Privacy: i principi generali e le basi giuridiche per il trattamento dei dati personali
Il trattamento di dati personali deve trovare fondamento in una base giuridica, che deve essere valutata e individuata dal titolare del trattamento, prima di iniziare il trattamento stesso. Ogni base giuridica obbedisce a condizioni specifiche, e ha differenti conseguenze sui diritti dei soggetti interessati. Essa deve essere indicata nell’informativa privacy e menzionata nel registro dei trattamenti. Ai sensi dell’art. 6 del GDPR, il consenso dell’interessato è la fonte generale di legittimazione di ogni trattamento. Il consenso dell’interessato al trattamento dei dati deve essere libero, specifico, inequivocabile, informato, verificabile e revocabile. Le altre basi giuridiche per il trattamento dei dati previste dal GDPR sono l’adempimento di obblighi contrattuali o misure precontrattuali, gli obblighi di legge cui è soggetto il titolare del trattamento, gli interessi vitali della persona interessata o di terzi, il legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati e l’interesse pubblico o l’esercizio di pubblici poteri.
1. Il quadro giuridico in materia di privacy
Come è noto, l’attuale disciplina della privacy è contenuta essenzialmente nel Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation – di seguito “GDPR”).
Il GDPR – direttamente applicabile ed efficace in Italia – mira a garantire una disciplina sulla protezione dei dati personali uniforme ed omogenea in tutta la UE, eliminando la frammentazione applicativa dovuta alle diverse leggi di recepimento della precedente Direttiva n. 95/46 CE. Ciò al fine di adeguare la data protection rispetto all’evoluzione tecnologica che ha determinato un aumento dei flussi transfrontalieri e, quindi, dei dati scambiati tra attori pubblici e privati, rendendo così necessari, da un lato, una più libera circolazione di dati all’interno dell’UE, e dall’altro un più elevato livello di protezione.
Il GDPR ha integrato e riformato il D.lgs. n. 196/03 (di seguito il “Codice Privacy”), che costituiva la normativa di riferimento in materia di privacy prima della normativa europea. Il Codice Privacy è stato riformato, in adeguamento a quanto previsto dal GDPR, dal D.lgs. n. 101/2018. Il Codice Privacy resta comunque una fonte sotto ordinata rispetto al GDPR, e deve essere interpretato ed applicato alla luce del GDPR. Coerentemente, l’art. 1 del Codice Privacy stabilisce che il trattamento dei dati personali avviene secondo le norme del GDPR nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona.
Il quadro giuridico in materia di privacy è completato dalla Direttiva n. 2002/58/CE (cd. Direttiva “EPrivacy”, modificata dalla Direttiva n. 2009/136/CE), relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Dato che molte forme di trattamento dei dati sono riconducibili tanto alla Direttiva EPrivacy quanto al GDPR, nei casi di sovrapposizione – considerato che la Direttiva EPrivacy rappresenta la lex specialis rispetto al GDPR – prevale la prima, mentre le disposizioni del GDPR restano applicabili per le fattispecie non specificamente previste dalla Direttiva EPrivacy, oltre che per offrire a quest’ultima la cornice regolatoria di carattere generale.
Un rapporto inverso sussiste, invece, tra il GDPR e la Direttiva 2019/770/UE “relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali”, la quale fa espressamente salvi sia il GDPR sia la Direttiva 2002/58 (considerando 37). L’ambito di applicazione della Direttiva 2019/770/UE si estende ai contratti in cui un operatore commerciale fornisce, o si impegna a fornire, contenuto digitale al consumatore, a fronte di una “controprestazione non pecuniaria”, sotto forma anche di cessione “di dati personali o di qualsiasi dato” (art. 3, par. 1). In caso di conflitto tra la Direttiva 2019/770 e il GDPR, prevale quest’ultimo, con la conseguenza che ai contratti di fornitura di servizi digitali si applicano tutte le condizioni normative per il consenso al trattamento, ivi compresa la sua revocabilità (considerando 39).
2. I principi generali della data protection
L’art. 5 del GDPR stabilisce i principi generali che devono essere seguiti per il trattamento dei dati personali.
La nozione di “dato personale” è contenuta nell’art. 4 GDPR, secondo cui con tale termine deve intendersi “qualsiasi informazione riguardante una persona fisica, identificata o identificabile”.
I dati personali quindi contengono una “qualsiasi informazione” (cioè informazioni di tipo oggettivo come un dato biometrico, o di tipo soggettivo come una opinione, una tendenza, una valutazione) riguardante una persona fisica, identificata o identificabile; intendendosi per identificabile la persona che “può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Ai sensi dell’art. 5 GDPR i titolari e i responsabili del trattamento dei dati, nonché le Autorità di controllo (Data Protection Authorities, DPA) e chiunque operi in ambito Data Protection, per disegnare e valutare il trattamento dei dati personali e la sua conformità al GDPR, devono attenersi ai seguenti principi:
- liceità;
- correttezza;
- trasparenza;
- limitazione della finalità;
- minimizzazione dei dati;
- esattezza;
- limitazione della conservazione;
- integrità;
- riservatezza.
La finalità del trattamento dei dati, cioè lo scopo per il quale il titolare raccoglie i dati per poi trattarli, deve essere quindi determinata, esplicita e legittima e il trattamento seguente alla raccolta dei dati deve essere compatibile con tale finalità.
