| documento | 2023-02-06 · NEW:  Appunta · Stampa · Cita: 'Doc 96355' · pdf |
Gruppo di lavoro Articolo 29 Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 |
abstract:
Link: https://www.unife.it/it/ateneo/protezione-dati-per
analisi:
index:
testo:
estimated reading time: 95 min GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE per la
protezione dei Dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e al l’articolo 15 della
direttiva 2002/58/CE.
Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondam entali e Stato di diritto) della Commissione europea, direzione
generale Giustizia e consumatori, B -1049 Bruxelles, Belgio, ufficio MO -59 05/35.
Sito internet: http://ec.europa.eu /justice/data -protection/index_en.htm
17/IT
WP 259 rev. 01
Gruppo di lavoro Articolo 29
Linee guida sul Consenso ai sensi del regolamento (UE) 2016 /679
adottate il 28 novembre 2017
come modificate e adottate da ultimo il 10 aprile 2018
IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL
TRATTAMENTO DEI DATI PERSONALI
istituito ai sensi della direttiva 95 /46 /CE del Parlamento europeo e del Consiglio del 24 ottobre
1995 ,
visti gli articoli 29 e 30 della stessa,
visto il suo regolamento interno,
HA ADOTTATO LE PRESENTI LINEE GUIDA:
2
Indice
1. Introduzione ................................ ................................ ................................ ................................ .............. 3
2. Consenso di cui all ’articolo 4, punto 11 , del regolamento generale sulla protezione dei dati ................. 4
3. Elementi del Consenso valido ................................ ................................ ................................ .................... 5
3.1. Consenso libero/manifestazione di volontà libera ................................ ................................ ............ 6
3.1.1. Squilibrio di potere ................................ ................................ ................................ .................... 6
3.1.2. Condizionalità ................................ ................................ ................................ ............................ 8
3.1.3. Granularità ................................ ................................ ................................ ............................... 11
3.1.4. Pregiudizio ................................ ................................ ................................ ............................... 11
3.2. Specifico ................................ ................................ ................................ ................................ ........... 12
3.3. Informato ................................ ................................ ................................ ................................ ......... 14
3.3.1. Requisiti min imi di contenuto del Consenso “informato ” ................................ ....................... 14
3.3.2. Come fornire le informazioni ................................ ................................ ................................ ... 15
3.4. Manifestazione di volontà inequivocabile ................................ ................................ ....................... 17
4. Ottenimento del Consenso esplicito ................................ ................................ ................................ ........ 20
5. Condizioni aggiuntive per l ’ottenimento di un Consenso valido ................................ ............................. 22
5.1. Dimostrazione del consenso ................................ ................................ ................................ ........ 22
5.2. Revoca del consenso ................................ ................................ ................................ ................... 24
6. Interazione tra il Consenso e altre basi legittime di cui all ’articolo 6 del regolamento generale sulla
protezione dei dati ................................ ................................ ................................ ................................ .......... 26
7. Settori specifici di interesse nel regolamento generale sulla protezione dei dati ................................ .. 26
7.1. Minori (articolo 8) ................................ ................................ ................................ ............................ 26
7.1.1. Servizio della società dell ’informazione ................................ ................................ .................. 27
7.1.2. Forniti direttamente a un min ore ................................ ................................ ............................ 28
7.1.3. Età ................................ ................................ ................................ ................................ ............ 28
7.1.4. Consenso de l min ore e responsabilità genitoriale ................................ ................................ .. 29
7.2. Ricerca scientifica ................................ ................................ ................................ ............................ 31
7.3. Diritti dell ’interessato ................................ ................................ ................................ ...................... 33
8. Consenso ottenuto a norma della direttiva 95 /46 /CE ................................ ................................ ............ 34
3
1. Introduzione
Le presenti linee guida forniscono un ’analisi approfondita della nozione di Consenso di cui al
regolamento (UE) 2016 /679 (regolamento generale sulla protezione dei dati). Il concetto di
consenso di cui alla direttiva sulla protezione dei dati (direttiva 95 /46 /CE) e alla direttiva relativa
alla vita privata e alle comunicazioni elettroniche (direttiva 2002 /58 /CE) si è evoluto. Il
regolamento generale sulla protezione dei dati fornisce ulteriori chiarimenti e specifiche sui requisiti
per ottenere e dimostrare un Consenso valido. Prendendo le moss e dal parere 15 /2011 sul consenso,
le presenti linee guida si concentrano sui cambiamenti introdotti, fornendo orientamenti pratici per
garantire il rispetto del regolamento. Il Titolare del Trattamento è tenuto a innovare per trovare
soluzioni che siano c onformi ai requisiti di legge e sostengano meglio la protezione dei dati
personali e gli interessi degli interessati.
