Il Gruppo dei Garanti europei ex art. 29 ha adottato, il 28 novembre 2017, una bozza di linee guida sul consenso ai sensi del Regolamento europeo 2016/679 (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611232). Il Gruppo raccoglierà commenti e considerazioni fino al 23 gennaio, dopodiché emetterà versione finale.

Il documento – anche se un draft – merita di essere commentato perché fornisce indicazioni su quel che il Gruppo dei Garanti ritiene debbano essere i chiarimenti e le specifiche (arricchiti da esempi pratici) cui ciascun titolare può far riferimento per ottenere e dimostrare un valido consenso dell’interessato ai sensi del Regolamento europeo 2016/679 (GDPR) che entrerà in forza il 25 maggio 2018.

Il consenso rientra tra le condizioni di liceità del trattamento, elencate dall’art. 6 del GDPR, e rappresenta il principale diritto di controllo, in capo all’interessato, per autorizzare il trattamento e per revocarlo – una volta accettato – in ogni momento senza ottenere pregiudizio.

L’art. 4 (11) del GDPR definisce il consenso come: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile che i dati personali che lo riguardano siano oggetto di trattamento”.

Il consenso deve essere quindi:

• informato,
• specifico,
• libero,
• inequivocabile.

Consenso informato

Il consenso deve essere preceduto da una valida informativa. Il Gruppo dei Garanti europei, infatti, chiarisce che solo fornendo agli interessati le giuste e chiare informazioni sul trattamento, sarà possibile per l’interessato capire quello che sta accettando e decidere consapevolmente se fornire il consenso o meno.

Il consenso, perché sia informato, deve basarsi su alcune informazioni necessarie, ritenute, dai Garanti europei, i requisiti minimi per ottenere un valido consenso.

L’informativa, ai sensi dell’art. 13 e 14 del GDPR, deve contenere almeno l’indicazione di:

• l’identità del titolare,
• le finalità del trattamento di cui si richiede il consenso,
• la natura dei dati trattati,
• l’esistenza del diritto di revoca,
• la presenza di trasferimenti dei dati in paesi extra UE in assenza di una decisione di adeguatezza da parte della Commissione,
• la presenza di un processo decisionale automatizzato, compresa la profilazione,
• l’elenco dei destinatari a cui i dati possono essere comunicati.

Un valido consenso può essere fornito anche se non tutti gli elementi di cui agli artt. 13 e 14 del GDPR sono menzionati nell’informativa di riferimento; l’importante è che questa informativa, che si può ritenere “minima”, rimandi ad un’informativa più estesa che integri la prima e che sia posizionata in un livello o luogo diverso: in questo caso, la priorità del titolare è la chiarezza ed immediatezza del contenuto a scapito, almeno in una prima fase, della completezza dell’informazione.

Elemento essenziale e indispensabile per rendere valido il consenso appare il principio di trasparenza che prevede l’uso di un linguaggio chiaro, semplice, comprensibile ad una persona di media cultura e facilmente accessibile.

Consenso specifico e granulare

Il Considerando 32 recita: ”il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o per le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.”

L’interessato si dovrà trovare nella possibilità di accettare o rifiutare il consenso per ogni singola finalità prevista di trattamento. Non è lecito raggruppare più finalità all’interno di un unico consenso poiché verrebbe, così facendo, a mancare la libertà di scelta dell’interessato: in questo caso, l’interessato sarebbe obbligato ad accettare in blocco o rifiutare tutte le finalità senza altre possibilità di scelta.

Il Gruppo dei Garanti propone l’efficace esempio dell’azienda che, all’interno della stessa richiesta di consenso, chieda ai suoi clienti l’autorizzazione a trattare i loro dati sia per invio di e-mail pubblicitarie sia per comunicare i dati ad altre società.

Anche il Garante italiano ha più volte ribadito come le attività di marketing rappresentino una finalità diversa, ad esempio, dalla comunicazione a terzi e dalla profilazione: pertanto, per garantire a regolarità dell’insieme dei trattamenti, è necessario acquisire tre distinti consensi per le tre differenti finalità.

