società, sottoposte alla direzione ed al controllo della società A, riveste la qualifica legale di Titolare del trattamento dei dati personali e sensibili dei propri fornitori. Ciascuna società Titolare del Trattamento ha nominato la capogruppo, società A, quale Responsabile esterno del trattamento, conferendole il potere di inviare a tutti i fornitori delle società del gruppo la presente informativa, nonché di raccogliere il consenso al trattamento dei dati da parte degli interessati, in nome e per conto di ciascun Titolare del Trattamento. Società A riveste la qualifica di Titolare del Trattamento nei confronti dei dati personali dei propri fornitori”.
Commento: non è molto chiaro fin da subito chi determina finalità e modalità del trattamento (Titolare); risulta anche difforme dalle indicazioni del GDPR il far gestire l’informativa al Responsabile del trattamento (è un compito del Titolare).
“Punto 2 – Finalità e base giuridica del trattamento
I Suoi dati personali, inclusi i dati anagrafici, fiscali, nonché gli estremi del Suo conto corrente bancario, verranno trattati per finalità legate al rispetto delle disposizioni normative e regolamentari vigenti in materia civile, fiscale e tributaria nonché dei provvedimenti emanati dalle competenti autorità, per attività di verifica dei requisiti previsti dalla normativa antimafia, per attività relative alla gestione del rapporto contrattuale in conformità alla normativa vigente, per esigenze di difesa di un diritto in giudizio o nelle opportune sedi conformemente alle disposizioni normative e regolamentari applicabili. Potranno inoltre costituire oggetto di trattamento, ai sensi degli artt. 6 (comma 1) e 10 del Reg. UE 679/2016 i dati personali idonei a rivelare l’eventuale esistenza di condanne penali nonché di procedimenti penali in corso di cui al DPR 14/11/2002 N. 313 e ss.mm. e iii. Tali dati saranno trattati – oltre a quanto già precisato in via generale per tutti i dati – nel rispetto di quanto previsto dall’art. 10 del Regolamento. La base giuridica del trattamento di tutti i dati sopra indicati si identifica nella costruzione, esecuzione ed eventuale risoluzione dl contratto di fornitura stipulato tra Lei ed una delle società del gruppo e negli obblighi al medesimo contratto connessi e/o dal medesimo direttamente e/o indirettamente derivanti. Ulteriore condizione di liceità del trattamento può individuarsi nel consenso prestato dall’interessato”.
Commento: è poco chiaro quali siano gli effettivi dati anagrafici necessari per la gestione del contratto; non è indicato a chi ci si sta rivolgendo, ossia chi sono gli interessati (ricordiamo che siamo in ambito B2B, quindi si tratta di contatti all’interno di un’azienda); non è indicato per quali rapporti effettivamente dovranno essere raccolti dati giudiziari. In ultimo, si inserisce il consenso come possibile base di liceità senza indicare per quali trattamenti e per finalità.
“Consenso al trattamento di dati personali
Con la sottoscrizione della presente informativa, il/la Sottoscritto dichiara di aver ricevuto, in applicazione dell’articolo 13 del Regolamento, idonea e completa informativa circa le norme concernenti la tutela dei dati personali. Altresì, il Sottoscritto acconsente al trattamento dei dati personali elencati nell’articolo 2 della presente informativa, per le finalità ivi illustrate”.
Commento: è evidentemente errato richiedere il consenso quando sono state indicate altre basi giuridiche, o per lo meno richiederlo per tutte le finalità elencate al punto 2.
La disamina di tutta l’informativa offre tantissimi spunti di riflessione, così come se ne trovano in molti altri testi imprecisi (informative e richieste di consenso) che purtroppo ancora oggi le organizzazioni fanno circolare presso i propri interessati.
Torneremo sull’argomento, per completare l’analisi delle Linee Guida WP29 (che si occupano anche di modalità di raccolta del consenso, revoca dello stesso, diritti degli interessati) e fornire a supporto casi pratici tratti dall’esperienza quotidiana nel complesso mondo della Data Protection.