Il Consenso rimane una delle sei basi legittime per trattare i dati personali, come disposto
dall ’articolo 6 del regolamento 1. Prima di avviare attività che implicano il Trattamento di dati
personali, il Titolare del Trattamento deve sempre valutare con attenzione la base legittima
appropriata per il trattamento.
Di norma, il Consenso può costituire la base legittima appropriata solo se a ll’interessato vengono
offerti il controllo e l ’effettiva possibilità di scegliere se accettare o meno i termini proposti o
rifiutarli senza subire pregiudizio. Quando richiede il consenso, il Titolare del Trattamento deve
valutare se soddisferà tutti i re quisiti per essere valido. Se ottenuto nel pieno rispetto del
regolamento, il Consenso è uno strumento che fornisce all ’interessato il controllo sul Trattamento dei
dati personali che lo riguardano. In caso contrario, il controllo diventa illusorio e il co nsenso non
costituirà una base valida per il trattamento, rendendo illecita l ’attività di trattamento 2.
Ove coerenti con il nuovo quadro giuridico, i pareri che il Gruppo di lavoro Articolo 29 (in
appresso: Gruppo di lavoro) ha formulato in materia di con senso 3 rimangono pertinenti, in quanto il
regolamento generale sulla protezione dei dati codifica gli orientamenti e le buone prassi generali
del Gruppo di lavoro e lascia immutata la maggior parte degli aspetti essenziali del consenso. Di
conseguenza, il presente documento amplia e completa pareri precedenti del Gruppo di lavoro su
argomenti specifici che fanno riferimento al Consenso ai sensi della direttiva 95 /46 /CE, senza
sostituirli.
Come affermato nel parere 15 /2011 sulla definizione di consenso, l ’invito ad accettare il Trattamento
dei dati dovrebbe essere soggetto a criteri rigorosi, poiché sono in gioco i diritti fondamentali
dell ’interessato e il Titolare del Trattamento intende svolgere un Trattamento che senza il Consenso
1 L’articolo 9 del regolamento generale sulla protezione dei dati fornisce un elenco di possibili esenzioni al divieto di
trattamento di categorie particolari di dati. Una delle esenzioni elencate è il Consenso esplicito dell’interessato all’uso d i
tali dati. 2 Cfr. anc he il parere 15 /2011 sulla definizione di Consenso (WP 187 ), pagine 6-8 e/o il parere 06 /2014 sul concetto di
interesse legittimo del Titolare del Trattamento ai sensi dell’articolo 7 della direttiva 95 /46 /CE (WP 217 ), pagg. 9, 10 , 13
e 14 . 3 In particolar e il parere 15 /2011 sulla definizione di Consenso (WP 187 ).
4
sarebbe illecito 4. Il ruolo cruciale del Consenso è sottolineato dagli articoli 7 e 8 della Carta dei
diritti fondamentali dell ’Unione europea. Inoltre, l ’ottenimento del Consenso non fa venir meno né
diminuisce in alcun modo l ’obbligo del Titolare del Trattamento di rispettare i principi applicabili al
trattamento sanciti nel regolamento generale sulla protezione dei dati, in particolare all ’articolo 5,
per quanto concerne la correttezza, la necessità e la proporzionalità, nonché la qualità dei dati. Il
fatto che il trattamento dei Dati personali si basi sul Consenso dell ’interessato non legittima la
raccolta di dati non necessari a una finalità specifica di trattamento, che sarebbe fondamentalmente
iniqua 5.