Le Linee guida sulla trasparenza emesse dal Gruppo di lavoro Articolo 29 (un organismo EU nato in virtù dell’art. 29 Direttiva 95/46/CE, che raggruppava tutte le Autorità di protezione dei dati dei paesi membri – c.d. “WP 29” – successivamente trasformatosi nel maggio 2018 nel Comitato europeo per la protezione dei dati), nel novembre 2017 precisano in proposito che il principio ispiratore della trasparenza consiste nel far sì che l’interessato possa comprendere immediatamente, in particolare visionando l’Informativa sulla privacy, quali siano la finalità del trattamento e i rischi connessi al trattamento.
In particolare, il principio della minimizzazione dei dati significa che il titolare del trattamento deve raccogliere e mantenere dati adeguati, pertinenti e limitati allo stretto necessario al raggiungimento della finalità dichiarata all’interessato. Il considerando 39 del GDPR precisa in proposito che il trattamento dei dati deve costituire una sorta di extrema ratio per il titolare, il quale deve evitare di trattare i dati qualora il risultato (cioè la finalità) dallo stesso perseguito sia raggiungibile in altro modo.
Il principio di limitazione della conservazione dei dati (c.d. data retention) significa invece che i dati devono essere conservati in una forma che consenta l’identificazione degli interessati, per un periodo di tempo non eccedente il raggiungimento della finalità per la quale i dati sono trattati. Un periodo più lungo è consentito solo per le finalità di ricerca, archiviazione e statistiche (art. 89 GDPR), e in ogni caso previa adozione di misure tecniche ed organizzative tali da tutelare i diritti dell’interessato.
Infine, in ossequio al principio di integrità e riservatezza, i dati devono essere trattati in modo tale da garantire un’adeguata sicurezza, tramite misure tecniche ed organizzative adeguate che prevengano o impediscano trattamenti non autorizzati o illeciti, così come la perdita, la distruzione o danni accidentali. L’art. 5 del GDPR prevede altresì che, qualora intervenga un trattamento ulteriore dei dati, la cui finalità sia l’archiviazione nel pubblico interesse, la ricerca scientifica o storica o il fine statistico, tali trattamento e finalità sono automaticamente compatibili con la finalità del trattamento iniziale. Ciò in quanto gli scopi di ricerca ed archiviazione sono ritenuti, per ragioni di pubblico interesse, superiori al diritto di tutela della privacy dell’interessato.
3. Le basi giuridiche del trattamento dei dati personali
Come il precedente Codice Privacy, anche il GDPR stabilisce che un trattamento di dati personali deve trovare fondamento in una base giuridica. La base giuridica è ciò che autorizza legalmente il trattamento dei dati personali, così soddisfacendo il principio di liceità. In assenza di una base legale, il trattamento di dati personali è illecito.
Il titolare del trattamento ha l’obbligo di valutare quale sia la base giuridica più idonea rispetto al trattamento che intende porre in essere, e questo prima di iniziare il trattamento. Il titolare, quindi, non è libero di scegliere la base giuridica che preferisce, ma deve rispettare le condizioni previste dal GDPR in relazione alle caratteristiche di ciascuna delle basi giuridiche ivi previste, ed essere sempre in grado di dimostrare la correttezza della scelta fatta.
Ogni base giuridica, infatti, obbedisce a condizioni specifiche, e ha differenti conseguenze sui diritti dei soggetti interessati. La base giuridica del trattamento dei dati personali non si trasmette da un titolare all’altro: in caso di titolari congiunti, quindi, ogni titolare deve stabilire e giustificare la propria base giuridica perché il trattamento sia lecito. La base giuridica del trattamento dei dati:
- deve essere indicata nell’informativa privacy rivolta agli utenti;
- deve essere menzionata nel registro dei trattamenti.
L’art. 6 del GDPR elenca le basi giuridiche del trattamento dei dati personali. Esse sono:
- il consenso dell’interessato;
- l’adempimento di obblighi contrattuali o misure precontrattuali;
- gli obblighi di legge cui è soggetto il titolare del trattamento;
- gli interessi vitali della persona interessata o di terzi;
- il legittimo interesse prevalente del titolare o di terzi cui i dati vengono comunicati;
- l’interesse pubblico o l’esercizio di pubblici poteri.
Per ciascuna finalità per cui il Titolare intende trattare dati personali, deve essere indicata nell’informativa e la relativa base giuridica, tra quelle previste dal GDPR. Non è possibil ed è stato oggetto di sanzioni indicare nell’informativa più finalità del trattamento e individuare un’unica base giuridica, oppure fornire una pluralità di indicazioni tra loro eterogenee e non specificatamente correlate alle finalità perseguite, come ad esempio il richiamo generico all’art. 6, par. 1, lett. a), b), c), d) ed e) del GDPR senza specificare per ciascuna base giuridica a quali trattamenti sia riferita.
4. Il consenso al trattamento dei dati
Il consenso è una delle basi giuridiche del trattamento. Come si è accennato, ai sensi dell’art. 6 lett. a) del GDPR, il trattamento dei dati personali è da considerarsi lecito se l’interessato esprime il consenso al trattamento stesso per una o più specifiche finalità. Il consenso dell’interessato è quindi la fonte generale di legittimazione di ogni trattamento.
Il consenso è rilevante non solo al momento dell’inizio del trattamento dei dati, ma trova manifestazione anche nell’esercizio, da parte dell’interessato, di particolari facoltà durante il trattamento stesso, ovvero:
- il diritto all’accesso ai dati (art. 15 GDPR);
- il diritto alla rettificazione dei dati (art. 16 GDPR);
- il diritto alla cancellazione dei dati (cd. “oblio”: art. 17 GDPR);
- il diritto alla limitazione del trattamento (art. 18 GDPR);
- il diritto alla portabilità dei dati (art. 20 GDPR).
