Il consenso al trattamento dei dati personali è sempre necessario? È possibile chiedere il consenso al trattamento dei dati online, tramite flag? È possibile chiederlo verbalmente, magari registrandolo? Devo conservare il modulo dove l’interessato ha espresso il suo consenso? Per quanto tempo? Cosa altro devo essere in grado di dimostrare?
Quello del consenso al trattamento dei dati personali è un tema molto caldo, soprattutto dall’entrata in vigore del Regolamento UE 2016/679, nel maggio del 2018. Prima di approfondire i requisiti del consenso e i mezzi per dimostrare il suo ottenimento, è opportuno fare un passo indietro e chiedersi, anzitutto: cos’è il consenso?
Come noto, affinché il trattamento di dati personali sia considerato lecito, occorre che sia fondato su quella che è definita dal Regolamento UE 2016/679 come “base giuridica”, ossia su una giustificazione legale che permette alle organizzazioni, in qualità di titolari del trattamento, di trattare i dati personali degli interessati.
Il Regolamento UE 2016/679 riconosce una serie di basi giuridiche, che sono elencate:
- all’art. 6, che si applica ai dati cosiddetti “comuni”: qui troviamo, ad esempio, la base giuridica dell’obbligo di legge, dell’esecuzione del contratto, del legittimo interesse;
- all’art. 9, per quanto riguarda i dati appartenenti a categorie particolari, dove troviamo ad esempio motivi di interesse pubblico nel settore della sanità pubblica, garanzia di sicurezza dei dispositivi medici, archiviazione nel pubblico interesse, tutela di interesse vitali dell’interessato.
Sia l’art. 6 che l’art. 9 prevedono, tra le varie basi giuridiche a cui può fare ricorso il titolare, il consenso degli interessati.
Prima di avviare qualsiasi trattamento, dunque, il titolare deve sempre valutare con attenzione la base giuridica più appropriata, dovendo determinare quale, tra quelle possibili, sia effettivamente corretta e condivisibile per la finalità in questione.
Cos’è il consenso e quali sono i requisiti essenziali?
Secondo l’art. 4, punto 11 del Regolamento, il consenso è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
L’art. 7 GDPR, i Considerando 32 e 43, nonché le Linee guida 5/2020 sul consenso ai sensi del Regolamento UE 2016/679, pubblicate il 4 maggio 2020 dall’European Data Protection Board (“EDPB”) prescrivono che il consenso sia effettivo, autodeterminato, dimostrabile e, infine, revocabile.
Di seguito la descrizione di alcuni dei requisiti essenziali previsti dalle norme.
Anche qui è sottolineato, come all’art. 7 GDPR, che il consenso deve essere dimostrabile.
Come dimostro di aver raccolto il consenso?
Quando i trattamenti di dati personali trovano legittimità nel consenso dell’interessato, il titolare del trattamento deve porsi in condizione di poter dimostrare di averlo raccolto rispettando i requisiti di validità sopra esposti. L’impossibilità di fornire prova di aver validamente raccolto il consenso equivarrebbe (in termini sanzionatori) ad aver attuato un trattamento in assenza di idonea base giuridica, come specificato in questo provvedimento dell’Autorità Garante che ha sanzionato una società per violazione delle disposizioni in materia di consenso che la società non è riuscita a documentare.
Il Regolamento non prescrive esattamente come il consenso debba essere dimostrato così come non prescrive alcun obbligo di forma per il suo conferimento. Le Linee Guida sul consenso dell’EDPB specificano infatti che “il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane”.
Il Titolare dovrà innanzitutto valutare lo specifico contesto in cui viene richiesto il consenso degli interessati e valutare di conseguenza quale strumento utilizzare per raccoglierlo, anche alla luce di svariate considerazioni di opportunità che tengano conto, ad esempio, dei costi da sostenere per l’adozione di specifiche soluzioni tecniche o della disponibilità e idoneità degli spazi fisici per la conservazione del cartaceo, delle eventuali peculiarità del processo di raccolta del dato personale, del “grado probatorio” che si intende raggiungere.
Ecco alcune delle soluzioni possibili.
