La norma
Condizioni per il consenso
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
Il consenso nel trattamento dei dati personali
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
Quando un’azienda o un’organizzazione vuole utilizzare i tuoi dati personali (come il tuo nome, indirizzo email, foto, ecc.), spesso deve ottenere il tuo permesso esplicito prima di farlo. Questo permesso è chiamato “consenso“.
Per esempio, immagina di iscriverti a una newsletter su un sito web. Il sito potrebbe chiederti di spuntare una casella che dice “Accetto di ricevere la newsletter”. Spuntando quella casella, stai dando il tuo consenso affinché il sito utilizzi il tuo indirizzo email per inviarti la newsletter.
Non basta solo chiedere il consenso; l’azienda o l’organizzazione deve anche essere in grado di dimostrare che tu hai effettivamente dato il tuo consenso.
Ciò significa che devono tenere una sorta di registrazione o prova che hai acconsentito. Potrebbe essere un log elettronico che mostra quando e come hai dato il tuo consenso, o una copia del modulo che hai compilato.
In pratica, se mai ci fosse una disputa o se le autorità chiedessero all’azienda di mostrare la prova del tuo consenso, l’azienda deve essere in grado di farlo. Questo è importante per proteggere sia gli utenti che le aziende e per assicurare che i dati personali vengano trattati in modo trasparente e rispettoso della privacy.
La chiara richiesta di consenso
2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
Questo passaggio si riferisce alla necessità di ottenere il consenso per l’uso dei dati personali in modo trasparente e giusto. In termini semplici, se un’organizzazione vuole il tuo consenso per usare i tuoi dati personali e questo consenso è parte di un documento che include anche altre informazioni o accordi, la richiesta di consenso deve essere evidenziata in modo che tu la possa facilmente distinguere dal resto del testo.
Per esempio, se stai firmando un contratto di lavoro e l’azienda vuole anche usare la tua foto per il sito web dell’azienda, la parte del contratto che chiede il tuo consenso per usare la tua foto dovrebbe essere separata e chiara, non nascosta in mezzo a clausole legali complicate.
Inoltre, il linguaggio usato per chiedere il tuo consenso deve essere semplice e diretto, senza termini complicati o ambiguità. Questo è fatto per assicurarsi che tu capisca esattamente a cosa stai acconsentendo.
Infine, se una parte di questa dichiarazione viola le regole della privacy (come quelle stabilite nel GDPR, il regolamento generale sulla protezione dei dati dell’UE), allora quella parte non è valida o “vincolante”. Questo significa che anche se hai firmato il documento, l’organizzazione non può utilizzare quella parte per giustificare l’uso dei tuoi dati personali.
Il diritto di revocare il proprio consenso
3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
Questo testo stabilisce il diritto di una persona di annullare il proprio consenso all’uso dei suoi dati personali in qualsiasi momento. In termini semplici, significa che anche se hai dato il permesso a un’organizzazione di usare i tuoi dati (ad esempio, iscrivendoti a una newsletter), hai sempre il diritto di cambiare idea e ritirare quel permesso.
Per esempio, se ti sei iscritto a un servizio di abbonamento online e hai accettato che traccino le tue abitudini di acquisto, puoi decidere in seguito di non permetterlo più. Dovrebbe esserci un modo facile per farlo, come un link per cancellare l’iscrizione nella newsletter stessa.
Importante è che la revoca del tuo consenso non influisce sulla legalità di qualsiasi trattamento dei tuoi dati che è avvenuto prima che tu ritirassi il consenso. In altre parole, non puoi chiedere a un’organizzazione di cancellare o ritirare dati o risultati che sono stati creati legittimamente mentre avevi dato il consenso.
Il testo specifica anche che devi essere informato di questo diritto prima di dare il tuo consenso. Questo assicura che quando dai il tuo permesso, sei pienamente consapevole che puoi anche ritirarlo in futuro con la stessa facilità con cui lo hai dato.
Il consenso libero
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
Questo punto riguarda la valutazione della libertà con cui viene dato il consenso al trattamento dei dati personali. In termini semplici, si tratta di assicurarsi che il tuo “sì” sia davvero un “sì” dato senza pressioni indebite.
Ad esempio, immagina di voler scaricare un’applicazione per il tuo smartphone. L’app richiede il tuo consenso per accedere alla tua lista contatti, ma questa informazione non sembra essere necessaria per il funzionamento dell’app stessa. Se l’app ti dice che puoi usarla solo se dai il tuo consenso a condividere i tuoi contatti, questo potrebbe non essere considerato un consenso “liberamente prestato”, perché ti senti forzato a scegliere tra rinunciare all’app o condividere più dati di quanti tu sia a tuo agio nel condividere.