Come affermato dalla giurisprudenza, il consenso al trattamento è un consenso “rafforzato” rispetto a quello ordinariamente richiesto a fini contrattuali, reso necessario in considerazione della intrinseca debolezza del destinatario del trattamento, tanto dal punto di vista dell’asimmetria informativa quanto da quello della potenziale aggressività e suggestione delle pratiche comunicative del digitale.
D’altra parte, la necessità che vi sia un consenso, e che il consenso presenti determinati requisiti, si giustifica anche in un’ottica collettiva, connessa al regime di circolazione delle informazioni, volta a limitare la raccolta di dati personali in modo da mantenerla entro una corretta e trasparente dinamica di mercato, e pur sempre nel rispetto dei principi di una società democratica.
Ciò risulta confermato dalla Direttiva 2019/770/UE, che al considerando n. 24, pur ammettendo la potenziale azionabilità dei rimedi contrattuali nel caso in cui la cessione delle informazioni personali diventi oggetto di una prestazione negoziale, riconosce che “la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce”. Come accennato, inoltre, la Direttiva mantiene ferma l’applicazione ai contratti di fornitura di servizi digitali delle regole del GDPR sul consenso dell’interessato, ivi compresa la revocabilità: in questo modo, continua ad essere salvaguardata una sfera minima di intangibilità e indisponibilità del diritto alla privacy.
L’interessato ha il diritto di revocare il consenso in qualsiasi momento, “con la stessa facilità con cui è accordato” (art. 7, par. 3, GDPR). Il diritto di revoca ad nutum previsto in materia di privacy è giustificato dalla necessità da un lato di garantire all’interessato un controllo sui propri dati, e dall’altro di controbilanciare il potere di chi li tratta, non senza ragioni di protezione collettiva da possibili abusi.
Ai requisiti del consenso (di cui parleremo in seguito) corrispondono importanti doveri in capo a coloro che si occupano del trattamento dei dati. Secondo il principio della “responsabilizzazione” (cd. “accountability”), reso centrale dal GDPR, sia il titolare che il responsabile del trattamento devono adottare comportamenti attivi, idonei a dimostrare il rispetto di ogni disposizione a tutela dell’interessato, ferma restando la discrezionalità sulla scelta delle precauzioni.
In particolare, l’art. 7, par. 1, del GDPR pone in capo al titolare del trattamento l’onere di dimostrare di aver ottenuto preventivamente il consenso dell’interessato, nel rispetto dei requisiti stabiliti dal GDPR. In un contesto online, il titolare del trattamento potrebbe, in attuazione dell’art. 7, par. 1, conservare le informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento.
Tra i doveri dei titolari rientrano specifiche formalità che devono essere rispettate per ottenere la decisione sul consenso dell’interessato. Occorre, infatti, che la richiesta di consenso sia comprensibile, semplice e chiara, oltre che chiaramente distinguibile dalle eventuali altre dichiarazioni rivolte all’interessato (art. 7, par. 2, GDPR). Ciò significa che l’interessato deve avere una piena consapevolezza circa l’equivalenza del proprio comportamento ad un consenso al trattamento dei dati.
Ove il consenso manchi, e non sussistano altre basi giuridiche per il trattamento dei dati, quest’ultimo sarà illegittimo, salvo che si versi in una delle ipotesi – tassativamente indicate dall’art. 6 e, per i dati sensibili, dall’art. 9 del GDPR – in cui, data la prevalenza di un altro interesse pubblico o privato, il consenso non risulti necessario. Nel caso di trattamento illegittimo, si prevede la possibilità di attivare una serie di rimedi, sia di natura privatistica (inibitori e risarcitori), sia di tipo amministrativo (in particolare, con sanzioni pecuniarie).
Se il titolare del trattamento sceglie il consenso quale propria base giuridica per legittimare un trattamento di dati personali, lo stesso titolare non può basare successivamente il trattamento su una diversa base giuridica, ricorrendo, ad esempio, all’interesse legittimo in caso di problemi di validità del consenso. Ciò in quanto il titolare ha l’obbligo di comunicare all’interessato il presupposto di liceità del trattamento al momento della raccolta dei dati personali.
Nell’ambito dei rapporti di lavoro, come previsto dal provvedimento del Garante Privacy del 5 giugno 2019, non è richiesto il consenso dell’interessato (purché il trattamento sia realizzato per le specifiche finalità indicate nel provvedimento), con riferimento alle seguenti categorie:
- candidati all’instaurazione dei rapporti di lavoro, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell’instaurazione di un rapporto di lavoro (art. 111-bis del Codice Privacy);
- lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l’abilitazione professionale, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione;
- consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
- soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio;
- persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi;
- terzi danneggiati nell’esercizio dell’attività lavorativa o professionale;
- terzi familiari o conviventi dei soggetti di cui sopra, per il rilascio di agevolazioni e permessi.
L’art. 4 par. 11 del GDPR definisce il consenso come “qualsiasi manifestazione di volontà dell’interessato che sia espressa in maniera libera, informata, specifica ed inequivocabile, con la quale lo stesso manifesta il proprio assenso mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Il consenso può dunque costituire la base legittima appropriata per il trattamento dei dati personali solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare i termini proposti o rifiutarli senza subire pregiudizio. In particolare, ai sensi del GDPR, il consenso dell’interessato al trattamento dei dati deve essere:
- libero;
- informato;
- specifico;
- inequivocabile;
- verificabile;
- revocabile.
