Background

Lo scorso 12 dicembre 2017, il Gruppo di lavoro Articolo 29 (WP29) ha pubblicato la propria bozza di Linee Guida sul Consenso (disponibili al momento solo in inglese) ai sensi del Regolamento Generale UE sulla Protezione dei Dati Personali 2016/679 (di seguito, rispettivamente, Linee Guida e RGPD).

Il consenso rappresenta una delle sei basi giuridiche che permettono di trattare dati personali (art. 6 del RGPD) e il suo ruolo fondamentale è sottolineato anche dagli artt. 7 e 8 della Carta sui diritti fondamentali dell’Unione Europea.

Le Linee Guida sono state redatte sulla base del precedente Parere n. 15/2011 sulla definizione di consenso (Parere, disponibile solo in inglese) adottato il 13 luglio 2011. In questa nuova bozza di Linee Guida, il WP29 amplia il contenuto del precedente Parere e fornisce importanti chiarimenti in merito all’applicazione dei principi del RGPD per ottenere un valido consenso.

Come rilevato dal WP29, il concetto di consenso previsto dall’attuale bozza di Regolamento e-privacy è in linea con quanto previsto nel RGPD. Tuttavia, il WP29 precisa che nel caso in cui la proposta di Regolamento e-privacy non dovesse essere adottata entro il 25 maggio 2018, i requisiti per ottenere un valido consenso previsti dal RGPD saranno applicabili anche a situazioni che rientrano nell’ambito di applicazione dell’attuale Direttiva e-privacy 2002/58/CE (compreso il consenso alle comunicazioni marketing ed al monitoraggio online).

Questioni principali

L’articolo 4(11) del RGPD definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento“.

Per quanto possa sembrare ovvio, il WP29 ha chiarito che i requisiti per ottenere il consenso previsti dal RGPD non vanno considerati come un onere eventuale quanto piuttosto come una precondizione necessaria per legittimare il trattamento.

Le Linee Guida sono suddivise in varie sezioni, che analizzano diversi aspetti del testo del citato articolo 4(11) del RGPD.

Il WP29 osserva che il concetto di “libertà” implica una concreta possibilità di scelta e controllo da parte dell’interessato. Ci sono infatti situazioni in cui questi non ha effettivamente una reale possibilità di scelta a causa di uno sbilanciamento in favore del titolare del trattamento (è ad esempio il caso dei rapporti tra datore di lavoro e dipendenti, o tra cittadini e pubblica autorità). Come previsto dal Considerando 43 del RGPD, quanto rilevato in precedenza porta a ritenere che i datori di lavoro e le pubbliche autorità dovrebbero evitare di fondare le proprie operazioni di trattamento sul consenso, salvo che in particolari circostanze (nelle quali si possa presumere che il consenso non sia viziato da uno sbilanciamento di poteri, come evidenziato negli esempi 2, 3 e 4 delle Linee Guida). Peraltro, nel caso in cui il consenso venga ricompreso all’interno di termini e condizioni contrattuali non negoziabili, si presume che esso non venga reso in modo libero. Ed infatti, l’art. 7(4) del RGPD considera il condizionamento come un elemento idoneo a far presumere una mancanza di libertà nella manifestazione del consenso e dimostra come quest’ultimo debba essere verificato attentamente.

Nella sezione che si occupa della “granularità“, le Linee Guida osservano che quando il trattamento di dati personali viene posto in essere per finalità diverse, queste dovrebbero essere indicate separatamente al fine di poter esprimere un consenso specifico per ciascuna di esse. A tale considerazione del WP29 ne è seguita un’altra, strettamente correlata alla precedente. Il consenso deve essere specifico, come previsto dall’art. 6(1a) del RGPD, che conferma come l’interessato debba manifestarlo in relazione ad “una o più specifiche” finalità.