Il testo che hai citato sottolinea che, per essere considerato valido, il consenso non dovrebbe essere una condizione obbligatoria per ricevere un servizio, a meno che i dati richiesti non siano strettamente necessari per fornire quel servizio. In altre parole, non si può forzare qualcuno a dare più dati personali di quanto è effettivamente necessario per il servizio o il contratto in questione. Questo principio è importante per proteggere la privacy e l’autonomia delle persone nell’era digitale.
L’espressione del consenso
Inoltre, il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile, che indichi una decisione specifica, informata e inequivocabile di accettare il trattamento dei dati personali che riguardano l’interessato.
Questo passaggio chiarisce che per essere valido, il consenso al trattamento dei dati personali deve essere dato attraverso un’azione chiara e decisiva. Ciò significa che non può essere qualcosa di implicito o assunto, ma deve essere un gesto chiaro che non lascia spazio a dubbi.
Per esempio, se visiti un sito web e questo ti chiede di accettare l’utilizzo dei cookie per personalizzare la tua esperienza, il consenso valido non può essere semplicemente continuare a navigare sul sito. Invece, potresti dover cliccare esplicitamente su un bottone che dice “Accetto” per dimostrare che comprendi e accetti attivamente che i tuoi dati vengano utilizzati in quel modo.
Il testo sottolinea anche che il consenso deve essere informato, il che significa che prima di decidere se dare o meno il tuo consenso, devi avere tutte le informazioni necessarie su cosa comporta esattamente quel consenso. Dovresti sapere quali dati personali verranno trattati, per quale scopo e come. Solo con tutte queste informazioni puoi prendere una “decisione specifica, informata e inequivocabile” per accettare il trattamento dei tuoi dati personali.
I criteri di cui all’art. 7 del GDPR
L’articolo 7 del Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce criteri rigorosi per la validità del consenso al trattamento dei dati personali. Il consenso deve essere un atto volontario, informato e univoco da parte dell’individuo, e deve essere altrettanto semplice revocarlo quanto è stato darlo.
Questo articolo si collega all’articolo 6, che elenca le condizioni per il trattamento legittimo dei dati personali, e il consenso è uno di questi.
La giurisprudenza della Corte Europea che diverse raccomandazioni del Consiglio d’Europa hanno riconosciuto il consenso come una base legale per il trattamento dei dati personali.
In pratica, questo significa che le organizzazioni devono ottenere un consenso chiaro e positivo prima di poter trattare i dati personali degli individui, e gli individui hanno il diritto di essere informati su come i loro dati verranno usati prima di dare il loro consenso.
Inoltre, hanno il diritto di ritirare il loro consenso in qualsiasi momento, e il ritiro del consenso non dovrebbe essere più complicato dell’atto di dare il consenso.
la definizione formale di consenso,
L’articolo 4, numero 11, del GDPR fornisce la definizione formale di consenso, che è un concetto chiave nel regolamento. Secondo questa definizione, il consenso deve essere una manifestazione di volontà che sia:
- Libera: l’individuo deve avere una reale scelta e controllo sul fatto di dare o meno il proprio consenso. Non deve esserci alcuna pressione o costrizione.
- Specifica: il consenso deve essere riferito a un preciso scopo del trattamento dei dati e non può essere troppo generico o vago.
- Informata: l’individuo deve avere tutte le informazioni necessarie per comprendere a cosa sta dando il consenso.
- Inequivocabile: deve essere chiaro che l’individuo ha intenzione di dare il suo consenso, senza ambiguità.
Inoltre, il consenso deve essere espresso attraverso un’azione positiva, che può essere una dichiarazione scritta o un comportamento che non lascia dubbi sull’intenzione dell’individuo di consentire il trattamento dei propri dati personali. Questo esclude la possibilità di utilizzare il silenzio o l’inattività dell’individuo come base per assumere che abbia dato il consenso.
Questa definizione enfatizza la necessità di un approccio centrato sull’individuo nel trattamento dei dati personali, garantendo che le persone abbiano un controllo effettivo sui propri dati e sulle modalità con cui vengono utilizzati.
caso Orange Romania SA
La sentenza della Corte di Giustizia dell’Unione Europea (CGUE) del 11 novembre 2020, nel caso Orange Romania SA contro ANSPDCP (Autorità Nazionale di Sorveglianza per la Protezione dei Dati Personali), con il numero di causa C-61/19, fornisce un chiarimento importante sul concetto di consenso nel contesto del GDPR.