4.1 I requisiti del consenso al trattamento dei dati: a) la libertà del consenso
Il consenso al trattamento dei dati personali deve essere in primo luogo libero, in quanto deve essere espresso senza alcun tipo di coercizione ed unicamente soggetto alla volontà dell’interessato. Ai sensi del considerando 42 del GDPR, il consenso non può essere ritenuto come liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o non gli è permesso di rifiutare o revocare il consenso senza per ciò solo subire un pregiudizio.
Il principio della libertà del consenso in materia di privacy muove dall’esigenza di tenere conto di una più generale posizione di debolezza dell’interessato, oltre che di delicatezza della situazione soggettiva protetta. In questo senso, è stato ad esempio considerato non libero il consenso che, pur non essendo viziato da errore, violenza e dolo ai sensi degli artt. 1427 s. c.c., è indotto da pressioni, situazioni di debolezza contrattuale o da altre circostanze che non lo rendono frutto di una determinazione spontanea o consapevole o che lo piegano al raggiungimento di obiettivi che esulano dalla causa del negozio concluso.
L’interessato deve essere in grado di operare una scelta effettiva, senza subire intimidazioni o raggiri, né deve subire conseguenze negative a seguito del mancato conferimento del consenso. L’articolo 7 del GDPR chiarisce che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.
Ad esempio, nel caso di pubblicità commerciale, il consenso deve essere separato rispetto al consenso per la prestazione contrattuale richiesta dall’utente, perché quest’ultimo deve avere la possibilità di concludere il contratto senza dover subire il ricatto di dover ricevere pubblicità commerciale. Come precisato dal Garante Privacy, non può definirsi libero il consenso a ulteriori trattamenti dei dati personali che l’interessato debba prestare quale condizione per conseguire una prestazione richiesta.
Se il datore di lavoro richiede a un dipendente il consenso all’utilizzo di un dato (ad esempio per pubblicare la foto dei dipendenti sul sito web aziendale) e vi è un pregiudizio reale o potenziale per il cliente non consenziente (cosa altamente probabile in un contesto lavorativo), il consenso non può ritenersi valido, perché non libero. Dato lo squilibrio di potere tra datore e dipendente, quest’ultimo può dare un consenso valido solo in circostanze eccezionali. Quindi, in caso di evidente squilibrio tra le parti, il consenso non può costituire la base giuridica del trattamento; in tal caso occorre che il trattamento dei dati si fondi su un base giuridica diversa.
Analogamente accade in caso di trattamento dei dati da parte delle autorità pubbliche, che raramente può basarsi sul consenso, in quanto sussiste spesso un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato, per cui l’interessato non dispone di alternative realistiche all’accettazione (dei termini) del trattamento.
In proposito, il Garante della Privacy ha consolidato un’interpretazione severa ed articolata della libertà del consenso, il quale deve essere consapevole e deve rimanere al riparo da indebite pressioni. In particolare, elemento imprescindibile della consapevolezza è il fattore razionale, quindi la realizzazione interna, volontaria e cosciente, di una decisione. Ciò implica una minima maturità mentale, soprattutto in certi ambiti più insidiosi come il digitale, come è confermato dal fatto che l’art. 2 quinquies del Codice Privacy stabilisce che il consenso al trattamento dei dati nell’ambito dei servizi digitali è valido a partire dai 14 anni, mentre prima può essere dato dai genitori o da chi ne fa le veci, previo ascolto del minorenne ove capace di discernimento.
Il GDPR manifesta una chiara attenzione al rischio di un consenso indebitamente coartato, indicando taluni requisiti che le richieste di trattamento dei dati devono rispettare. Il considerando n. 32 specifica che la richiesta del consenso non deve interferire immotivatamente con il servizio per il quale il consenso è espresso. Analogamente, il considerando n. 43 e l’art. 7, par. 453 del GDPR prevedono che il consenso si presume non liberamente espresso ove l’esecuzione di un contratto e la prestazione di un servizio siano subordinate al consenso sebbene esso non sia necessario per le stesse (pratiche cd. di “tying”). Inoltre, il considerando n. 42 del GDPR evidenzia che il consenso non è considerato liberamente espresso se l’interessato “non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.
4.2 I requisiti del consenso del trattamento dei dati: b) l’informatezza del consenso
Il consenso deve essere in secondo luogo (preventivamente) “informato” su tutte le condizioni riguardanti il trattamento (finalità, tipo di dati, titolare del trattamento, responsabile del trattamento, limiti di esso). Ciò è in linea con quanto era previsto dall’art. 23 del Codice Privacy, che stabiliva che il consenso fosse validamente prestato ove fossero state rese le informazioni di cui all’art. 13 del medesimo Codice, analoghe a quelle previste dall’art. 13 del nuovo GDPR.
Si distinguono nell’art. 13 GDPR due categorie di informazioni:
- le informazioni riguardanti il contenuto e l’estensione del consenso sotto un profilo sia oggettivo che soggettivo (tra cui quelle sulle finalità e modalità di trattamento, l’indicazione del titolare e del responsabile, i destinatari dei dati, il periodo di conservazione degli stessi e l’esistenza di un processo decisionale automatizzato);
- le informazioni volte a richiamare l’attenzione dell’interessato sui suoi diritti e a garantire che il suo consenso sia adeguatamente informato in merito all’obbligatorietà o meno del conferimento dei dati.
Tutte queste informazioni vengono fornite tramite l’apposita informativa, che in questo caso diventa una vera e propria condizione di legittimità del trattamento.
