Si sa: le cattive abitudini sono dure a morire.
Accade spesso, come se fosse ormai una consuetudine, che il trattamento di dati personali sia associato indissolubilmente ad una autorizzazione. Quante volte succede di imbattersi nella lettura di formulazioni generiche del seguente tenore: “acconsento alla privacy”, “rilascio il consenso al trattamento dei dati personali”, oppure “autorizzo ai sensi dell’art. 13 del GDPR” o addirittura “autorizzo l’informativa sulla privacy ai sensi dell’art. 13 del D. Lgs. 196/2003”.
In tali casi, sorgono spontaneamente alcune domande: quale consenso si sta prestando? Il Titolare del trattamento quale consenso vuole ottenere? E a quale tipologia di consenso e/o autorizzazione ci si riferisce?
Cos’è il consenso, e perché lo si richiede
Ecco, è bene precisarlo sin da subito: il consenso è una delle basi giuridiche o dei fondamenti giuridici che legittima un trattamento di dati personali. In tutti i casi, la selezione della base giuridica deve essere valutata caso per caso e a seconda delle tipologie di dati personali trattati da parte del Titolare del trattamento.
Il Regolamento UE n. 2016/679 (di seguito anche “Regolamento” o “GDPR”) richiama e prevede il consenso come base giuridica del trattamento sia per il trattamento di dati personali “comuni” all’art. 6, così come all’art. 9 per poter trattare le categorie particolari di dati. Discorso diverso, che meriterebbe un approfondimento a sé stante, concerne la base giuridica concernente il trattamento dei dati personali relativi a condanne penali e reati, disciplinata dall’art. 10 del Regolamento[1] e dall’art. 2-octies del D. Lgs. 196/2003[2].
L’art. 6, paragrafo 1, del Regolamento elenca esaustivamente le basi giuridiche che si devono porre a fondamento del trattamento che possono essere riassunte nelle seguenti: il consenso, l’esecuzione di un contratto o misure precontrattuali, obbligo di legge, la salvaguardia degli interessi vitali dell’interessato, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di interessi pubblici e il legittimo interesse. Come si può evincere dall’elenco appena indicato, non esiste solo il consenso come fondamento giuridico di un trattamento ma vi sono altri presupposti che possono legittimare il trattamento eseguito dal Titolare, senza dover – a priori – richiedere il consenso all’interessato. Inoltre, e soprattutto, il Titolare non deve ricorrere all’adozione del consenso solo per “timore” di una scelta oppure perché l’interessato deve comunque “autorizzare” il trattamento.
È bene in tutti questi casi fare affidamento ad esperti della materia o rivolgersi all’Ufficio privacy interno all’azienda, ove previsto, oppure al Data Protection Officer, ove designato, al fine di poter eseguire i dovuti controlli.
È compito del Titolare del trattamento individuare la base giuridica opportuna per il singolo trattamento e, nella scelta della base giuridica deve selezionare quella più corretta al trattamento in concreto. Nel compiere tale scelta, il consenso non è da considerarsi “sovraordinato”, e quindi preferenziale rispetto alle altre. In realtà non esiste una base giuridica superiore alle altre e le stesse sono tra loro alternative (o possono, in alcuni casi, sovrapporsi tra loro), fatte le dovute riserve per i casi in cui sia una norma specifica ad identificare il consenso quale fondamento da adottare. Pertanto, è dovere e obbligo del Titolare del trattamento effettuare analisi ponderate, valutazioni specifiche al fine di definire, caso per caso, se il consenso sia la base giuridica appropriata per il trattamento che si pone in essere.
Ulteriore considerazione, non di poco conto è che il consenso, per definizione del Regolamento (art. 4, n. 11), è una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;”.
Pertanto, senza voler approfondire in questa sede i requisiti previsti per il consenso, uno degli elementi caratterizzanti è che lo stesso debba essere libero (ossia una manifestazione di volontà libera), il che significa che non può essere obbligatorio, o condizionato. In tal senso, basti pensare, a titolo esemplificativo, al Considerando 42 del Regolamento “[…] Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio” oppure alle “Linee Guida n. 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679” dell’EDPB che prevedono: “L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra titolare del trattamento e interessato”.
“Autorizzazione alla privacy”, “autorizzazione ai sensi dell’art. 13 del D. Lgs. 196/2003” e altre assurde formule
Ancora oggi, si possono rinvenire in numerosi contesti fantomatiche richieste di “autorizzazioni al GDPR” e altre assurde analoghe formule. Ad esempio, capita spesso di trovare formulazioni generiche di autorizzazioni al trattamento dei dati personali in calce ad un modulo cartaceo, su un curriculum vitae oppure inserite nei processi di registrazione di un servizio online, in alcuni casi correlate da un “checkbox” che l’interessato deve necessariamente compilare per poter procedere e andare avanti.
