Listen to this article! Getting your Trinity Audio player ready... |
Soprattutto in ambito aziendale, è ancora nebbioso il sentiero in materia di GDPR, la nuova normativa Europea entrata in vigore poche settimane or sono.
E, proprio alle aziende, intende rivolgersi il presente articolo, alla luce delle nuove Linee Guide del Gruppo di lavoro WP29.
Le linee guida adottano un approccio rigido rispetto ai requisiti del consenso al trattamento dei dati personali.
Il consenso è identificato “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. La conseguenza di tale definizione è che qualsiasi tentativo di condizionare il consenso controprestazioni e qualsiasi consenso prestato quando c’è uno sbilanciamento tra le posizioni di forza delle parti (e.g. nel rapporto di lavoro) rischia di rendere il consenso non valido. La specificità del consenso inoltre comporta che non possa comprendere molteplici finalità del trattamento. La base giuridica del trattamento deve essere definita inizialmente perché non può essere modificata nel corso del trattamento. Inoltre, bisogna valutare la sopravvivenza dei consensi prestati nella vigenza del Codice Privacy dopo l’inizio dell’applicabilità del GDPR che fissa requisiti certamente più elevati.
Il Gruppo di Lavoro di cui all’Articolo 29 (il c.d. “WP29”) ha emanato le linee guida sul consenso ai sensi del GDPR che segnano una soglia di compliance di gran lunga più elevata.
Il consenso è la base del trattamento dei dati personali utilizzata più di frequente, anche se con riferimento a determinate categorie di dati, quali ad esempio i dati sulle condanne penali e reati raccolti tramite il certificato dei carichi pendenti, non è possibile trattarli sono se previsto da una disposizione di legge. Inoltre, anche nei casi in cui il trattamento dei dati personali può avvenire con il previo consenso dell’interessato, una volta ottenuto ai sensi delle linee guida del WP29
“non legittimerebbe la raccolta di dati che non è necessaria in relazione a una finalità specifica del trattamento”. |
Questa sembra un’ovvietà, ma – sulla base della mia esperienza – c’è spesso il “malinteso” che il consenso può permettere il trattamento dei dati personali di qualsiasi tipologia per qualsiasi finalità e che una volta ottenuto il consenso si possa utilizzare i dati a propria discrezione.
Quali sono i requisiti del consenso al trattamento dei dati personali?
In conformità con l’articolo 4 (11) del GDPR, il consenso è definito come
“qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” |
Sulla base di quanto sopra, ci sono 4 elementi da considerare per valutare la validità del consenso al trattamento dei dati personali che deve essere:
1. Liberamente prestato
Ciò significa, secondo il WP29, che il consenso al trattamento dei dati personali deve rappresentare una “vera scelta e sotto controllo degli interessati”, mentre “se il consenso è inserito come parte non negoziabile di termini e condizioni si presume che non sia stato prestato liberamente”.
Gli individui devono essere in grado di rifiutare o revocare il consenso senza subire un danno. Di conseguenza, il consenso non può essere una condizione per la fornitura di un servizio o “legato” a un contratto, se tale attività di trattamento dei dati non è necessaria per offrire il servizio (ad esempio, la raccolta di dati di geolocalizzazione per scopi pubblicitari comportamentali come condizione per fornire un servizio di video editing). Analogamente, il trattamento dei dati personali per i quali viene richiesto il consenso non può diventare direttamente o indirettamente la controprestazione di un contratto che è uno scenario abbastanza frequente in relazione, ad esempio, alle App gratuite.
Ma quanto sopra indicato è rilevante anche al fine di introdurre il concetto di “squilibrio di potere” tra il titolare e l’interessato che rende – secondo il gruppo di lavoro dell’Articolo 29 – il consenso non una base giuridica valida in un rapporto di lavoro nella maggior parte dei casi poiché il dipendente si troverebbe in una situazione di debolezza rispetto al proprio datore di lavoro.