Nell’ambiente digitale, difficilmente l’interessato è in grado di valutare l’estensione e la portata del trattamento dei suoi dati durante la navigazione, realizzato attraverso tecniche spesso altamente specializzate che lo rendono immediato ed impercettibile. L’informazione, nell’ottica del GDPR, è quindi strumentale alla consapevolezza della decisione, e deve essere concisa, facilmente accessibile e di facile comprensione (considerando n. 58 GDPR).
Vi è peraltro il rischio che gli interessati, anche se informati, non si rendano realmente conto delle potenzialità lesive dell’impiego dei dati: in tal senso, ad una formale informazione potrebbe non combaciare una reale presa di consapevolezza. Non a caso, il legislatore prevede, accanto al requisito dell’informazione, anche quello della libertà del consenso; in questo senso, è opportuno, per consentire una minima ponderazione dell’interessato, che tra l’informazione e il consenso vi sia un periodo temporale ragionevole, la cui mancanza, in uno con eventuali forme di pressione, potrebbe pregiudicare l’effettiva informatezza e libertà della decisione.
4.3 I requisiti del consenso al trattamento dei dati: c) la specificità del consenso
Il consenso deve essere specifico, cioè relativo alla finalità per la quale è eseguito quel trattamento (granularità del consenso).
Occorre in proposito far riferimento al principio di minimizzazione dei dati di cui all’art. 5 del GDPR, in base al quale il consenso deve essere “adeguato, pertinente e limitato a quanto necessario rispetto alle finalità per le quali sono trattati”. Analogamente l’art. 23, co. 3, del Codice Privacy prevedeva che il consenso dovesse essere prestato “specificamente in riferimento ad un trattamento chiaramente individuato”.
In base a tale principio, se un servizio viene utilizzato per una certa finalità, non può essere preteso un utilizzo dei dati dei suoi utenti a fini diversi da quelli connessi al servizio stesso (relativi al suo funzionamento, ad esempio).
Qualora dunque il trattamento dei dati abbia più finalità, il consenso deve essere prestato per ogni finalità (Considerando 32 GDPR).
Il Garante ha stabilito, in attuazione del principio della specificità del consenso, che debbano essere indicate separatamente le finalità di fidelizzazione, profilazione e marketing diretto, e che debba essere ottenuto un consenso separato per ciascuna di esse. Una manifestazione di volontà generica non permette infatti un reale apprezzamento delle concrete conseguenze dell’atto dispositivo, a differenza di un consenso espresso in maniera distinta e in relazione a ciascuna delle finalità rilevanti, il quale costituisce maggiore garanzia di consapevolezza della decisione presa.
La specificità del consenso è quindi strettamente legata all’informatezza, considerato che una parte degli obblighi di informa zione riguarda proprio i limiti oggettivi e soggettivi del trattamento consentito.
Nel caso di titolari congiunti, ogni titolare deve acquisire il consenso relativamente alle proprie finalità. Ad esempio, il gestore di un sito web che utilizza plugin di Facebook dovrà chiedere il consenso con riferimento alla sola raccolta dei dati e successiva comunicazione a Facebook.
Ovviamente, nel caso in cui nuove finalità siano aggiunte dal titolare, questi dovrà chiedere un nuovo consenso all’interessato, informandolo correttamente e compiutamente.
4.4 I requisiti del consenso al trattamento dei dati: d) l’inequivocabilità del consenso
Il consenso, infine deve essere “inequivocabile”, ovvero deve concretizzarsi in un atto chiaro e univoco, non diversamente interpretabile, di manifestazione di volontà affermativa da parte dell’utente.
Più precisamente, il considerando n. 32 del GDPR dispone che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”. Il GDPR ammette, quindi, la possibilità di esprimere il consenso al trattamento dei dati anche in forma orale, purché in modo percepibile da terzi e con atto inequivocabile, diversamente dal Codice Privacy, che prevedeva la necessità di una forma scritta ad probationem o, per i dati sensibili, ad substantiam.
Tale previsione deve essere letta in combinazione con l’onere probatorio posto dall’art. 7, par. 1, del GDPR in capo al titolare del trattamento, che dunque non implica la necessaria produzione di documentazione scritta, ma la semplice dimostrazione di un atto inequivocabile di assenso.
Il considerando prosegue precisando che l’atto positivo del consenso “potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle”. Si tratta di una previsione normativa rilevante rispetto alla valutazione della legittimità dei cookie.
Il consenso può anche essere implicito (ma comunque non tacito: quindi ad esempio l’inerzia non può costituire manifestazione di consenso, come anche i form precompilati e caselle già pre-spuntate), purché, nel momento in cui sia desunto dalle circostanze, non sussista alcun dubbio che col proprio comportamento l’interessato abbia voluto comunicare il proprio consenso.
Deve quindi prevedere una chiara azione positiva (come, ad esempio, spuntare una casella od inserire la mail in un campo dove è specificata la finalità per la quale sarà usato il dato). Viceversa, azioni quali scorrere un sito o sfogliarne le pagine o azioni analoghe dell’utente non possono soddisfare il requisito di un’azione positiva inequivocabile: azioni di questo tipo possono essere difficili da distinguere da altre azioni o interazioni dell’utente e quindi non è possibile stabilire che è stato ottenuto un consenso inequivocabile.
Il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio: l’accettazione globale delle condizioni generali di contratto, infatti, non può essere considerata come un’azione positiva inequivocabile ai fini del consenso all’uso dei dati personali. Il consenso deve, invece, essere esplicito nei seguenti casi:
- dati soggetti a trattamento speciale, o sensibili (art. 9 GDPR);
- trasferimenti di dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate (art. 49 GDPR);
- processi decisionali automatizzati compresa la profilazione (art. 22 GDPR).