In primis, formule originali di “autorizzazione” vengono usate come sinonimo di consenso. Il primo indizio per capire se si tratta di valido consenso, di solito, è la facoltatività, e quindi la possibilità di fornire o di negare tale consenso.
Se viene richiesto un consenso, è perché si sta offrendo una scelta all’interessato: se il checkbox è unico ed è “obbligatorio”, dunque, difficilmente potrà trattarsi di un valido consenso. In questi casi sorge spontanea una domanda: non è che forse il Titolare non ha valutato e quindi definito la corretta base giuridica per quel trattamento di dati personali?
A scanso di equivoci, va specificato che non si autorizza “la privacy”, o “il GDPR” né tantomeno “l’informativa”.
In particolare, è bene ripetere tutti insieme che se il trattamento è necessario per dare esecuzione ad un contratto o in vista della sua conclusione, non serve il consenso.
Tutt’al più, per ottemperare al principio di accountability e comportarsi in modo virtuoso, il Titolare del trattamento potrebbe, usando sempre lo stesso checkbox, richiedere una presa visione dell’informativa sul trattamento dei dati personali. In questo modo il Titolare del trattamento, adempiendo al suo dovere di informazione nei confronti dell’interessato, potrà avere la prova di aver rilasciato l’informativa all’interessato il quale sarà ben consapevole e a conoscenza di come vengono trattati i suoi dati personali da parte del Titolare.
Inoltre, è molto interessante soffermarsi sul concetto di autorizzazione ai sensi dell’art. 13 del D. Lgs. 196/2003.
È bene precisare prima di tutto – e senza troppe digressioni – che l’art. 13 del D. Lgs. 196/2003[3] è stato abrogato dal Regolamento e quindi, essendo il riferimento a tale fonte normativa del tutto inesistente, viene meno la contestuale autorizzazione. Tutt’al più, se proprio si vuole richiamare il dettato normativo corretto, il riferimento è all’art. 13 del Regolamento relativamente alle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (in altre parole “l’informativa sulla privacy”), senza voler tralasciare l’art. 14[4].
Fatta la dovuta chiarezza su tale aspetto, è bene soffermarsi sulla formulazione generica di “autorizzo ai sensi dell’art. 13 del Regolamento” o “del GDPR”. Orbene, anche se in questo caso l’articolo normativo esiste ed è corretto, la menzionata autorizzazione non trova alcuna collocazione interpretativa nel disposto dell’art. 13 del GDPR in quanto la norma richiamata non prevede altro che il compito del Titolare del trattamento di fornire all’interessato le informazioni previste e necessarie per garantire un trattamento corretto e trasparente. In nessuna parte del disposto normativo viene previsto che l’art. 13 autorizzi il trattamento dei dati personali. Pertanto, la richiesta all’interessato di un’autorizzazione ai sensi dell’art. 13 del GDPR è destituita di qualsiasi fondamento giuridico.
“Autorizzazione ai sensi del GDPR” o “dell’art. 13 del D. Lgs. 196/2003” al trattamento dei dati nel contesto lavorativo
Fatta la necessaria precisazione sul “non” significato di “autorizzazione al GDPR” o “ai sensi dell’art. 13 del D. Lgs. 196/2003”, il Titolare del trattamento, nella sua veste di datore di lavoro, deve essere consapevole che l’utilizzo del consenso come fondamento giuridico per il trattamento dei dati personali del lavoratore deve essere valutato ancora più con attenzione.
Nella valutazione circa l’opportunità di adottare come base giuridica il consenso nel contesto lavorativo, sono molti i documenti che si potrebbero richiamare, dalle Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (Deliberazione n. 53 del 23 novembre 2006), alle Opinion del Gruppo di lavoro ex. art. 29 (di seguito anche “WP29”)[5] per non tralasciare le già menzionate Linee guida sul consenso rilasciate dall’EDPB.
Tra le varie considerazioni e raccomandazioni, appare utile soffermarsi sull’utilizzo del consenso nel rapporto di lavoro. Nell’Opinion 8/2001 sul trattamento dei dati personali nel contesto lavorativo del 13 settembre 2001 del WP29 (WP48)[6], il trattamento rappresenta una conseguenza necessaria ed inevitabile del rapporto di impiego. Il ricorso al consenso dovrebbe limitarsi a quei casi in cui il lavoratore sia effettivamente libero di scegliere e possa successivamente ritirare il proprio consenso senza alcun danno. Analoga considerazione è stata ribadita anche nell’Opinion 2/2017 del WP29 (WP249)[7] che afferma come il consenso potrebbe non essere considerato espressione di una volontà libera poiché il diniego del lavoratore potrebbe causare allo stesso un pregiudizio reale o potenziale e “di conseguenza, per la maggior parte dei casi di trattamento dei dati dei dipendenti, la base giuridica di tale trattamento non può e non dovrebbe essere il consenso dei dipendenti, per cui è necessario invocare una base giuridica diversa”. Tale interpretazione viene altresì confermata anche dall’EDPB nelle sue Linee Guida 5/2020.