L’ipotesi più frequente è che il consenso venga richiesto e raccolto per iscritto. Questo perché la forma scritta consente di ottenere una prova immediata del suo conferimento. Generalmente le organizzazioni si assicurano la prova dell’esistenza del consenso attraverso
- la conservazione del modulo cartaceo sottoscritto;
- la conservazione della scansione del modulo sottoscritto;
- la conservazione della mail di conferimento espresso del consenso;
- il ricorso a soluzioni di firma elettronica.
Una modalità di raccolta del consenso spesso utilizzata quando il processo di raccolta del dato avviene su applicativi o siti web è quello del “flag” di consenso, la cui apposizione da parte dell’utente costituisce un gesto inequivocabile e proattivo. Tale modalità di gestione dei consensi, laddove attuata nel rispetto di specifiche garanzie tecniche e giuridiche, si pone perfettamente in linea con la normativa di protezione dei dati.
CI sono poi casi in cui il contatto con l’interessato è solo verbale e, di conseguenza, anche l’eventuale consenso al trattamento dei dati viene richiesto e ottenuto verbalmente. In tal caso, le organizzazioni soddisfano la necessità probatoria ricorrendo a strumenti di registrazione vocale.
Quale che sia la modalità e lo strumento prescelti per la raccolta del consenso, è bene essere consapevoli che non è sufficiente dimostrare la mera esistenza di tale consenso, ma occorrerà che ne sia dimostrata anche la validità: servirà quindi fornire prova di tutte quelle circostanze che assicurano che quel consenso sia stato conferito liberamente, in modo informato, specifico e inequivocabile.
Le linee guida dell’EDPB, ad esempio, spiegano che nei casi di raccolta di un consenso verbale il titolare dovrebbe essere in grado di dimostrare anche il “come” e il “quando” del suo conferimento e le informazioni fornite prima della sua raccolta.
Lo stesso vale nel contesto online. Ad esempio, l’impostazione di una casella di raccolta del consenso (es. per il marketing) “preflaggata” oppure a selezione obbligata per l’accesso ad un servizio non è rispettosa dei requisiti di libertà ed inequivocabilità del consenso sopra illustrati. Il titolare dovrà inoltre adottare soluzioni tecniche che gli consentono di fornire prova dello specifico processo in cui il consenso si inserisce: la sessione di navigazione eseguita, la procedura seguita dall’interessato per acconsentire al trattamento, l’informativa ad esso correlata etc. In sostanza, non è sufficiente dimostrare che il sito web è generalmente configurato in modo corretto.
Anche laddove il consenso sia fornito per iscritto, occorrerà comunque tenere prova delle informazioni fornite all’interessato prima della sua raccolta, del momento in cui è stato conferito, della procedura seguita per la sua richiesta, delle modalità con cui è stato prestato etc.
“Per quanto tempo devo conservare i consensi privacy?”
Un altro quesito che spesso sorge in relazione alla dimostrazione dei consensi attiene ai tempi di conservazione di tali prove. Il Regolamento non individua un termine specifico, ponendosi in linea con il generale principio di limitazione della conservazione dei dati che impone che essi siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
Le Linee guida sul consenso già menzionate specificano che sussiste l’obbligo di dimostrare l’esistenza del consenso “fintantoché dura l’attività di trattamento dei dati in questione”. Al termine dell’attività di trattamento, la prova del consenso ad un trattamento di dati già svolto dev’essere conservata non più di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, tenuto altresì conto del diritto di revoca del consenso di cui gode l’interessato e dell’esistenza di obblighi giuridici che impongono al Titolare di cancellare dei dati personali.
Da ultimo, si consideri anche che il Regolamento non specifica alcun termine per la durata del consenso al trattamento dei dati. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se i trattamenti subiscono modifiche o evoluzioni considerevoli, il titolare non potrà più considerare valido il consenso originariamente raccolto e dovrà provvedere a raccoglierne uno nuovo. Come migliore prassi, infatti, l’EDPB raccomanda di aggiornare il consenso a intervalli temporali appropriati, in quanto fornire nuovamente tutte le informazioni sul trattamento dati contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.
In conclusione, l’altra faccia del principio di accountability che richiede alle organizzazioni la dimostrabilità di aver adempiuto correttamente alla normativa, nel caso specifico dei consensi si traduce per i titolari nell’attuare misure idonee a raccogliere il consenso e provarne la validità, tenendo sempre bene a mente che raccogliere un consenso invalido equivale a non averlo raccolto affatto.