Il consenso esplicito al trattamento deve essere ottenuto attraverso una dichiarazione scritta e firmata dall’interessato o tramite l’invio di un email indicante che l’interessato accetta espressamente il trattamento di determinate categorie di dati.
Come recentemente precisato dalla Corte di Giustizia dell’UE, il divieto del trattamento dei dati sensibili, in assenza del consenso esplicito, vale anche per i gestori dei motori di ricerca. Considerato che uno dei requisiti del consenso di cui al GDPR è quello della “dichiarazione o azione positiva inequivocabile”, e che lo stesso è già di per sé più elevato rispetto a quanto previsto dalla precedente Direttiva 95/46/CE, il carattere “esplicito” del medesimo deve inevitabilmente arricchirsi di ulteriori presupposti. Lo stesso implica certamente una dichiarazione espressa di consenso, ad esempio mediante scritto cartaceo firmato dall’interessato.
Nel contesto digitale, l’interessato potrebbe emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica, o ancora, più agevolmente cliccando su un tasto digitale come “accetto” o “si”, a condizione che vi sia una chiara informativa sul tipo di trattamento accettato e siano rispettate le altre condizioni per la validità del consenso.
4.5 I requisiti del consenso al trattamento dei dati: e) la verificabilità del consenso
Il consenso al trattamento dei dati personali deve essere verificabile, ovvero dimostrabile; ciò non significa che il consenso debba essere necessariamente documentato per iscritto, né che sia richiesta necessariamente la forma scritta (a parte le ipotesi, come si è visto, dei dati sensibili di cui all’art. 9 GDPR). Tuttavia, la forma scritta è comunque preferibile, perché permette più facilmente di dimostrare il conferimento del consenso, facilitando quindi le verifiche da parte dell’autorità.
Infatti, il titolare, ai sensi del considerando 42 GDPR, deve essere in grado di dimostrare che l’interessato ha conferito il consenso con riferimento a quello specifico trattamento, per tutto il periodo nel quale il trattamento viene effettuato.
L’impossibilità di fornire prova di aver validamente raccolto il consenso equivale ad aver attuato un trattamento in assenza di idonea base giuridica, con la conseguente irrogazione di sanzioni da parte dell’Autorità Garante.
Generalmente, la prova dell’esistenza del consenso viene raggiunta attraverso:
- la conservazione del modulo cartaceo sottoscritto;
- la conservazione della scansione del modulo sottoscritto;
- la conservazione della mail conferimento espresso del consenso;
- il ricorso a soluzioni di firma elettronica.
Quando il processo di raccolta del dato avviene su applicativi o siti web, viene fatto spesso ricorso a “flag” di consenso, la cui apposizione da parte dell’utente costituisce un gesto inequivocabile e proattivo. Tale modalità di gestione dei consensi, se attuata nel rispetto di specifiche garanzie tecniche e giuridiche, si pone perfettamente in linea con la sua normativa di protezione dei dati.
Viceversa, l’impostazione di una casella di raccolta del consenso (ad es. per il marketing) “preflaggata” oppure a selezionare obbligata per l’accesso ad un servizio non è rispettosa dei requisiti di libertà ed inequivocabilità del consenso, e dunque non valida. Il titolare dovrà inoltre adottare soluzioni tecniche che gli consentono di fornire prova dello specifico processo in cui il consenso si inserisce: la sessione di navigazione eseguita, la procedura seguita dall’interessato per acconsentire al trattamento, l’informativa ad esso correlata etc. In sostanza, non è sufficiente dimostrare che il sito web è generalmente configurato in modo corretto.
Al termine dell’attività di trattamento, la prova del conferimento del consenso deve essere conservata per un tempo non maggiore di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (articolo 17 GDPR).
L’azienda deve altresì essere in grado di sapere anche a quale informativa l’utente ha acconsentito, distinguendo tra le varie versioni. Il WP29 suggerisce in proposito di utilizzare un registro nel quale siano conservate le informazioni relative alla sessione in cui è stato espresso il consenso, unitamente alla documentazione del flusso di lavoro del consenso, e una copia delle informazioni presentate all’interessato in quel momento.
Il GDPR non specifica alcun termine di durata del consenso al trattamento dei dati; questa dipende dunque dal contesto, dalla portata del consenso originale e dalle aspettative dell’ interessato. Se i trattamenti subiscono modifiche o evoluzioni considerevoli, il titolare non può più considerare valido il consenso originariamente raccolto e dovrà provvedere a raccoglierne uno nuovo. In proposito, è opportuno aggiornare il consenso a intervalli temporali appropriati, in quanto fornire nuovamente tutte le informazioni sul trattamento dati contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.
4.6 I requisiti del consenso al trattamento dei dati: f) la revocabilità del consenso
Il consenso al trattamento dei dati deve essere infine revocabile in qualsiasi momento, e la revoca deve essere semplice e facile, così come lo è dare il consenso.
Non vi è alcun obbligo di motivare la revoca, a seguito della quale il trattamento deve interrompersi (ovviamente la revoca non comporta illiceità del trattamento precedente, ma solo l’obbligo di terminare il trattamento), a meno che non sussista una differente base giuridica per continuare il trattamento.
Per revocare il consenso, quindi, il titolare deve predisporre una procedura analoga a quella offerta per concedere il consenso. In alternativa è possibile revocare il consenso inviando una comunicazione, o tramite un apposito form sul sito, o tramite mail, ai contatti indicati nel sito all’interno dell’informativa (interpello al titolare). Nel caso in cui il titolare non ottemperi, l’interessato potrà rivolgersi al Garante o all’autorità giudiziaria per la tutela dei propri diritti.