In sostanza il consenso, mal si sposa con il vincolo di subordinazione tipico del rapporto di lavoro in quanto potenzialmente mancante del requisito della libertà. Questo poiché i lavoratori, considerato lo squilibrio di potere tra le parti nel rapporto datore di lavoro/dipendente, non sono quasi mai nella posizione di poter manifestare (prestare, rifiutare o revocare) liberamente il consenso, potendo un eventuale rifiuto mettere a rischio i rapporti o le relazioni in azienda o addirittura il posto di lavoro.
Ciò nonostante, lungi dall’affermare che il consenso non possa essere utilizzato nel contesto lavorativo, essendo compito del Titolare del trattamento valutare caso per caso l’applicazione dello stesso. Ad esempio, nelle “Linee Guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” del 2006 viene prevista la necessità di richiesta del consenso del lavoratore “per pubblicare informazioni personali allo stesso riferite nella intranet aziendale, non risultando tale ampia circolazione di dati personali di regola necessaria per eseguire obblighi derivanti dal contratto”. Anche nel Parere 2/2017 del WP29, viene prevista la possibilità di valutare l’adozione del consenso purché lo stesso sia una manifestazione specifica e informata della volontà del dipendente[8].
Conclusioni
In conclusione, è compito del Titolare, a seconda dei casi concreti, valutare se sia opportuno richiedere un consenso, specificando le finalità per cui viene richiesto, o se sia sufficiente richiedere una presa visione dell’informativa. L’importante è che non vengano richieste autorizzazioni generiche al GDPR o all’art 13 del D. Lgs. 196/2003 o non conformi alla normativa in materia di protezione dei dati personali.
Note
[1] L’art. 10 del Regolamento dispone che: “Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. […]”.
[2] L’art. 2-octies del Codice Privacy così prevede: “Fatto salvo quanto previsto dal decreto legislativo 18 maggio 2018, n. 51, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell’autorità pubblica, è consentito, ai sensi dell’articolo 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati”.
[3] Decreto legislativo 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali”, integrato con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (in G.U. 4 settembre 2018 n.205)
[4] “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”.
[5] Ormai noto come European Data Protection Board.
[6] Nell’”Opinion 8/2001 on the processing of personal data in the employment context” viene così riportato: “The Article 29 Working Party has taken the view that where as a necessary and unavoidable consequence of the employment relationship an employer has to process personal data it is misleading if it seeks to legitimise this processing through consent. Reliance on consent should be confined to cases where the worker has a genuine free choice and is subsequently able to withdraw the consent without detriment”.
[7] Nel Parere 2/2017 sul trattamento dei dati sul posto di lavoro, adottato l’8 giugno 2017, del WP29 al paragrafo 3.1.1, relativamente all’utilizzo del consenso, viene così riportato: “Nel parere 8/2001 il Gruppo di lavoro ha sottolineato che quando un datore di lavoro deve trattare dati personali dei propri dipendenti, è fuorviante partire dal presupposto che il trattamento possa essere legittimato dal consenso dei dipendenti. Nei casi in cui il datore di lavoro affermi di necessitare del consenso del lavoratore ma un eventuale diniego di quest’ultimo potrebbe causare allo stesso un pregiudizio reale o potenziale (situazione molto probabile nei rapporti di lavoro, in particolare se riguarda il tracciamento da parte del datore di lavoro del comportamento del dipendente nel corso del tempo), allora il consenso non è valido in quanto non può essere espressione di una volontà libera.”
[8] Il paragrafo 3.1.1. del Parere 2/2017 sul trattamento dei dati sul posto di lavoro del WP29 al paragrafo 3.1.1, così prevede: “Inoltre, anche nei casi in cui sia possibile affermare che il consenso costituisca una base giuridica valida per il trattamento (ossia qualora sia possibile concludere senza ombra di dubbio che il consenso sia stato dato liberamente), esso deve essere una manifestazione specifica e informata della volontà del dipendente. Le impostazioni di default sui dispositivi e/o l’installazione di software che facilitino il trattamento elettronico dei dati personali non possono essere considerati costituire un consenso concesso dai dipendenti, poiché il consenso richiede un’espressione attiva della volontà. La mancata azione (ossia la mancata modifica delle impostazioni predefinite) non può in generale essere considerata un consenso specifico atto a consentire il trattamento”.