Al contrario, una società offre ai propri clienti
“una scelta genuina se l’individuo è in grado di scegliere tra un servizio che include il consenso all’utilizzo dei dati personali per finalità ulteriori e un servizio equivalente offerto dallo stesso titolare del trattamento che non comporta il consenso al trattamento dei dati per finalità ulteriori. Nei limiti in cui esiste la possibilità che il contratto venga eseguito o che il servizio appaltato sia prestato dal titolare del trattamento senza il consenso al trattamento per le finalità ulteriori o aggiuntive, ciò significa che non esiste più un servizio condizionato al consenso“. |
E questo scenario potrebbe applicarsi, ad esempio, se un’azienda utilizza per contrattare i propri clienti una tecnologia di machine learning che necessità dell’analisi e revisione delle conversazioni per migliorare il suo funzionamento, ma informa i clienti di tali circostanza e offre una modalità alternativa di contrattare che non richiede tale trattamento dei dati personali.
Inoltre, una questione cruciale riguarda il livello di granularità del consenso al trattamento dei dati personali da richiedere e ottenere dagli individui. La questione non è esaminata in dettaglio dal WP29, che stabilisce solo che “se il titolare del trattamento ha raggruppato diverse finalità del trattamento e non ha tentato di ottenere il consenso separato per ogni finalità, c’è una mancanza di libertà”. Ma l’esempio fornito dal Gruppo di Lavoro di cui all’Articolo 29 è piuttosto interessante in quanto fa riferimento all’impossibilità di avere un unico consenso per le finalità di direct marketing e per la condivisione dei dati in tutto il gruppo, il che potrebbe implicare che non è possibile richiedere un singolo consenso per il direct marketing del titolare del trattamento e dalle società del suo gruppo.
2. Specifico
La questione relativa al livello di granularità del consenso al trattamento dei dati personali è legata alla necessità di renderlo “specifico”. Ciò significa che
1. il consenso deve essere raccolto per finalità specifiche, esplicite e legittime e, ad esempio, un consenso che copra sia il direct marketing sia del titolare del trattamento che di terzi non sarebbero abbastanza specifico; |
2. il consenso deve essere raccolto per ogni specifica finalità del trattamento dei dati; e |
3. informazioni specifiche devono essere fornite con ciascuna richiesta di consenso separata al fine di rendere gli interessati consapevoli circa l’impatto delle diverse scelte che hanno a disposizione. |
3. Informato
Secondo il WP29, la formula del consenso deve includere almeno le seguenti informazioni:
1. l’identità del titolare del trattamento, |
2. la finalità di ciascun trattamento per il quale è richiesto il consenso; |
3. quale tipologia di dati saranno raccolti e utilizzati; |
4. l’esistenza del diritto di revocare il consenso; |
5. informazioni sull’uso dei dati per decisioni automatizzate, inclusa la profilazione, e |
6. se il consenso riguarda trasferimenti al di fuori dell’UE, i dettagli circa i possibili rischi di trasferimenti di dati verso Paesi terzi in assenza di una decisione di adeguatezza e di garanzie appropriate. |
Quanto sopra non chiarisce se tali informazioni possano essere fornite anche solo facendo riferimento all’informativa privacy che include tutte le informazioni di cui sopra e alle quali è allegato il modulo di consenso.
In ogni caso, le informazioni di cui sopra non possono essere fornite attraverso lunghe informative illeggibili o dichiarazioni piene di gergo legale e il consenso deve essere chiaro e distinguibile da altre questioni e fornito in una forma comprensibile e facilmente accessibile.
È consigliabile mettere in atto un’informativa sul trattamento dei dati personali “a più livelli” che includa una richiesta di consenso e fornisca le informazioni richieste in modo chiaramente comprensibile. E questo approccio a più livelli è stato già raccomandato ad esempio dal Garante in passato con riferimento all’informativa sui cookies.