In caso di revoca del consenso, il titolare deve cancellare i dati dell’utente, a meno che non esista una differente base giuridica per conservare alcuni dati, come ad esempio mantenere un registro delle transazioni per motivi fiscali. Per questo motivo è essenziale che il titolare informi l’interessato delle basi giuridiche relative alle varie finalità, in tal modo potrà conservare i dati collegati a basi giuridiche differenti dal consenso. In ogni caso l’azienda può avvertire l’interessato che a seguito della revoca del consenso vi sarà la cancellazione dei dati e la conseguente impossibilità di fornire ulteriori servizi.
5. Le basi giuridiche del trattamento dei dati diverse dal consenso
Il consenso è solo una delle basi giuridiche previste dal GDPR, il quale ne prevede altre cinque. È specifico dovere del titolare del trattamento valutare quale tra esse è la base giuridica più idonea per il trattamento che egli intende porre in essere.
In primo luogo, un trattamento dei dati personali è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso interessato. Il criterio di necessità deve ritenersi soddisfatto solo se il contratto non può essere integralmente eseguito senza il trattamento dei dati.
In secondo luogo, un trattamento dei dati personali è lecito se il titolare del trattamento è soggetto ad un obbligo di legge. L’obbligo legale del titolare deve soddisfare quattro condizioni:
- deve essere definito dalla legge europea o nazionale di uno Stato membro a cui è soggetto il titolare del trattamento;
- tali disposizioni legali devono stabilire un obbligo imperativo di trattamento dei dati personali, sufficientemente chiaro e preciso;
- tali disposizioni devono almeno definire le finalità del trattamento in questione;
- tale obbligo deve essere imposto al titolare del trattamento e non alle persone interessate dal trattamento.
In terzo luogo, un trattamento dei dati personali è lecito se sussistono interessi vitali della persona interessata o di terzi. Il trattamento è ammesso se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, come nel caso di un incidente stradale oppure se l’interessato si trova nell’incapacità fisica di prestare il consenso. L’interesse deve essere così importante per la vita dell’interessato che questi consentirebbe di attuare un determinato trattamento di dati senza ulteriori presupposti.
In quarto luogo, un trattamento dei dati personali è lecito quando il trattamento è necessario per il perseguimento dei legittimi interessi del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Infine, un trattamento dei dati personali è lecito se sussiste un interesse pubblico o nell’esercizio di pubblici poteri. Questa base giuridica si applica in particolare per il trattamento effettuato dalle autorità pubbliche necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (es. fini umanitari, controllo di epidemie, catastrofi naturali e umane) di cui è investito il titolare del trattamento (tramite legge statale o dell’Unione).
L’art. 2 -sexies del Codice Privacy precisa che la finalità di interesse pubblico deve essere prevista dal diritto UE ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino:
- i tipi di dati che possono essere trattati;
- le operazioni eseguibili e il motivo di interesse pubblico rilevante;
- le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il comma 2 elenca alcune ipotesi di interesse pubblico rilevante stabilite dalla legge (ad esempio, accesso a documenti amministrativi e accesso civico; tenuta di registri pubblici relativi a beni immobili o mobili; attività di controllo e ispettive).
6. I diritti degli interessati
La protezione dei dati personali degli interessati è assicurata dal riconoscimento di una serie di diritti, elencati analiticamente agli artt. 15-22 GDPR. L’interessato è messo nelle condizioni di esercitare i propri diritti attraverso le informazioni che il titolare è tenuto a fornirgli nel momento in cui raccoglie i suoi dati personali (art. 13 GDPR) o lo fa mediante altre fonti, e non direttamente presso l’interessato (art. 14 GDPR).
I diritti dell’interessato sono:
- il diritto di accesso ai propri dati personali;
- il diritto di rettifica;
- il diritto alla cancellazione;
- il diritto di limitazione del trattamento;
- il diritto alla portabilità dei dati;
- il diritto di opposizione.
Il diritto di accesso ai propri dati personali è prodromico all’esercizio di tutti gli altri diritti, ed è riconosciuto all’interessato all’art. 15 GDPR. Il titolare del trattamento deve fornire all’interessato una copia dei dati personali oggetto di trattamento, in forma intelligibile, cioè con modalità tali da facilitare la comprensione delle informazioni fornite.
In particolare, l’interessato ha il diritto di sapere se un trattamento dei propri dati personali è in corso e di accedere alle seguenti informazioni:
- finalità del trattamento;
- categorie dei dati in questione;
- destinatari o categorie di destinatari a cui i dati sono comunicati;
- periodo di conservazione dei dati personali previsto oppure, se non è possibile, criteri utilizzati per determinare tale periodo;
- esistenza del diritto di rettificare o cancellare i dati personali o limitare il loro trattamento;
- diritto di proporre reclamo all’autorità di controllo;
- tutte le informazioni disponibili sulle fonti dei dati oggetto del trattamento, qualora i dati non siano raccolti presso l’interessato;
- nel caso di decisioni automatizzate, la logica applicata nei trattamenti automatizzati dei dati.
L’interessato può inoltre chiedere al titolare di correggere le inesattezze dei dati personali che lo riguardano. Le inesattezze possono riguardare anche l’incompletezza dei dati stessi; in questo caso l’interessato potrà chiedere al titolare l’integrazione dei dati, anche mediante una dichiarazione specifica.
I dati personali devono essere rettificati senza ingiustificato ritardo, a meno che la richiesta di rettifica non sia correlata a questioni giuridicamente rilevanti, legittimando il titolare a richiedere la prova delle presunte inesattezze.