In questo caso specifico, la Corte ha stabilito che la presenza di una clausola di consenso preselezionata in un contratto di servizi di telecomunicazione, che autorizza la raccolta e la conservazione dei documenti d’identità dei clienti, non può essere considerata come un consenso valido ai sensi del GDPR.
Questo perché il consenso deve essere un atto attivo e non può essere presupposto o implicito.
La decisione sottolinea che il consenso deve essere dato attraverso un’azione chiara e positiva da parte dell’utente, come spuntare una casella non preselezionata o firmare una dichiarazione. Inoltre, questo consenso deve essere separato da altre questioni contrattuali per assicurare che sia dato liberamente e non come parte di un obbligo contrattuale.
La sentenza ribadisce l’importanza che il consenso sia espresso in modo chiaro e distinto da altri termini o condizioni, rafforzando il principio che i titolari dei dati devono avere il pieno controllo sul trattamento dei loro dati personali.
Le sanzioni
Il trattamento di dati personali senza un consenso validamente ottenuto o in caso di revoca del consenso da parte dell’individuo costituisce una violazione delle norme del GDPR, come delineato nell’articolo 83, paragrafo 5, lettera a).
Questo articolo specifica le sanzioni amministrative che possono essere imposte per violazioni dei principi fondamentali relativi al trattamento dei dati personali.
Le sanzioni per tali infrazioni sono particolarmente severe, riflettendo l’importanza che il regolamento attribuisce alla protezione dei dati personali. Le ammende possono raggiungere fino a 20 milioni di euro o, nel caso di imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, a seconda di quale sia l’importo maggiore.
Queste pene rafforzate sono un chiaro segnale dell’intenzione del legislatore europeo di assicurare il rispetto dei diritti dei cittadini e di dissuadere le organizzazioni dal trascurare le loro responsabilità in materia di protezione dei dati.
Caratteristiche essenziali
La definizione fornita dall’articolo 4, numero 11 del GDPR stabilisce i requisiti essenziali per la validità del consenso nel contesto del trattamento dei dati personali. Questi requisiti sono:
- Libertà: Il consenso deve essere dato senza alcun tipo di costrizione, pressione o condizionamento, sia nella formazione che nell’espressione della volontà dell’individuo.
- Specificità: Ogni consenso deve riferirsi a un trattamento preciso dei dati, non può essere generico ma deve essere legato a una finalità ben determinata.
- Carattere informato: L’individuo deve essere pienamente informato e consapevole delle implicazioni e delle caratteristiche del trattamento a cui saranno sottoposti i suoi dati personali.
- Inequivocabilità: Non devono esserci dubbi sull’intenzione dell’individuo di dare il proprio consenso, né sul fatto che il consenso sia stato dato né su come è stato espresso.
- Manifestazione espressa o azione positiva: Il consenso deve essere manifestato attraverso una dichiarazione chiara o attraverso un’azione che non lasci spazio a interpretazioni, confermando l’intenzione dell’individuo di permettere il trattamento dei propri dati personali.
Questi criteri riflettono l’importanza che il GDPR attribuisce al diritto degli individui di controllare i loro dati personali e alla necessità di garantire che il consenso sia dato in modo trasparente e con piena cognizione di causa.
Il requisito della libertà
Il requisito di libertà del consenso è un principio fondamentale che sottolinea l’importanza di un’autentica scelta libera da parte dell’individuo quando fornisce il proprio consenso al trattamento dei dati personali.
Il Considerando 42 afferma che non si può ritenere che il consenso sia stato liberamente dato se l’individuo non ha una vera libertà di scelta, cioè se non può rifiutare o revocare il consenso senza subire conseguenze negative.
Questo implica che il consenso non può essere considerato valido se l’individuo si sente costretto a dare il consenso o se ha motivo di temere ripercussioni in caso di rifiuto.
Il Considerando 43 del GDPR sottolinea che per garantire che il consenso sia libero, non dovrebbe essere utilizzato come base legittima per il trattamento dei dati personali quando esiste uno squilibrio significativo tra l’individuo e il titolare del trattamento.
Il Considerando 43 (C43) del Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che la libertà del consenso deve essere messa in dubbio quando l’individuo non ha la possibilità di fornire un consenso separato per trattamenti diversi di dati personali, anche quando ciò sarebbe appropriato nel contesto specifico.