4. Un’indicazione univoca di volontà
Il consenso al trattamento dei dati personali deve essere fornito mediante un “chiaro atto affermativo” che significa che l’interessato deve aver intrapreso un’azione deliberata per consentire il trattamento specifico. Questo può essere raccolto attraverso una dichiarazione scritta o (registrata), anche per via elettronica, che tuttavia deve comunicare chiaramente un atto affermativo e, ad esempio, lo scorrimento delle pagine su uno schermo è considerato dal WP29 come non sufficiente. Allo stesso modo, non sono validi:
– caselle “preticcate”, |
– il silenzio o l’inattività e |
– i consensi forniti come parte di un contratto o di accettazione di termini e condizioni generali di un servizio. |
5. Consenso esplicito
Il consenso esplicito (piuttosto che il consenso “ordinario” di cui sopra) può essere la base legale
– del trattamento di categorie speciali di dati, come dati relativi alla salute o i dati biometrici; |
– di trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di adeguate salvaguardie; e |
– per processi decisionali automatizzati, inclusa la profilazione. |
Secondo il WP29, il requisito del “consenso esplicito” può essere soddisfatto non solo mediante una dichiarazione scritta, ma anche “compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la firma dell’individuo o utilizzando una firma elettronica”. Non è escluso che una dichiarazione orale possa soddisfare i requisiti di un consenso esplicito, ma secondo il Gruppo di Lavoro dell’Articolo 29, potrebbe essere difficile dimostrare che tutti i requisiti sono soddisfatti.
Come si dimostra il consenso?
I titolari del trattamento devono essere in grado di dimostrare il consenso ottenuto. Il WP29 non fornisce linee guida specifiche su come conservare il consenso, ma ciò non deve comportare un eccessivo trattamento dei dati. In ogni caso, è necessario essere in grado di collegare il consenso ottenuto alle informazioni fornite al momento del consenso i.e. ad esempio, alla versione dell’informativa privacy e al modulo di consenso in cui è stato prestato. Inoltre, il consenso ottenuto deve essere conservato per un periodo non eccessivo ai fini del trattamento dei dati e per difendere i diritti del titolare del trattamento.
È interessante notare che, secondo il WP29, non esiste un limite temporale di validità del consenso e deve essere valutato tenendo conto del consenso inizialmente ottenuto e delle aspettative dell’interessato. Ma secondo il WP29 se le operazioni di trattamento cambiano o si evolvono considerevolmente, allora il consenso inizialmente prestato non è più valido e deve essere ottenuto un nuovo consenso. Non sono forniti esempi, ma ad esempio il problema è la validità del consenso dato al direct marketing al momento della sottoscrizione di un contratto, e la domanda è per quanto tempo tale tipo di direct marketing può essere eseguito dopo il termine del contratto? Allo stesso modo, se una persona si limita a registrarsi a una newsletter, è possibile continuare a inviare tale newsletter per un periodo di tempo indefinito?
Come viene ritirato il consenso?
Gli individui devono essere in grado di revocare il consenso in qualsiasi momento con la stessa facilità con cui è stato inizialmente prestato. Laddove il consenso sia ottenuto attraverso l’utilizzo di un’interfaccia utente specifica del servizio (ad esempio, tramite un sito Web, un’App, una pagina di login, l’interfaccia di un dispositivo IoT o e-mail), le persone devono essere in grado di revocare il consenso tramite la stessa modalità gratuita e senza alcun impatto sul livello di servizio offerto.
Il ritiro del consenso non influisce sulle precedenti attività di trattamento dei dati che rimangono legittime. Tuttavia, se non esiste altra base giuridica che giustifichi la conservazione dei dati personali dopo il ritiro del consenso, i dati dovrebbero essere cancellati o resi anonimi.
Cosa succede ai consensi ottenuti ai sensi del Codice Privacy?
Il WP29 prevede che i consensi ottenuti in precedenza rimangano validi nei limiti in cui sono conformi con i requisiti di cui al GDPR. Questo è un punto cruciale, ma di difficile applicazione perché i requisiti dell’informativa e dei consensi al direct marketing e alla profilazione ai sensi del GDPR sono diversi da quelli convalidati dal Garante nelle sue linee guida in materia.
Questo è il motivo per cui, in vista dell’imminente inizio dell’applicabilità del GDPR, bisogna adottare un’informativa sul trattamento dei dati personali “transitoria” e consensi conformi sia all’attuale Codice Privacy che al GDPR, dando la possibilità al titolare di “curare” il proprio database prima del 25 maggio 2018.
Con riferimento a quanto sopra, la mia posizione è che il WP29 ha stabilito un livello di conformità che sarà difficile da raggiungere da parte di diverse aziende. Vedremo se il Garante si conformerà alla posizione del WP29 o mostrerà un approccio più flessibile.
Per appronfondimenti sul GDPR si rimanda alla normativa ab origine: DOWNLOAD