L’interessato ha il diritto alla cancellazione dei dati (c.d. diritto all’oblio), allo scopo di rendere efficaci i principi di protezione dei dati, soprattutto nell’ambiente online.
Il titolare è tenuto a dare corso alla richiesta di cancellazione dei dati, senza ingiustificato ritardo, quando:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento;
- l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
- i dati personali sono raccolti relativamente all’offerta di servizi della società dell’informazione a minori, ai sensi dell’art. 8 GDPR.
Il diritto alla cancellazione non è privo di eccezioni, riguardanti i casi in cui il trattamento dei dati personali sia necessario per:
- l’esercizio del diritto alla libertà di espressione e di informazione;
- l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- motivi di interesse pubblico nel settore della sanità pubblica;
- fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici;
- l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Come evidenziato dal Gruppo WP29, il diritto all’oblio non è assoluto, va ponderato con gli altri diritti e, quindi, il risultato di una richiesta può variare a seconda del caso in questione.
Se il titolare ha reso pubblici i dati oggetto della richiesta di cancellazione, ha l’obbligo di ottemperare alla richiesta e adottare misure ragionevoli per informare gli altri titolari del trattamento dei medesimi dati circa la richiesta di cancellazione, tenendo conto anche delle tecnologie disponibili e dei costi di attuazione.
Gli interessati possono chiedere la limitazione del trattamento quando:
- viene contestata l’esattezza dei dati personali;
- il trattamento è illecito e l’interessato chiede la limitazione dell’utilizzo dei dati personali invece della cancellazione;
- i dati devono essere conservati per l’esercizio o la difesa di un diritto in sede giudiziaria;
- è pendente una decisione in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
In caso di revoca della limitazione, il titolare è tenuto a informare l’interessato prima di effettuare tale revoca. Eventuali rettifiche o cancellazioni dei dati personali o limitazioni del trattamento devono essere comunicate dal titolare a ciascuno dei destinatari a cui sono stati trasmessi i dati, a meno che ciò non risulti impossibile o sproporzionato (art. 19 GDPR).
L’interessato può chiedere al titolare di fornire le informazioni riguardanti tali destinatari e il titolare è tenuto a fornirgliele. A titolo di esempio, un titolare del trattamento può limitare il trattamento dei dati personali trasferendo temporaneamente i dati selezionati verso un altro sistema di trattamento, renderli inaccessibili agli utenti o rimuoverli temporaneamente.
Ai sensi dell’art. 20 GDPR, gli interessati possono esercitare il diritto alla portabilità dei dati trattati con mezzi automatizzati e sulla base del consenso o per l’esecuzione di un contratto.
Ciò significa che il diritto alla portabilità dei dati non si applica qualora il trattamento dei dati personali si basa su un fondamento giuridico diverso dal consenso o contratto.
Gli interessati hanno il diritto di ottenere la trasmissione diretta dei loro dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. A tal fine, il titolare del trattamento deve sviluppare formati interoperabili che consentano la portabilità dei dati. Per interoperabilità s’intende la capacità di sistemi di informazione e comunicazione, di interagire e scambiare dati e informazioni senza vincoli sulle implementazioni mediante protocolli sviluppati a tale scopo.
Il diritto di opposizione (art. 21 GDPR) è riconosciuto agli interessati che si trovano in particolari condizioni, quando la base giuridica del trattamento è l’esecuzione da parte del titolare di un compito svolto nel pubblico interesse o il legittimo interesse del titolare stesso, compresa la profilazione fondata su tali basi giuridiche.
Nell’esercizio del diritto di opposizione per particolari motivi occorre valutare il bilanciamento tra i diritti di protezione dei dati dell’interessato e i motivi legittimi (che devono essere “cogenti”, come specificato dall’art. 21 del GDPR) per i quali il titolare intenderebbe continuare a trattare tali dati. L’onere della prova spetta, dunque, al titolare, il quale dovrà dimostrare l’esistenza di motivi cogenti per continuare il trattamento.
Una volta accolta un’opposizione, il titolare non può più trattare i dati dell’opponente. Resteranno valide, tuttavia, tutte le operazioni svolte prima dell’opposizione.
L’art. 21 del GDPR, al paragrafo 2, prevede il diritto di opporsi all’ulteriore trattamento dei dati per finalità di marketing diretto, in qualsiasi momento e gratuitamente. Gli interessati devono essere informati di tale diritto chiaramente e separatamente da qualsiasi altra informazione.
L’opposizione ai dati personali trattati nell’ambito di servizi della società dell’informazione, ossia quelli prestati normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi, può avvenire con mezzi automatici.
I titolari che offrono tali servizi devono mettere in atto misure e procedure tecniche adeguate per garantire che il diritto di opposizione con mezzi automatizzati possa essere esercitato in modo efficace (ad es. bloccando i cookies nelle pagine web).
Infine, qualora i dati personali siano trattati a fini di ricerca scientifica, storica o per finalità statistiche, l’interessato può opporsi per motivi connessi alla sua situazione particolare, a meno che il trattamento non sia necessario per l’esecuzione di un compito di interesse pubblico.
Per approfondire i nostri servizi di assistenza e consulenza in tema di compliance aziendale, visionate la pagina dedicata del nostro sito.
Avv. Valerio Pandolfini
Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.
Le informazioni contenute in questo articolo sono da considerarsi sino alla data di pubblicazione dello stesso; le norme regolatrici la materia potrebbero essere nel frattempo state modificate.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni riportate nell’articolo non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie.
Di conseguenza, il presente articolo non costituisce un (né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.