Questo implica che per essere considerato valido, il consenso deve essere dato in modo specifico e granulare, permettendo alle persone di scegliere in maniera indipendente per ciascun tipo di trattamento dei loro dati personali.
Se questa opzione non è offerta, non si può presumere che il consenso sia stato dato liberamente, e quindi potrebbe non essere un fondamento legittimo per il trattamento dei dati.
L’ambito lavorativo
Questo è particolarmente rilevante in situazioni in cui il titolare è in una posizione di potere rispetto all’individuo, come può accadere nel contesto lavorativo o in relazioni simili, dove l’individuo potrebbe sentire di non avere altra scelta che acconsentire al trattamento dei propri dati.
Queste indicazioni mirano a proteggere gli individui da pratiche coercitive o ingannevoli e a rafforzare il controllo degli stessi sui loro dati personali, assicurando che ogni consenso sia dato in modo genuino e consapevole.
Il riferimento allo squilibrio evidente nelle relazioni tra il titolare del trattamento e l’individuo, menzionato nel GDPR, delimita specificamente le situazioni in cui il consenso potrebbe non essere considerato libero a causa di una disparità di potere.
Questo non si riferisce solo al potere negoziale, ma a qualsiasi forma di potere che una parte possa avere sull’altra.
In particolare, il Considerando del GDPR indica che questa condizione si verifica quando il titolare del trattamento è un’autorità pubblica. In tali circostanze, vi è un’elevata probabilità che l’individuo non possa esprimere un consenso veramente libero a causa della pressione o dell’influenza che un’autorità pubblica può esercitare.
Di conseguenza, in questi contesti, il consenso potrebbe non essere considerato valido se si ritiene che l’individuo non abbia avuto un’autentica libertà di scelta.
Questa precisazione riduce il margine di interpretazione e sottolinea la necessità di un’analisi attenta delle dinamiche di potere nelle relazioni tra titolare del trattamento e individuo, per garantire che il consenso sia stato fornito in modo genuino e senza costrizioni.
Le Linee Guida riconoscono che uno squilibrio di potere può influenzare la capacità dell’individuo di fare una scelta veramente libera. Questo è particolarmente vero nei rapporti di lavoro, dove il dipendente potrebbe sentirsi costretto a dare il consenso per paura di possibili conseguenze negative in caso di rifiuto.
In sostanza, le Linee Guida enfatizzano la necessità di un consenso autentico e non influenzato da fattori esterni, e forniscono un’interpretazione più precisa su quando e come il consenso possa essere considerato valido in contesti caratterizzati da un potenziale squilibrio di potere.
In questo modo, si riconosce che all’interno del rapporto di lavoro potrebbe essere difficile per i lavoratori rifiutare o revocare il consenso senza temere ripercussioni negative, e quindi altre basi legali per il trattamento dei dati personali sono considerate più appropriate in tali circostanze.
Il consenso nei contratti
L’articolo 7, paragrafo 4, del Regolamento Generale sulla Protezione dei Dati (GDPR), insieme al Considerando 43 (C43), enfatizza che il consenso non può essere considerato libero se è una condizione necessaria per l’esecuzione di un contratto, ma il trattamento dei dati non è necessario per il contratto stesso.
In altre parole, il consenso deve essere un atto volontario e non può essere forzato o indotto come requisito per la conclusione di un contratto, a meno che il trattamento dei dati non sia essenziale per adempiere a quel contratto.
Questa disposizione mira a prevenire situazioni in cui il consenso è dato solo perché altrimenti il contratto non potrebbe essere eseguito, anche quando il trattamento dei dati non è strettamente necessario per tale esecuzione.
Lo scambio servizi in cambio di dati
il consenso dato per accedere a beni o servizi può essere soggetto a una presunzione di invalidità, ma è importante riconoscere che questa è una presunzione iuris tantum, che può essere superata.
Questa interpretazione permette di evitare conflitti tra l’articolo 7 del GDPR e la direttiva 2019/770/UE.
La Direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, datata 20 maggio 2019, è una normativa che si occupa di regolamentare determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali. Questa direttiva mira a stabilire un equilibrio tra la protezione dei consumatori e la promozione dell’innovazione e dello sviluppo del mercato digitale all’interno dell’Unione Europea
Uno degli aspetti chiave della direttiva è la possibilità di “pagare con i dati”, ovvero la considerazione dei dati personali come possibile corrispettivo in un contratto di fornitura di contenuti o servizi digitali.