Tuttavia, un consenso specifico potrà essere ottenuto solo quando l’interessato sia stato specificatamente informato sulle finalità per le quali si intendono usare i dati a lui riferiti. Il RGPD introduce elevati standard in termini di chiarezza ed accessibilità delle informazioni, che devono essere fornite in un linguaggio semplice, e richiede che i titolari valutino previamente i soggetti ai quali si rivolgeranno per stabilire quali informazioni fornire e come fornirle.

Al fine di evitare criticità per l’utente o per il design del prodotto, le Linee Guida ipotizzano che fornire le informazioni in modo stratificato potrebbe rappresentare una soluzione idonea per adattarsi a piccoli schermi o a situazioni con spazi ristretti.

Un altro importante requisito prevede che il consenso debba essere fornito in modo inequivocabile, evitando l’uso di caselle precompilate. L’interessato deve infatti compiere un’azione positiva per acconsentire a particolari trattamenti, come un’azione fisica oppure una dichiarazione scritta o ancora oralmente, mediante registrazione, e ciò anche tramite strumenti elettronici (es. attraverso lo scorrimento sullo schermo).

Il WP29 avverte inoltre che, nel contesto digitale, richieste di consenso continue, che necessitino di click o “strisciate” quotidiane, potrebbero determinare l’insorgenza di una click fatigue (letteralmente “fatica da click”), tale da svilire i meccanismi previsti per una valida manifestazione del consenso in quanto l’utente non si cura più di leggere le relative richieste. Il RGPD pone in capo ai titolari il compito di sviluppare modalità idonee a superare tale problematica; in tal senso, una soluzione spesso citata è quella ottenere il consenso direttamente tramite le impostazioni del browser.

Ai sensi del Considerando 42 del RGPD, il titolare ha inoltre l’onere di dimostrare il consenso ottenuto dall’interessato. Tuttavia, tale onere non può di per sé giustificare la raccolta di un quantitativo eccessivo di dati personali oggetto di trattamento.

Il WP29 raccomanda, come misura ottimale, che il consenso sia aggiornato ad intervalli regolari.

L’art. 7(3) del RGPD richiede ai titolari di assicurarsi che il consenso possa essere revocato dall’interessato con la medesima facilità con cui è stato fornito e in ogni tempo. Come osservato dal WP29, l’eventuale mancato rispetto di quanto sopra potrebbe rendere invalido il consenso prestato originariamente.

Tuttavia, nel caso in cui un interessato revochi il proprio consenso e il titolare intenda proseguire nel trattare i dati personali fondandosi su altra base giuridica, non potrà procedere in tal senso senza avvertire l’interessato.

Infine, se il consenso si applica in relazione ad offerte di servizi della società dell’informazione direttamente nei confronti di un minorenne, il trattamento dei relativi dati personali è lecito purché il minore abbia almeno 16 anni. Se invece il minore ha meno di 16 anni, tale trattamento sarà lecito solo se e nella misura in cui il consenso sia stato espresso o autorizzato dall’esercente la potestà genitoriale sul minore.

Implicazioni pratiche

Entro il 25 maggio 2018, al fine di seguire le raccomandazioni fornite dalle Linee Guida, i titolari dovranno:

– rivedere le loro attuali procedure interne di raccolta dei dati personali per assicurarsi che i consensi ricevuti siano allineati al RGPD;

– rivedere le informazioni fornite agli interessati nelle privacy policy per assicurarsi che in esse siano chiaramente esplicitate le basi giuridiche per ognuna delle attività di trattamento effettuate, e che le stesse risultino allineate alle previsioni del RGPD in tema di trasparenza del trattamento;

– sviluppare meccanismi per una corretta raccolta, registrazione e gestione delle revoche dei consensi degli interessati;

– rivedere le proprie procedure di marketing diretto: il meccanismo dell’opt-out per i consensi (salvo che per i clienti esistenti che possano opporsi al marketing diretto) non sarà più considerato sufficiente, così come il silenzio e le caselle precompilate non costituiranno idonee modalità di raccolta del consenso ai sensi del RGPD.