La linea guida aggiornata sul rilascio del consenso al trattamento dei dati personali
A suo tempo, l’articolo 29 Working party già emise un documento su questo argomento, che è stato inizialmente recepito dal comitato europeo per la protezione dei dati e recentemente è stato aggiornato in maniera significativa.
Si tratta di una linea guida fondamentale per tutti coloro che debbono acquisire il consenso al trattamento di dati personali, da parte degli interessati. I titolari, cui particolarmente si indirizza il documento, sono i gestori di siti Web, notoriamente assai abili nel catturare con trucchi vari il consenso del navigatore. Tra i trucchi più diffusi ricordo il fatto che, se il navigatore passa a leggere la pagina successiva, automaticamente esprime consenso al trattamento dei suoi dati. Vi sono poi problemi, spesso difficili da risolvere, relativi al consenso rilasciato da minori e via dicendo.
Queste linee guida rappresentano pertanto un elemento fondamentale di riferimento non solo per i titolari del trattamento, ma anche per gli interessati, che spesso hanno la netta sensazione che l’esplicita emissione del consenso venga aggirata o l’interessato venga circuìto.
Il regolamento generale europeo è assai più chiaro, sul tema del consenso, rispetto a precedenti documenti. Ciò impone ai titolari di mettere a punto nuove e più trasparenti soluzioni, che permettano all’interessato di erogare un consenso libero ed informato. Ricordo, con l’occasione, che nessun titolare del trattamento di dati personali può trattarli, se non sulla base delle sei legittime ragioni, illustrate all’articolo 6 del regolamento.
Un elemento fondamentale è legato al fatto che l’interessato coinvolto deve avere una possibilità di controllo e deve effettuare una effettiva scelta in merito all’accettazione o rifiuto dei vari punti dell’informativa, precedente al consenso. Un comportamento corretto da parte del titolare rappresenta un elemento fondamentale di rispetto dei diritti degli interessati e questo stesso principio è sottolineato dagli articoli 7 ed 8 della carta dei diritti fondamentali dell’unione europea.
Con l’occasione, ricordiamo che anche se il trattamento di dati personali è basato su un consenso dell’interessato, questo consenso non legittima in alcun modo la raccolta di dati, che non siano direttamente collegati alle finalità del trattamento, illustrate nell’informativa.
A questo proposito, è gradito a chi scrive ricordare come questo documento europeo recupera letteralmente un’espressione, che venne messa a punto una ventina di anni fa in Italia, riferita alla “granularità” del consenso. Con questa espressione, messa a punto insieme all’allora segretario generale dell’autorità garante, Giovanni Buttarelli, che oggi ci ha lasciato, veniva espresso in una trasparente parola il concetto che, ove possibile, l’interessato deve avere la possibilità di esprimere più consensi, in relazione a più specifiche finalità e modalità di trattamento.
Il nuovo documento mette anche in appropriata evidenza una situazione, che in Italia si è verificata già ed è stata sanata da una recente sentenza della cassazione. Un principio fondamentale, nell’emettere il consenso, sta nel fatto che deve essere “libero”. Nella fattispecie, nonostante una precedente sentenza della cassazione avesse ritenuto che non fosse necessaria l’approvazione delle rappresentanze sindacali, qualora tutti i dipendenti avessero espresso il consenso al trattamento di dati personali, catturati tramite impianti di videosorveglianza, una successiva sentenza della cassazione ha negato la validità di questo consenso, in quanto si è ritenuto che un dipendente non godesse di sufficiente libertà, nell’espressione di un consenso rilasciato al datore di lavoro, su sua esplicita richiesta.
Il documento inoltre mette in chiara evidenza come il concetto di consenso, espresso nel regolamento generale europeo, è strettamente legato al consenso espresso nella direttiva sulla ePrivacy 2002/58 / EC. Questo consenso fa’ riferimento in particolare a quello rilasciato on-line per finalità di marketing, uso di cookies e via dicendo.
Quando verrà pubblicato il regolamento sulla ePrivacy, il comitato europeo per la protezione dei dati spera che le sue raccomandazioni verranno raccolte dal parlamento europeo. I lettori sono ben al corrente del fatto che l’imminente trasformazione della direttiva ePrivacy in un regolamento ePrivacy porterà un autentico sconvolgimento in tutte le procedure afferenti alla gestione di dati personali sul Web.
Altri aspetti su cui questo prezioso documento si diffonde riguardano la comprensibilità del messaggio, che deve essere adatto al livello di conoscenze ed al livello di comprensione dell’interessato, che deve rilasciare il consenso stesso.
Grande spazio è dedicato al problema dell’acquisizione del consenso da parte dei minori, ricordando ai lettori che il concetto di “minore” varia da paese a paese, nell’Unione Europea. Si pone così il problema di quanto possa essere valido un consenso rilasciato da una persona fisica, che in un paese dell’unione europea rientra nella categoria dei minori, mentre in altro paese non rientra in questa categoria, quando opera sul Web, sul sito di un titolare che si trova in un altro paese.
Un paragrafo specifico è dedicato all’utilizzo del consenso in ambito di ricerca scientifica, mentre un intero paragrafo è dedicato ai diritti dell’interessato coinvolto. Sappiamo tutti come possa essere difficile per un interessato ritirare o modificare un consenso ed è a questo punto che entra in gioco la politica delle sanzioni, determinate dal regolamento europeo, che può penalizzare in maniera pesante il titolare, che approfitta della sua posizione preminente, “abusando” della sua posizione per negare all’interessato l’esercizio dei suoi diritti.
Il documento è disponibile per ora solo in inglese, ma deve costituire una lettura obbligatoria per tutti i titolari del trattamento, il responsabile e soprattutto i responsabili della protezione dei dati, che devono vigilare acciocché titolari e responsabili si comportino in modo appropriato.
EDPB - Guidelines consent 5 maggio 2020(PDF)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.