Inoltre, il consenso deve essere una vera espressione di autodeterminazione informativa e non semplicemente una formalità che legittima il potere negoziale o tecnologico di una parte. I
In altre parole, affinché il modello di scambio “servizi in cambio di dati” sia giuridicamente valido, il consenso deve riflettere una reale scelta informata e non essere solo un’apparenza utilizzata per mascherare un’asimmetria nel potere contrattuale.
La sentenza della Cassazione n. 17278 del 2 luglio 2018
La sentenza della Cassazione n. 17278 del 2 luglio 2018, pur riferendosi alla legislazione precedente al GDPR, sottolinea un principio importante: l’ordinamento giuridico non proibisce lo scambio di dati personali.
Tuttavia, richiede che tale scambio sia basato su un consenso libero e pienamente volontario, senza alcuna forma di costrizione.
Questo principio riflette l’importanza del consenso consapevole e volontario nell’ambito della protezione dei dati personali, un concetto che è stato ulteriormente rafforzato e dettagliato con l’introduzione del GDPR.
La sentenza n. 17278 del 2 luglio 2018 della Corte di Cassazione italiana riguarda il consenso per l’invio di newsletter e l’uso dei dati personali.
La sentenza è stata emessa in risposta a un ricorso presentato dall’Autorità Garante per la protezione dei dati personali contro una società che offriva un servizio di newsletter su tematiche legate al fisco, al diritto e al lavoro.
La questione centrale era se fosse legittimo condizionare l’accesso a un servizio di newsletter all’accettazione di ricevere “informazioni promozionali”.
La Corte di Cassazione ha accolto il ricorso del Garante della privacy, stabilendo che il consenso al trattamento dei dati personali deve essere specifico e informato. In altre parole, l’utente deve essere consapevole di quali dati personali saranno utilizzati e per quali scopi specifici.
La Corte ha quindi chiarito che i gestori di siti web possono condizionare l’accesso ai loro servizi all’accettazione, da parte degli utenti, di ricevere messaggi promozionali, a patto che il servizio offerto non sia unico o essenziale, ovvero non infungibile o irrinunciabile. Questo significa che se esistono alternative disponibili e l’utente può rivolgersi ad altri fornitori per lo stesso servizio, il gestore del sito ha il diritto di richiedere tale consenso come prerequisito per l’utilizzo del servizio.
La sentenza in questione ribadisce che il consenso al trattamento dei dati personali deve essere espresso in maniera specifica e basata su informazioni adeguate.
Inoltre, viene riconosciuto al gestore del sito il diritto di rendere l’accesso a determinati servizi condizionato all’accettazione, da parte dell’utente, di ricevere materiale promozionale.
Questo implica che, a condizione che l’utente sia adeguatamente informato e dia un consenso specifico, il gestore del sito può legittimamente richiedere l’accettazione di comunicazioni promozionali come parte delle condizioni per l’utilizzo del servizio.
La decisione giudiziaria enfatizza che, ai sensi dell’articolo 23 del Codice della privacy, il consenso al trattamento dei dati personali è considerato valido e permette ai gestori di siti internet che offrono servizi non essenziali—servizi ai quali l’utente può rinunciare senza subire un onere significativo—di subordinare la fornitura del servizio al consenso dell’utente per l’utilizzo dei suoi dati a scopi pubblicitari.
Tuttavia, affinché il consenso sia considerato valido, deve essere dato in modo chiaro e inequivocabile per tali finalità, il che implica anche la necessità di specificare i settori merceologici o i tipi di servizi a cui i messaggi pubblicitari sono destinati.
La sentenza evidenzia che il consenso, nel contesto del trattamento dei dati personali, non può essere considerato equivalente a un normale atto negoziale.
I criteri di “libertà”, “informazione” e “specificità” del consenso stabiliscono un livello di validità molto più alto rispetto a quello richiesto per gli atti di natura patrimoniale.
Questo standard elevato è pensato per assicurare che il consenso rifletta una vera espressione di volontà da parte dell’individuo, conformemente alle disposizioni dell’articolo 6 del GDPR, che mira a legittimare il trattamento dei dati personali sulla base di tale consenso.
Riguardo alla normativa introdotta dalla direttiva 2019/770/UE, gli autori sottolineano che il contratto per la fornitura di servizi e contenuti digitali si colloca logicamente dopo l’ottenimento del consenso, il quale rappresenta il requisito imprescindibile e la condizione legittimante preliminare per un trattamento lecito dei dati personali, a meno che non vi sia un’altra base giuridica che lo permetta.
