Una delle prassi più diffuse sul web è quella di prevedere un unico flag per chiedere all’utente di accettare, al tempo stesso, i termini e le condizioni e i trattamenti privacy.
Come vedremo, però, un consenso unico per una pluralità di trattamenti è illegittimo e non in linea col Gdpr poiché non permette all’utente di scegliere se prestare il consenso ad un trattamento piuttosto che ad un altro e obbligando l’Interessato ad accettare con una medesima azione, tanto il trattamento dati quanto i termini di utilizzo del servizio.
Vediamo, nel caso, come far valere i propri diritti.
Consenso, quando va bene un solo flag e quando no
Come noto, il consenso è solo una delle varie basi giuridiche utilizzabili a giustificazione del trattamento dati. Si tratta di una considerazione apparentemente banale ma che è sempre opportuno evidenziare in quanto permette di ricordare ancora una volta come, in presenza di altre basi giuridiche, il consenso non sia assolutamente necessario.
In quest’ottica è sicuramente legittima la presenza di un solo flag nel caso di servizio web in cui oltre ai termini e condizioni di utilizzo, all’interessato viene comunicato che i dati vengono trattati in forza di altre basi giuridiche, ad esempio, per l’adempimento di obblighi contrattuali o per la soddisfazione di una richiesta precontrattuale. In casi simili, si potrà quindi chiedere di apporre una sola crocetta la quale, peraltro, non riguarderà il trattamento dati ma soltanto il contratto di fornitura del servizio web.
Differente è invece la situazione nel caso in cui la società Titolare intenda utilizzare i dati per una moltitudine di finalità quali, ad esempio, l’invio di newsletter commerciali per terze parti.
Per capirci, ipotizziamo che il sito di una testata giornalistica richieda l’iscrizione dell’utente al fine di poter accedere a contenuti extra rispetto a quelli accessibili senza abbonamento.
Il trattamento dei dati per la gestione dell’iscrizione dell’utente sarebbe “coperto” dalla base giuridica di cui all’art. 6 comma 1 b) in quanto “il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”.
Al momento dell’iscrizione non servirà quindi alcun flag per quanto riguarda questo specifico trattamento.
Eventualmente, potrà essere richiesto un flag per l’accettazione dei termini e condizioni di utilizzo della piattaforma che, è importante evidenziarlo, costituiscono di fatto le clausole contrattuali che disciplineranno il rapporto in essere tra l’utente e la piattaforma web.
Nel momento in cui però, al trattamento necessario per i motivi contrattuali si dovesse affiancare, ad esempio, una newsletter per scopi commerciali le cose si complicherebbero.
Ora, sulla base del Considerando 32 del GDPR è da ritenere che “il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”.
Il consenso, come visto, deve quindi essere libero, specifico ed informato.
La presenza di un unico flag rispetta tali requisiti?
In primo luogo è da evidenziare che, come già avuto modo di approfondire esiste una sorta di contrasto tra Cassazione e Garante in merito alla possibilità per i Titolari del Trattamento di subordinare l’accesso ad un servizio principale all’apposizione di un consenso per servizi ulteriori. Secondo la Superema Corte difatti per il titolare sarebbe possibile obbligare l’utente interessato ad iscriversi, ad esempio, al servizio premium di un giornale, al conferimento di un consenso al trattamento dati per ricevere mail di carattere commerciale.
Di contro, la condivisibile opinione del Garante Privacy è invece quella di ritenere illegittima una simile prassi, dovendo il fornitore del servizio web rendere il consenso al trattamento ulteriore del tutto svincolato alla possibilità di accedere al servizio principale.
Per questa ragione è evidente come la predisposizione di un unico flag per l’accettazione dei terms e condition e per la prestazione del consenso privacy sia già di per sé in violazione del principio di libertà del consenso in quanto, capcae di vincolare il soggetto ad accettare obbligatoriamente con un unico flag sia i termini del contratto, sia il trattamento dei dati.
In tal senso il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva, si sente obbligato ad acconsentire o subirà conseguenze negative se non acconsente, il consenso non sarà valido. Difatti, se il consenso è parte non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente.
Libertà e specificità del consenso
Non solo, le linee guida pubblicate dal Gruppo di Lavoro art. 29 (ora European Data Protection Board o Comitato europeo per la protezione dei dati)nel richiamare il GDPR, affermano:
“Per valutare se il consenso sia stato prestato liberamente è di rilievo l’articolo 7, paragrafo 4, del regolamento. L’articolo 7, paragrafo 4, indica, tra l’altro, che è altamente inopportuno “accorpare” il consenso all’accettazione delle condizioni generali di contratto/servizio o “subordinare” la fornitura di un contratto o servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione del contratto o servizio. Si presume che il consenso prestato in una tale situazione non sia stato espresso liberamente”.
La presenza di un unico flag viola quindi sicuramente il principio di libertà del consenso, ma non solo.
E’ difatti da ritenere frustrato anche il principio che prevede la specificità del consenso.
L’articolo 6, paragrafo 1, lettera a) del GDPR prevede che il consenso dell’interessato venga espresso con riferimento a “una o più specifiche” finalità e che l’interessato deve poter scegliere in relazione a ciascuna di esse.
In tal senso, potrebbe difatti verificarsi l’ipotesi in cui un soggetto acconsenta, ad esempio, all’utilizzo di dati per profilazione ma non acconsenta all’invio di informazioni commerciali di terzi.
La specificità risponde proprio a questa esigenza di scegliere, tra una moltitudine, quali sono i trattamenti a cui acconsentire e quali invece no.
Il requisito del consenso “specifico” mira a garantire un certo grado di controllo da parte dell’utente e trasparenza per l’interessato.
A tal proposito, le Linee Guida prevedono che “per rispettare l’elemento della specificità (“specifico”), il titolare del trattamento deve applicare:
- la specificazione delle finalità come garanzia contro la “function creep”, ossia l’estensione indebita delle funzionalità;
- la granularità nelle richieste di consenso, e
- una chiara separazione delle informazioni sull’ottenimento del consenso per le attività di trattamento dei dati rispetto alle informazioni su altre questioni. “
Come difendere i propri diritti
Tornando all’oggetto della nostra trattazione è quindi da ritenere che un consenso unico per una pluralità di trattamenti, oltre che per l’accettazione dei termini e condizioni di servizio, sia assolutamente viziato, non permettendo difatti all’utente di scegliere se prestare il consenso ad un trattamento piuttosto che ad un altro e obbligando l’Interessato ad accettare con una medesima azione, tanto il trattamento dati quanto i termini di utilizzo del servizio.
Vediamo quindi che una simile prassi, seppur sempre più diffusa, risulta del tutto illegittima e non in linea con il dettato del GDPR, essendo il consenso così raccolto né libero né tanto mento specifico.
È quindi possibile segnalare tali episodi all’Autorità Garante, facendo valere i propri diritti sanciti dal Regolamento Europeo oppure, ancora meglio, è consigliabile orientare le proprie scelte di mercato abbandonando quelle piattaforme che si dimostrano poco sensibili a questi argomenti. Solo così facendo si può sperare in una sensibilizzazione “market oriented” da parte di chi, ancora oggi, purtroppo tende a sottovalutare l’importanza dei diritti riconosciuti ai cittadini europei dal GDPR.