Un unico consenso, invece, può coprire più operazioni di trattamento confluenti nella stessa finalità: è la finalità che deve essere oggetto di specifico trattamento non la singola operazione rispondente alla predetta finalità (anche questa regola è stata da tempo recepita dal nostro Garante che ha ribadito come operazioni di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale sono funzionali a perseguire un’unica finalità di marketing con la conseguenza che tale trattamento appare giustificare l’acquisizione di un unico consenso).

Consenso libero

L’elemento di libertà del consenso implica un pieno potere in capo all’interessato di scegliere se accettare o meno un trattamento senza ricevere condizionamenti e vincoli e senza ottenere conseguenze negative in caso di rifiuto a conferire i dati.

Pertanto, il Gruppo dei Garanti ritiene che, in rapporti di squilibrio di potere come tra enti pubblici e cittadino o datore di lavoro e dipendente, sarebbe difficile garantire la libera manifestazione del consenso da parte dell’interessato e, quindi, la base giuridica del trattamento non dovrebbe essere il consenso, bensì un contratto o un obbligo legale. La richiesta del consenso ai dipendenti dovrebbe essere usata per casi eccezionali che non portino nessuna conseguenza al rapporto di lavoro per il dipendente (si porta l’esempio di una troupe cinematografica che sta girando una scena in una determinata area aziendale e il datore di lavoro chiede ai dipendenti che lavorano in quella zona di fornire il consenso ad essere filmati, ovviamente senza che l’eventuale rifiuto a tale trattamento possa comportare ripercussioni negative sul dipendente).

Per valutare se il consenso è liberamente prestato, l’art. 7 comma 4 prevede che: “(…..) si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un  contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.”

L’interessato dovrà prestare particolare attenzione allorché, accanto ad una finalità per il trattamento di dati necessari all’esecuzione di un contratto, sia richiesto il consenso per dati ulteriori non necessari all’esecuzione del contratto. Una circostanza che ricorre – portando l’esempio di una pratica scorretta assai diffusa – quando un titolare vuole condizionare l’accettazione di condizioni contrattuali al consenso per finalità di marketing: “ti fornisco un tale prodotto/servizio a condizione che accetti di ricevere le mie comunicazioni pubblicitarie”. Tale consenso è, quindi, invalido secondo il Regolamento europeo poiché viene a mancare il requisito della libertà del consenso.

Il consenso inequivocabile

Il consenso è inequivocabile quando il titolare è in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali (art. 7 comma 1 del GDPR).

Per avere la certezza del consenso, pertanto, è necessario che il consenso si basi su una dichiarazione orale o scritta, svolta anche per via elettronica, comunque un’azione attiva, concludente. Di conseguenza, l’inattività e il silenzio non possono essere considerati un’indicazione attiva di scelta.

Il consenso deve essere precedente all’inizio del trattamento e deve essere somministrato una volta sola. Si richiederà un nuovo consenso solo se cambiano le finalità del trattamento. Il Gruppo dei Garanti consiglia di controllare la richiesta di consenso ad intervalli regolari per permettere, se necessario, interventi di aggiornamento o modifica.

In presenza di situazioni di rischio per la protezione dei dati – come i trattamenti di categorie particolari di dati, in materia di trasferimenti di dati verso paesi terzi in assenza di adeguate garanzie di cui all’art. 49 del GDPR o in presenza di processi decisionali tra cui la profilazione – il GDPR prevede che il consenso sia esplicito ossia che risulti da una manifestazione di pensiero espressa e non da comportamento concludente. Tale elemento potrà essere ottenuto attraverso la forma scritta; online, l’interessato potrà fornire un consenso esplicito compilando un modulo elettronico, inviando di una e-mail, scansionando un documento che porti la firma dell’interessato o infine attraverso firma digitale o un processo di autenticazione a due fasi (e-mail seguita da un SMS).

Anche l’uso di dichiarazioni orali potrebbe, di per sé, risultare valido per ottenere un consenso esplicito; tuttavia, potrebbe essere difficile per il titolare dimostrare la regolarità del trattamento (principio di accontability).

Revoca del consenso

Il consenso può essere revocato in ogni momento e deve poter essere esercitato con facilità, senza impedimenti, utilizzando, se possibile, gli stessi canali usati per fornire il consenso (se il consenso è ottenuto attraverso mezzi elettronici, l’interessato deve poter revocare il consenso attraverso la stessa interfaccia elettronica).

L’esercizio è gratuito e a forma libera.

La revoca del consenso dell’interessato comporta, in capo al titolare, l’obbligo di cancellare i dati o trasformarli in forma anonima, sempre che il trattamento non possa poggiare su altra base giuridica.

Contesti specifici: i dati dei minori

Allo scopo di tutelare maggiormente i minori ritenuti più vulnerabili e condizionabili, l’art. 8 del GDPR stabilisce che: “qualora si applichi l’articolo 6, paragrafo 1, lettera a), per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni”.

Il GDPR non specifica come verificare l’età dell’interessato e come raccogliere il consenso del genitore nel caso si accerti che si è di fronte ad un minore.

Il WP29 raccomanda un approccio proporzionato che non leda il principio di minimizzazione e che valuti, caso per caso, i rischi insiti nel trattamento e i mezzi tecnologici a disposizione.

Se gli utenti affermano di avere un’età superiore ai 16 anni sarà dovere del titolare verificare che questa affermazione sia vera per non incorrere in un trattamento illecito. Se l’utente dichiara, al contrario, di avere un’età inferiore ai 16 anni, il titolare può accettare questa dichiarazione senza ulteriori controlli, ma dovrà ottenere l’autorizzazione dei genitori e verificare che la persona che fornisce il consenso sia titolare della responsabilità genitoriale. Nei casi a basso rischio, la verifica della responsabilità genitoriale via e-mail può risultare sufficiente, al contrario, nei casi ad alto rischio, può essere opportuno chiedere più prove che possono dimostrare, quanto meno, gli sforzi ragionevoli fatti dal titolare per verificare che il consenso è autorizzato da genitore.

Come indicato nel Considerando 38, il consenso del genitore non è necessario nell’ambito dei servizi di prevenzione o di consulenza offerti direttamente ad un minore come, per esempio, un servizio di protezione dell’infanzia offerto online per mezzo di una chat.

Contesti specifici: la ricerca scientifica

In riferimento all’ambito della ricerca scientifica, il Considerando 33 sembra portare maggiore flessibilità al grado di specificazione e di granularità del consenso: “in molti casi non è possibile individuare pienamente la finalità del trattamento dei dati personali a fini di ricerca scientifica al momento della raccolta dei dati. Pertanto, dovrebbe essere consentito agli interessati di prestare il proprio consenso a taluni settori della ricerca scientifica laddove vi sia rispetto delle norme deontologiche riconosciute per la ricerca scientifica. Gli interessati dovrebbero avere la possibilità di prestare il proprio consenso soltanto a determinati settori di ricerca o parti di progetti di ricerca nella misura consentita dalla finalità prevista”.

In realtà, secondo i Garanti europei, anche il Considerando 33, in linea con i requisiti previsti per un valido consenso, prevede che solo i progetti di ricerca scientifica con finalità ben determinate possono basarsi sul consenso dell’interessato.

Quando le finalità della ricerca non possono essere completamente specificate, il titolare deve individuare altri modi per garantire all’interessato l’esercizio di un valido consenso. Può, per esempio:

• portare a conoscenza dell’interessato gli scopi generali della ricerca e le informazioni già conosciute per fasi specifiche, oltre al piano della ricerca completa che – attraverso il chiarimento dei metodi di lavoro – può compensare la mancanza di specifiche finalità;
• permettere all’interessato di fornire un consenso “a scalare” cioè, con l’avanzare della ricerca e con la determinazione degli scopi, il consenso per le successive fasi può essere ottenuto prima dell’inizio della fase successiva.

In ogni caso, il consenso dovrebbe essere in linea con gli standard etici applicabili alla ricerca scientifica.