In altre parole, il consenso è visto come un passaggio fondamentale e antecedente che deve essere soddisfatto prima che possa esserci un trattamento legittimo dei dati personali nell’ambito di un contratto di servizi e contenuti digitali.
Solo dopo aver ottenuto il consenso si può procedere alla stesura del contratto, che regola gli aspetti economici e stabilisce gli obblighi delle parti, come l’accesso a servizi o contenuti digitali in cambio della fornitura di dati personali.
Non è concepibile, dal punto di vista legale, che un contratto possa costringere una parte a dare il proprio consenso al trattamento dei dati personali; un tale consenso, se imposto da un obbligo contrattuale, sarebbe incompatibile con il principio di “consenso libero” e potrebbe rendere il contratto nullo per violazione di norme imperative che prevedono la non coercibilità del consenso.
Gli esperti affermano che anche quando non c’è una pressione evidente, la decisione di una persona può essere influenzata se deve dare il consenso per accedere a un servizio o prodotto.
Se il servizio o prodotto non è essenziale per i suoi diritti fondamentali e il consenso per l’uso dei dati non è necessario per ottenere il servizio, allora non dovrebbe essere obbligatorio dare il consenso. In pratica, se non ti serve davvero dare i tuoi dati per usare un servizio, non dovrebbero chiederteli.
La specificità del consenso
Il consenso specifico è un principio importante nel trattamento dei dati personali.
Significa che per ogni diverso uso dei dati personali, che ha uno scopo ben definito, è necessario ottenere un consenso separato.
Se, ad esempio, un’azienda vuole usare i dati di una persona per due scopi diversi, come il marketing e l’analisi dei dati, deve chiedere alla persona di approvare entrambi gli usi con due consensi distinti.
Questo assicura che le persone siano pienamente informate e d’accordo su ogni singolo modo in cui i loro dati verranno usati.
Il principio di specificità e granularità del consenso, insieme al principio di limitazione dello scopo, funziona come una protezione contro l’uso eccessivo dei dati personali.
Questo significa che quando dai il tuo consenso per l’uso dei tuoi dati, devi essere chiaro su ogni singolo scopo per cui i tuoi dati verranno usati.
Non si può dare un consenso che copra più usi in una volta sola se questi usi sono diversi tra loro.
Questo aiuta a prevenire che i dati vengano usati per scopi diversi da quelli inizialmente previsti senza che tu lo sappia. Per esempio, se accetti che i tuoi dati vengano usati per ricevere newsletter, questo non significa che l’azienda possa usarli anche per analisi di mercato, a meno che tu non dia un consenso separato per quello.
Il consenso informato
Il consenso informato è un concetto fondamentale nella protezione dei dati personali.
Significa che prima di poter dare il proprio consenso per l’uso dei dati, una persona deve ricevere tutte le informazioni necessarie in modo chiaro e dettagliato.
Queste informazioni devono essere fornite da chi gestisce i dati (il “titolare”) e devono rispettare le leggi vigenti.
In questo modo, la persona può decidere in modo consapevole se permettere o meno l’uso dei suoi dati.
La Corte di Cassazione in Italia ha specificato che il consenso è valido solo se dato liberamente per un uso dei dati ben definito e compreso dalla persona.
Nel caso specifico, è stato determinato che il consenso dato per il trattamento dei dati personali da parte di una piattaforma web non era valido. Questa piattaforma era progettata per creare profili reputazionali di individui o entità giuridiche, basandosi su un algoritmo che assegna punteggi di affidabilità.
La validità del consenso è stata messa in dubbio a causa delle modalità con cui i dati venivano trattati.
La sentenza n. 14381 del 24 marzo 2021 della Corte di Cassazione italiana
La Corte ha ribadito che il consenso deve essere espresso in modo informato e inequivocabile, con una dichiarazione o un’azione positiva chiara da parte dell’interessato, affinché il trattamento dei dati personali sia considerato legittimo
In questa sentenza, la Corte di Cassazione ha anche sottolineato che il consenso non può essere considerato valido se non è stato espresso in modo chiaro e consapevole, e che il titolare del trattamento dei dati deve fornire informazioni dettagliate sull’uso dei dati, comprese le finalità specifiche del trattamento e i settori merceologici o dei servizi a cui i messaggi pubblicitari saranno riferiti.
Questo assicura che l’interessato possa esercitare il proprio diritto di autodeterminazione informato.
La trasparenza della informativa
Per garantire che il consenso sia dato in modo consapevole e autentico, il C42 sottolinea che la dichiarazione di consenso fornita dall’ente che tratta i dati deve essere scritta in modo che sia facile da capire e da raggiungere, specialmente per il gruppo di persone a cui è indirizzata. Deve usare un linguaggio semplice e chiaro ed essere priva di condizioni ingiuste o ingannevoli. Questo assicura che le persone possano esprimere la loro volontà in modo informato e vero.
L’ Ordinanza n. 27325 del 24 marzo 2021
L’Ordinanza n. 27325 del 24 marzo 2021 della Corte di Cassazione italiana ha stabilito che, in caso di cambio del titolare del trattamento dei dati personali e genetici, è necessario rinnovare il consenso degli interessati.
Questa decisione è stata presa in risposta a un ricorso presentato dal Garante per la protezione dei dati personali in relazione al trasferimento di una banca dati genetica da un titolare originario a un nuovo soggetto.
La Corte ha sottolineato che, anche se il trasferimento dei dati è consentito, è fondamentale che gli interessati siano informati del cambiamento e diano nuovamente il loro consenso per il trattamento dei dati.
La Corte ha anche ricordato che, secondo una precedente sentenza (n. 17143 del 17 agosto 2016), il cessionario dei dati personali non può utilizzarli per fini promozionali senza aver fornito l’informativa prescritta e ottenuto il consenso rinnovato.
La sentenza citata stabilisce che il consenso per il trattamento dei dati personali è intrinsecamente connesso alla figura del titolare dei dati (intuitus personae). Questo significa che, in caso di un cambio del responsabile del trattamento, è necessario fornire nuovamente informazioni dettagliate agli interessati e acquisire il loro consenso una seconda volta.
Le caratteristiche della informativa
L’adeguatezza e la comprensibilità dell’informativa sono essenziali per assicurare che la persona interessata sia veramente consapevole delle caratteristiche e delle conseguenze del trattamento dei suoi dati personali.
Questo è particolarmente importante considerando le specifiche esigenze dei potenziali destinatari dell’informativa.
Per quanto riguarda il consenso informato, il C42 enfatizza che l’individuo dovrebbe essere chiaramente informato, al minimo, sull’identità del titolare del trattamento e sulle finalità per cui i propri dati saranno trattati.
Il Gruppo di lavoro sulla protezione dei dati (WP) raccomanda di informare chiaramente le persone su vari aspetti quando si raccolgono i loro dati personali.
Questo include spiegare per quale motivo si stanno raccogliendo e usando i loro dati, quali tipi di dati vengono trattati, assicurare che le persone sappiano che possono ritirare il loro consenso in qualsiasi momento, informarle se i loro dati verranno usati per prendere decisioni automatiche (come specificato nell’articolo 22, paragrafo 2, lettera c) e avvisarle dei rischi che potrebbero derivare dal trasferire i loro dati in paesi che non hanno le stesse forti leggi sulla protezione dei dati, come descritto nell’articolo 46.
Il consenso deve essere chiaro e non ambiguo
Il consenso deve essere chiaro e non ambiguo, sia per quanto riguarda la sua natura sia per il fatto che sia stato realmente dato. Ciò implica una chiara comprensione del cosa, come e quanto del consenso fornito, soprattutto perché il Regolamento Generale sulla Protezione dei Dati (GDPR) permette diverse modalità per esprimere tale consenso.
Il consenso per usare i dati personali può essere dato in diversi modi: può essere scritto, anche registrato come audio, o può essere un’azione chiara che mostra che sei d’accordo. L’importante è che sia assolutamente chiaro e che non ci siano dubbi su cosa stai accettando.
Il GDPR stabilisce che il consenso deve essere inequivocabile, sia che si tratti di un consenso generale sia che si tratti di un’azione specifica che dimostri l’accettazione. Questo significa che ogni modo utilizzato per dare il consenso, sia esso un dichiarazione ufficiale o un gesto concreto, deve lasciare ben chiaro che la persona è d’accordo con il trattamento dei suoi dati personali.
Quando usi internet, è molto importante che tu dia il tuo permesso in modo chiaro per l’uso dei tuoi dati personali.
A volte, le impostazioni dei siti web possono rendere questo permesso più o meno ovvio.
Un modo valido per dare il tuo permesso è spuntare delle caselline o fare qualcosa che mostri chiaramente che sei d’accordo con come vogliono usare i tuoi dati.
L’inefficiacia del silenzio
Il silenzio o non fare nulla non può essere considerato come un consenso valido quando si tratta di accettare l’uso dei propri dati personali online.
Anche le caselle già spuntate in anticipo da qualcun altro non contano come un consenso valido.
Il consenso deve essere un’azione chiara e volontaria, come spiegato nell’articolo 4, numero 11, del GDPR. Inoltre, la Corte di Giustizia dell’Unione Europea ha chiarito che se una casella viene spuntata in anticipo da chi offre il servizio, prima che tu firmi un contratto, questo non dimostra che hai dato il tuo consenso in modo valido.
Il consenso ai fini del marketing
Quando si parla di dare il consenso per ricevere materiale di marketing, la Corte di Cassazione italiana ha specificato che le aziende non possono inviarti email per chiederti di rinnovare il tuo consenso al marketing (una pratica nota come “recupero consensi”) senza che tu abbia già dato il tuo permesso per lo stesso tipo di comunicazioni.
In altre parole, non possono contattarti per chiederti di accettare di ricevere pubblicità se non hai già accettato in precedenza.
Se hai bisogno di dare il tuo consenso per l’uso dei tuoi dati personali, e questo consenso fa parte di un documento che include anche altre informazioni, la richiesta del tuo consenso deve essere fatta in modo che si distingua chiaramente dal resto del testo.
Questo significa che dovrebbe essere facile da trovare, da capire e scritta in un linguaggio semplice. Se una parte di questo documento non rispetta le regole del GDPR, quella parte non sarà valida.
Lo scrolling
Scorrere la pagina web (scrolling) non è considerato un consenso chiaro e positivo all’uso dei dati personali. Questa azione non soddisfa il requisito di un’azione esplicita richiesta per dare il proprio consenso. Inoltre, se il consenso fosse dato solo con lo scrolling, sarebbe difficile per l’utente poi ritirare quel consenso con la stessa facilità.
Questo è stato specificato nelle Linee guida 5/2020 dell’European Data Protection Board riguardo al consenso.
La libertà di forma e la relativa deroga
In deroga al principio di libertà di forma nella prestazione del consenso, il GDPR prevede tuttavia che tale manifestazione di volontà debba essere esplicita in relazione al trattamento di dati sensibili (art. 9), al trasferimento di dati personali a Paese terzo od organizzazione internazionale in assenza di decisione di adeguatezza e di garanzie adeguate (art. 49, par. 1, lett. a), nonché in riferimento a processi decisionali automatizzati (art. 22, par. 2, lett. c). Il principio di libertà di forma nella prestazione del consenso va tuttavia temperato con l’onere probatorio posto in capo al titolare del trattamento dall’art. 7, par. 1.
La prova del consenso
Il Considerando 42 chiarisce che chi gestisce i dati personali (il “titolare del trattamento”) deve poter dimostrare che la persona (l'”interessato”) ha dato il suo consenso per l’uso dei suoi dati. Questo concetto si allinea al principio di responsabilità del GDPR, che dice che chi usa i dati deve sempre poter dimostrare di seguire le regole.
In Italia, una grande novità rispetto alle regole precedenti è che ora si può dimostrare il consenso in qualsiasi modo, non solo per iscritto.
Questo vale per i dati normali, mentre per i dati sensibili, il consenso deve essere più formale.
Dopo aver smesso di utilizzare i dati personali di qualcuno, chi li ha raccolti deve conservare le prove che ha ottenuto il permesso di usarli per un certo tempo.
Questo è importante perché, se qualcuno dovesse sostenere che il permesso non è stato dato nel modo giusto, chi ha raccolto i dati può mostrare queste prove per difendersi.
L’Autorità Garante per la protezione dei dati personali (GPDP) in Italia ha multato una società perché non è riuscita a dimostrare che aveva ottenuto un consenso valido dagli utenti per usare i loro dati per scopi commerciali o promozionali. Il problema era che alcuni permessi erano già spuntati quando gli utenti compilavano un modulo online, inclusi quelli per il marketing, e anche dopo la registrazione via e-mail, i consensi che avrebbero dovuto essere opzionali erano presentati come se fossero già stati dati. I
Le Linee guida specificano che il permesso di usare i dati personali deve essere ottenuto prima di iniziare a trattarli.
Se ci sono cambiamenti importanti nel modo in cui i dati vengono usati, per esempio nelle ragioni per cui vengono raccolti o nelle conseguenze per gli utenti, allora bisogna chiedere di nuovo il permesso e ottenerlo prima di procedere.
