Il Consenso al Trattamento dei Dati Personali con il GDPR

Uno dei presupposti affinché il trattamento dei dati personali sia lecito è la prestazione del consenso dell’interessato, come disposto dall’articolo 6 del Regolamento UE 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Che cos’è e cosa s’intende per consenso dell’interessato?

Il consenso dell’interessato viene definito dall’art. 4, par.11, del Regolamento 2016/679, come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

La prestazione del consenso al trattamento dei dati personali è dunque una tutela per l’interessato, che deve essere informato, con un linguaggio semplice e chiaro, ed in forma comprensibile, del trattamento dei suoi dati personali.

Non è possibile inserire il consenso al trattamento dei dati personali in una dichiarazione scritta comprendente anche altre questioni, questo perché non è valido un consenso generale a tutti i punti del contratto, ma è necessario un consenso specifico, separato, e liberamente espresso.

La libertà nell’esprimere il consenso deve essere assoluta, pertanto non si ritiene valido il consenso prestato qualora vi sia l’impossibilità di rifiutare o di revocare il consenso senza subirne un pregiudizio.

Quando il consenso al trattamento può definirsi valido?

Il consenso al trattamento dei dati personali è valido quando sono stati rispettati tutti i presupposti previsti dal Regolamento 2016/679, ovvero:

  • La libera manifestazione della propria volontà.
  • Il consenso specifico al trattamento dei dati.
  • La previa informazione dell’interessato.
  • Una dichiarazione o azione positiva inequivocabile.

La libera manifestazione della volontà.

La valutazione della libera espressione del consenso informato tiene conto anche delle condizioni in cui si è manifestata la volontà. Per evitare “ricatti” che impongano all’interessato di prestare il proprio consenso, pena l’esclusione del servizio, o la mancata esecuzione del contratto, l’inciso 4 dell’articolo 7 del Regolamento stabilisce che “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.”

Pertanto non è possibile condizionare servizi o l’efficacia del contratto, alla prestazione del consenso al trattamento di dati che non sono strettamente connessi con il servizio stesso, o non sono necessari alla sua esecuzione.

Non può definirsi libero neppure il consenso prestato in circostanze di squilibrio di potere, che pongono l’interessato nella posizione di non poter rifiutare il trattamento dei dati personali. In questo caso il fondamento giuridico per il trattamento dei dati personali non può e non deve essere la manifestazione del consenso, come previsto al considerando 43 del RegolamentoPer assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Per potersi definire libero il consenso deve essere granulare, ovvero prestato singolarmente per ogni punto. Se un servizio comporta il trattamento dei dati personali per diverse finalità non può essere prestato un unico consenso che ricomprenda tutto, ma è necessario scandire le singole finalità in modo che l’interessato sia libero di prestare il suo consenso anche solo per alcune di esse.

La libertà, infine, si manifesta non solo nel consenso al trattamento dei dati, ma altresì nella sua revoca. Il consenso al trattamento dei dati è libero quando lo stesso si può revocare in ogni momento senza subire pregiudizi, e con la medesima facilità con cui è stato accordato.

Il consenso specifico al trattamento dei dati.

Il consenso deve essere specifico per il singolo trattamento dei dati proposto, al fine di evitare che l’interessato dia un consenso generico e scarsamente informato sulle singole finalità.

Il titolare del trattamento è perciò obbligato ad una chiara separazione delle informazioni da dare all’interessato, circa il consenso al trattamento dei dati, rispetto alle informazioni su altre questioni.

Di conseguenza se il titolare vuole trattare i dati dell’interessato anche per finalità diverse rispetto a quelle per cui è stato prestato il consenso, deve necessariamente chiedere un nuovo e diverso consenso, a meno che non vi sia un’altra base giuridica che consenta l’utilizzo dei dati.

La previa informazione dell’interessato.

Affinché il consenso possa ritenersi pienamente valido è necessario che l’interessato abbia ricevuto tutte le informazioni tali da consentirgli di decidere con consapevolezza.

Anche in questo caso è compito del titolare del trattamento di garantire all’interessato una corretta informazione, che si ritiene effettuata qualora siano fornite le informazioni minime indispensabili come:

  • L’identità del titolare del trattamento;
  • La finalità di tutti i trattamenti per i quali viene richiesto il consenso;
  • Quali tipi di dati saranno raccolti ed utilizzati;
  • Il diritto alla revoca del consenso;
  • I possibili rischi collegati al trasferimento dei dati;
  • L’utilizzo dei dati per un processo decisionale automatizzato.

Una dichiarazione o azione positiva inequivocabile.

Il consenso dell’interessato deve essere espresso in maniera inequivocabile, ovvero mediante dichiarazione scritta o verbale se registrata. Si ritiene valido anche il consenso espresso tramite mezzi elettronici, a condizione che non siano state utilizzate caselle di adesione preselezionate.

La manifestazione della volontà può avvenire solo positivamente, non essendo valido in tal caso il silenzio assenso o un consenso presupposto da inattività dell’interessato.

È onere del titolare dimostrare che l’interessato ha espresso un valido consenso, mediante la conservazione dei documenti con cui si è espresso lo stesso, per tutto il tempo in cui i dati vengono trattati.

La revoca del consenso al trattamento dei dati personali.

Elemento necessario ai fini della validità del consenso informato è la possibilità di revocarlo in qualunque momento senza difficoltà o pregiudizi per l’interessato. La revoca del consenso però non ha efficacia retroattiva, pertanto il trattamento effettuato in precedenza continua ad avere validità. Una volta effettuata la revoca, il titolare ha l’obbligo di interrompere immediatamente il trattamento dei dati e di cancellare gli stessi, a meno che non vi sia un’altra base legittima che consenta la prosecuzione del trattamento.

Metti al sicuro la tua attività, non rischiare che il trattamento dei dati sia invalido per errori nella manifestazione del consenso informato, siamo qui per risolvere i tuoi dubbi.

Se l’articolo ti è piaciuto condividilo, se hai delle domande contattaci!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *