A cura di Damiana Lesce, Paola Lonigro e Valeria De Lucia
La oramai prossima efficacia operativa del Regolamento 2016/679 (25 maggio 2018) pone una serie di interrogativi. Tra gli altri, la validità del consenso al trattamento dei dati raccolto, sotto la vigenza del Codice Privacy, prima della sua entrata in vigore e, quindi, la eventuale necessità di dover procedere ad una nuova raccolta del consenso.
La risposta a tale interrogativo è data dallo stesso Regolamento. Ai sensi del Considerando 171 “qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l'interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento”.
Il tema è, quindi, non è quello di raccogliere un nuovo consenso bensì quello di verificare se il consenso già raccolto sia conforme alle prescrizioni del Regolamento.
Qualora la verifica portasse ad una risposta negativa, sarà necessario approntare tutte le misure necessarie per l’adeguamento alla nuova normativa.
LA DISCIPLINA DEL CONSENSO
La disciplina del consenso è contenuta sia nei Considerando sia in alcuni articoli specifici del Regolamento. Qui di seguito una sintesi dei principi generali.
Il consenso dell’interessato si esprime in qualsivoglia manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art. 4 del Regolamento)
Il trattamento di dati personali, per essere lecito, dovrebbe fondarsi sul consenso dell’interessato oppure su altra base legittima prevista per legge dal Regolamento o dal diritto dell’Unione o degli Stati membri, tenuto conto della necessità di ottemperare all’obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso (Considerando 40).
In applicazione di quanto sopra: il trattamento dei dati è lecito solo e nella misura in cui ricorra una delle condizioni previste dall’art. 6 del Regolamento; la lettera a) del primo comma prevede: “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.
Per assicurare la libertà di espressione del consenso è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento; ciò specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica (Considerando 43).
Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano.
L’accettazione al trattamento può essere rilasciata mediante dichiarazione scritta (anche attraverso mezzi elettronici) oppure in forma orale (Considerando 32).
Non dovrebbe configurare consenso il silenzio, l’inattività o la preselezione di caselle.
Quindi, è necessario un qualche “comportamento” che indichi chiaramente che l’interessato accetta il trattamento proposto.
Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
Quando il trattamento è basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del Regolamento è vincolante.
Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto (Art. 7 del Regolamento).
L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato deve essere informato della possibilità di revocarlo. Il consenso è revocato con la stessa facilità con cui è accordato (Art. 7 del Regolamento).
L’articolo 9, paragrafo 1, dispone il divieto di trattamento dei dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Una delle deroghe a tale divieto è prevista dal comma 2: il caso in cui l'interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto.
LE SANZIONI
Come innanzi detto, si ribadisce la necessità di verificare che il consenso al trattamento dei dati raccolto prima dell’entrata in vigore del Regolamento sia in regola con la disciplina che entrerà in vigore nel maggio 2018.
L’articolo 83, paragrafo 4, assoggetta alla sanzione fino a 20 milioni di euro/4% fatturato annuo mondiale totale delle imprese la violazione dei principi a base del trattamento, comprese le condizioni relative al consenso, a norma, tra gli altri degli articoli 6 (“liceità del trattamento”), 7 (“condizioni per il consenso”) e 9 (“trattamento di categorie particolari di dati personali”).