Parallelamente, il Gruppo di lavoro è a conoscenza della revisione del la direttiva relativa alla vita
privata e alle comunicazioni elettroniche. La nozione di Consenso nel progetto di regolamento sulla
vita privata e le comunicazioni elettroniche rimane legata a quella del regolamento generale sulla
protezione dei dati 6. È probabile che ai sensi del futuro strumento le organizzazioni necessitino del
consenso per la maggior parte dei messaggi di marketing online, per le chiamate di marketing e per
i metodi di tracciamento online, compreso tramite l ’uso di cookie, applicazioni o altri software. Il
Gruppo di lavoro ha già fornito raccomandazioni e orientamenti al legislatore europeo in merito alla
proposta di regolamento sulla vita privata e le comunicazioni elettroniche 7.
Per quanto riguarda l ’attuale direttiva relativa alla vita privata e alle comunicazioni elettroniche, il
Gruppo di lavoro rileva che i riferimenti alla direttiva 95 /46 /CE abrogata si intendono fatti al
regolamento generale sulla protezione dei dati 8. Ciò vale anche per i riferimenti riguardanti il
consenso, p oiché il regolamento sulla vita privata e le comunicazioni elettroniche non sarà (ancora)
entrato in vigore il 25 maggio 2018 . Ai sensi dell ’articolo 95 del regolamento generale sulla
protezione dei dati, non sono imposti obblighi supplementari in relazion e al Trattamento nel quadro
della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di
comunicazione, nella misura in cui la direttiva relativa alla vita privata e alle comunicazioni
elettroniche impone obblighi sp ecifici aventi il medesimo obiettivo. Il Gruppo di lavoro rileva che i
requisiti per il Consenso ai sensi del regolamento generale sulla protezione dei dati non sono
considerati un “obbligo supplementare ”, bensì condizioni preliminari per la liceità del tr attamento.
Pertanto, tali requisiti sono applicabili alle situazioni che rientrano nel campo di applicazione della
direttiva relativa alla vita privata e alle comunicazioni elettroniche.
2. Consenso di cui all ’articolo 4, punto 11 , del regolamento generale s ulla protezione dei dati
L’articolo 4, punto 11 , del regolamento generale sulla protezione dei dati definisce il Consenso
dell ’interessato come: “qualsiasi manifestazione di volontà libera, specifica, informata e
4 Parere 15 /2011 sulla definizione di Consenso (WP 187 ), pag. 9. 5 Cfr. anche il parere 15 /2011 sulla definizione di Consenso (WP 187 ) e l’articolo 5 del regolamento generale sulla
protezione dei dati. 6 Ai sensi dell’articolo 9 della proposta di regolamento sulla vita privata e le comunicazioni elettroniche, si applicano la
definizione e le condizioni per il Consenso di cui all’articolo 4, punto 11 , e all’articolo 7, del regolamento generale sull a
protezione dei dati. 7 Cfr. “ Opinion 03 /2016 on the evaluation and review of the ePrivacy Directive ” [Parere 03/2016 sulla valutazione e la
revisione della direttiva relativa alla vita privata e alle comunicazioni elettroniche] (WP 240 ). 8 Cfr. articolo 94 del regolamento generale sulla protezione dei dati.
5
inequivocabile dell ’interessato, con la qua le lo stesso manifesta il proprio assenso, mediante
dichiarazione o azione positiva inequivocabile, che i Dati personali che lo riguardano siano oggetto
di trattamento ”.
La nozione di Consenso rimane sostanzialmente simile a quella della direttiva 95 /46 /CE, e il
consenso rimane uno dei presupposti per il Trattamento dei dati personali, ai sensi dell ’articolo 6 del
regolamento generale sulla protezione dei dati 9. Oltre alla definizione modificata di cui all ’articolo
4, punto 11 , il regolamento fornisce ul teriori indicazioni, all ’articolo 7 e ai considerando 32 , 33 , 42
e 43 , su come il Titolare del Trattamento deve agire per rispettare gli elementi principali del requisito
del consenso.
L’inclusione, nel regolamento, di disposizioni e considerando specific i sulla Revoca del Consenso
conferma che quest ’ultimo dovrebbe essere una decisione reversibile e che l ’interessato mantiene
un certo grado di controllo.
3. Elementi del Consenso valido
L’articolo 4, punto 11 , del regolamento generale sulla protezione dei dati stabilisce che il Consenso
dell ’interessato è qualsiasi:
- manifestazione di volontà libera,
- specifica,
- informata e
- inequivocabile dell ’interessato, con la quale lo stesso manifesta il proprio assenso, mediante
dichiarazione o azione positiva inequivocabile, che i Dati personali che lo riguardano siano
oggetto di trattamento.
Le sezioni che seguono analizzano la misura in cui la formulaz ione dell ’articolo 4, punto 11 ,
richiede al Titolare del Trattamento di modificare le sue richieste/i suoi moduli di Consenso affinché
siano conformi al regolamento generale sulla protezione dei dati 10.
9 Il consenso, definito nella direttiva 95 /46 /CE come “ qualsiasi manifestazione di volontà libera, specifica e informata
con la quale la persona interessata accetta che i Dati personali che la riguarda no siano oggetto di un trattamento ”,
deve essere “manifestato in maniera inequivocabile” in maniera da rendere legittimo il Trattamento dei Dati personali
(articolo 7, lettera a), della direttiva 95 /46 /CE). Cfr. Gruppo di lavoro Articolo 29 , Parere 15/2011 sulla definizione di
consenso (WP 187 ), per esempi sull’adeguatezza del Consenso come base legittima. In tale parere, il Gruppo di lavoro
ha fornito linee guida atte a distinguere il caso in cui il Consenso costituisca una base lecita appropriata rispetto ai casi in
cui è sufficiente fare affidamento su motivi di interesse legittimo (magari offrendo un’opportunità di rinuncia, “ opt -
out ”) o sarebbe raccomandabile fondare il Trattamento su un rapporto contrattuale. Cfr. anche il parere 06 /2014 del
Gruppo di lavoro, sezione III. 1.2, pag. 17 e successive. Il Consenso esplicito è anche una delle esenzioni al divieto di
trattamento di categorie particolari di dati: cfr. articolo 9 del regolamento generale sulla protezione dei dati. 10 Per orientamenti in merito al le attività di Trattamento in corso basate sul Consenso di cui alla direttiva 95 /46 , cfr. il
capitolo 7 del presente documento e il considerando 171 del regolamento generale sulla protezione dei dati.
6
3.1. Consenso libero/manifestazione di volontà libera 11
L’elemento della manifestazione di volontà “libera ” implica che l ’interessato abbia una scelta
effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se
l’interessato non dispone di una scelta effettiva, si sente obblig ato ad acconsentire o subirà
conseguenze negative se non acconsente, il Consenso non sarà valido 12. Se il Consenso è parte non
negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato
liberamente. Di conseguenza, il Consenso non sarà considerato libero se l ’interessato non può
rifiutarlo o revocarlo senza subire pregiudizio 13. Il regolamento generale sulla protezione dei dati ha
preso in considerazione anche la nozione di squilibrio tra il Titolare del Trattamento e l ’interessato.
Nel valutare se il Consenso sia stato prestato liberamente, si deve anche tener conto dell ’eventualità
che il Consenso sia collegato all ’esecuzione di un contratto o alla prestazione di un servizio come
descritto all ’articolo 7, paragrafo 4. L’articolo 7, paragrafo 4, contenendo l ’inciso “tra le altre ”, non
è esaustivo e può quindi comprendere altre eventualità. In termini generali, qualsiasi azione di
pressione o influenza inappropriata sull ’interessato (che si può manifestare in svariati mo di) che
impedisca a quest ’ultimo di esercitare il suo libero arbitrio, rende il Consenso invalido.
[Esempio 1]
Un ’applicazione mobile per il fotoritocco chiede agli utenti di attivare la localizzazione GPS per l ’utilizzo dei
suoi servizi. L ’applicazione comunica agli utenti che utilizzerà i dati raccolti per finalità di Pubblicità
comportamentale. Né la geolocalizzazione né la Pubblicità comportamentale online sono necessarie per la
prestazione del servizio di fotoritocco e vanno oltre la fornitura del se rvizio principale. Poiché gli utenti non
possono utilizzare l ’applicazione senza acconsentire a tali finalità, il Consenso non può essere considerato
liberamente espresso.
3.1.1. Squilibrio di potere
Il considerando 43 14 indica chiaramente che è improbabile che le autorità pubbliche possano
basarsi sul Consenso per effettuare il trattamento, poiché quando il Titolare del Trattamento è
un ’autorità pubblica sussiste spesso un evidente squilibrio di potere nella relazione tra il Titolare del
trattamento e l ’interessat o. In molti di questi casi è inoltre evidente che l ’interessato non dispone di
11 In svariati pareri il Gruppo di lavoro Articolo 29 ha esaminato i limiti del Consenso in situazioni in cui non sia
possibile esprimerlo liberamente. Ciò è avvenuto in particolare nei seguenti documenti del Gruppo: parere 15 /2011 sulla
definizione di Consenso (WP 187 ), documento di lavoro sul Trattamento dei dati personali relativi alla salute contenuti
nelle cartelle cliniche elettroniche (WP 131 ), parere 8/2001 sul Trattamento dei Dati personali nel contesto lavorativo
(WP 48 ) e “ Second opinion 4/2009 on processing of data by the World Anti -Doping Agency (WADA) (International
Standard for the Protection of privacy and Personal Information, on related provisions of the WADA Code and on
other privacy issues in the context of the fight against doping in s port by WADA and (national) anti -doping
organizations ” [Secondo parere 4/2009 sul Trattamento dei dati da parte dell’Agenzia mondiale antidoping (AMA) -
norma internazionale per la tutela della vita privata e delle informazioni personali, sulle relative di sposizioni del codice
AMA e sulla altre questioni relative alla tutela della vita privata nel contesto della lotta contro il doping nello sport da
parte dell’AMA e delle organizzazioni (nazionali) antidoping] (WP 162 ). 12 Cfr. parere 15 /2011 sulla definizione di Consenso (WP 187 ), pag. 13 . 13 Cfr. considerando 42 e 43 del regolamento generale sulla protezione dei dati e il parere del Gruppo di lavoro 15/2011
sulla definizione di consenso, adottato il 13 luglio 2011 (WP 187 ), pag. 13. 14 Il cons iderando 43 del regolamento generale sulla protezione dei dati afferma: “Per assicurare la libertà di
espressione del consenso, è opportuno che il Consenso non costituisca un valido presupposto per il Trattamento dei dati
personali in un caso specifico, qu alora esista un evidente squilibrio tra l’interessato e il Titolare del trattamento, specie
quando il Titolare del Trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il Consenso sia stato
espresso liberamente in tutte le circostanze di tale situazione specifica. (…)”.
7
alternative realistiche all ’accettazione (dei termini) del trattamento. Il Gruppo di lavoro ritiene che
esistano altre basi legittime, in linea di principio più appropriate, per il Trattamento da parte delle
autorità pubbliche 15.
Fatte salve queste considerazioni generali, il regolamento non esclude completamente il ricorso al
consenso come base legittima per il Trattamento dei dati da parte delle autorità pubbliche. I seguenti
esempi mostrano infatti che l ’uso del Consenso può essere appropriato in determinate circostanze.
[Esempio 2]
Un comune sta pianificando l ’esecuzione di lavori di manutenzione stradale. Poiché i lavori possono perturbare
il traffico per parecchio tempo, il comune offre ai cittadini la possibilità di iscriversi a una mailing list per
ricevere aggiornamenti sull ’avanzamento dei lavori e sui ritardi previsti. Il comune chiarisce che la
partecipazione non è obbligatoria e chiede il Consenso a utilizzare gli i ndirizzi di posta elettronica per questa
finalità (esclusiva). I cittadini che non acconsentono non perderanno l ’accesso ad alcun servizio fondamentale
del comune né alcun diritto, di conseguenza possono esprimere o rifiutare liberamente il loro Consenso a questo
uso dei dati. Tutte le informazioni sui lavori stradali saranno disponibili anche sul sito web del comune.
[Esempio 3]
Un proprietario terriero necessita di alcuni Permessi tanto dal comune quanto dalla provincia. Entrambi gli enti
pubblici richi edono le stesse informazioni per il rilascio dei permessi, ma non hanno accesso alle rispettive
banche dati. Di conseguenza entrambi chiedono le stesse informazioni e il proprietario terriero invia i dati ad
entrambi. Il comune e la provincia chiedono il c onsenso dell ’interessato per riunire i fascicoli al fine di evitare
duplicazioni di procedure e corrispondenza. Entrambi gli enti pubblici assicurano che ciò è facoltativo e che le
richieste di permesso verranno comunque trattate separatamente qualora l ’interessato decida di non
acconsentire alla riunione dei fascicoli. Il proprietario terriero può quindi esprimere liberamente il Consenso
alle autorità per la finalità di riunione dei fascicoli.
[Esempio 4]
Una scuola pubblica chiede agli studenti il conse nso ad utilizzare le loro fotografie in una rivista studentesca in
formato cartaceo. In questo caso il Consenso costituisce una scelta vera e propria a condizione che agli studenti
non vengano negati l ’istruzione o altri servizi e che gli studenti possano rifiutare il Consenso senza subire
pregiudizio 16.
Lo squilibrio di potere sussiste anche nel contesto dell ’occupazione 17. Data la dipendenza risultante
dal rapporto datore di lavoro/dipendente, è improbabile che l ’interessato sia in grado di negare al
datore di lavoro il Consenso al Trattamento dei dati senza temere o rischiare di subire ripercussioni
negative come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere
liberamente, senza percepire pressioni, alla richiesta d el datore di lavoro di acconsentire, ad
esempio, all ’attivazione di sistemi di monitoraggio, quali la sorveglianza con telecamere sul posto
di lavoro, o alla compilazione di moduli di valutazione 18. Di conseguenza il Gruppo di lavoro
15 Cfr. articolo 6 del regolamento generale sulla protezione dei dati, in particolare il paragrafo 1 lettera c) e lettera e). 16 Ai fini di questo esempio, con “scuola pubblica” si intende una scuola finanziata con fondi pub blici o qualsiasi
struttura educativa che si qualifica come un’autorità pubblica o un ente pubblico ai sensi della legislazione nazionale. 17 Cfr. anche l’articolo 88 del regolamento generale sulla protezione dei dati, nel quale si sottolinea la necessità d i
tutelare gli interessi specifici dei dipendenti e si crea una possibilità di deroga nel diritto degli Stati membri. Cfr. anch e
il considerando 155 . 18 Cfr. parere 15 /2011 sulla definizione di Consenso (WP 187 ), pagg. 13 -15 ; parere 8/2001 sul Trattamento dei dati
personali nel contesto lavorativo (WP 48 ), capitolo 10 ; documento di lavoro riguardante la vigilanza sulle
8
ritiene problematico pe r il datore di lavoro trattare i Dati personali dei dipendenti attuali o futuri
sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la
maggior parte delle attività di Trattamento svolte sul posto di lavoro, la base l egittima non può e non
dovrebbe essere il Consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazione
della natura del rapporto tra datore di lavoro e dipendente 19.
Tuttavia, ciò non significa che il datore di lavoro non possa mai basar si sul Consenso come base
legittima per il trattamento. In alcune situazioni il datore di lavoro è in grado di dimostrare che il
consenso è stato effettivamente espresso liberamente. Dato lo squilibrio di potere tra il datore di
lavoro e il suo personale, i dipendenti possono manifestare il loro Consenso liberamente soltanto in
casi eccezionali, quando non subiranno alcuna ripercussione negativa per il fatto che esprimano il
loro Consenso o meno 20.
[Esempio 5]
Una troupe cinematografica filmerà una determin ata area di un ufficio. Il datore di lavoro chiede a tutti i
dipendenti che hanno la scrivania in quella zona il Consenso a essere ripresi, in quanto potrebbero apparire
sullo sfondo del video. Chi non vuole essere filmato non viene penalizzato in alcun mo do e ottiene invece una
scrivania altrove nell ’edificio per l ’intera durata delle riprese.
Gli squilibri di potere non sono limitati alle autorità pubbliche e ai datori di lavoro, potendo
verificarsi anche in altre situazioni. Come evidenziato dal Gruppo di lavoro in diversi pareri, il
consenso è valido soltanto se l ’interessato è in grado di operare realmente una scelta e non c ’è il
rischio di raggiri, intimidazioni, coercizioni o conseguenze negative significative (ad es. costi
aggiuntivi sostanziali) i n caso di rifiuto a prestare il consenso. Il Consenso non sarà considerato
liberamente espresso qualora vi sia qualsiasi elemento di costrizione, pressione o incapacità di
esercitare il libero arbitrio.
3.1.2. Condizionalità
Per valutare se il Consenso sia stato prestato liberamente è di rilievo l ’articolo 7, paragrafo 4, del
regolamento 21.
L’articolo 7, paragrafo 4, indica, tra l ’altro, che è altamente inopportuno “accorpare ” il Consenso
all ’accettazione delle condizioni generali di contratto/servizio o “subordinare ” la fornitura di un
contratto o servizio a una richiesta di Consenso al Trattamento di Dati personali che non sono
necessari per l ’esecuzione del contratto o servizio. Si presume che il Consenso prestato in una tale
comunicazioni elettroniche sul posto di lavoro (WP 55), punto 4.2; e parere 2/2017 sul Trattamento dei dati sul posto di
lavoro (WP 249 ), punto 6.2. 19 Cfr. parere 2/2017 sul Trattamento dei dati sul posto di lavoro, pagg. 6-7. 20 Cfr. anche il parere 2/2017 sul Trattamento dei dati sul lavoro (WP 249 ), punto 6.2. 21 L’articolo 7, paragrafo 4, del regolamento generale sulla prote zione dei dati recita: “ Nel valutare se il Consenso sia
stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un
contratto, compresa la prestazione di un servizio, sia condizionata alla prestazio ne del Consenso al Trattamento di dati
personali non necessario all’esecuzione di tale contratto ”. Cfr. anche il considerando 43 del regolamento, che afferma:
“[…] Si presume che il Consenso non sia stato liberamente espresso se non è possibile esprimere u n Consenso separato
a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto,
compresa la prestazione di un servizio, è subordinata al Consenso sebbene esso non sia necessario per tale
esecuzi one” .
9
situazione non sia stato esp resso liberamente (considerando 43 ). L ’articolo 7, paragrafo 4, mira a
garantire che la finalità del Trattamento dei Dati personali non sia mascherata né accorpata
all ’esecuzione di un contratto o alla prestazione di un servizio per il quale i dati persona li non sono
necessari. In tal modo, il regolamento assicura che il Trattamento dei Dati personali per cui viene
richiesto il Consenso non possa trasformarsi direttamente o indirettamente in una controprestazione
contrattuale. Le due basi legittime per la l iceità del Trattamento dei dati personali, ossia il Consenso e
l’esecuzione di un contratto, non possono essere riunite e rese indistinte.
L’obbligo di acconsentire all ’uso di Dati personali aggiuntivi rispetto a quelli strettamente necessari
limita la scelta dell ’interessato e ostacola l ’espressione del libero consenso. Poiché la legislazione in
materia di protezione dei dati mira a tutelare i diritti fondamentali, è essenziale che l ’interessato
abbia il controllo sui propri dati personali; inoltre suss iste una presunzione forte secondo cui il
consenso a un Trattamento di Dati personali non necessario non può essere considerato un
corrispettivo obbligatorio dell ’esecuzione di un contratto o della prestazione di un servizio.
Pertanto, ogni volta che una richiesta di Consenso è legata all ’esecuzione di un contratto da parte del
titolare del trattamento, l ’interessato che non desidera mettere a disposizione i propri Dati personali
per il Trattamento da parte del Titolare corre il rischio di vedersi negare l ’erogazione dei servizi
richiesti.
Per valutare se si verifica una situazione di accorpamento o subordinazione è importante
determinare qual è la portata del contratto e quali dati sono necessari per la sua esecuzione.
Secondo il parere 06 /2014 del Gruppo di lavoro, l ’espressione “necessario per l ’esecuzione di un
contratto ” deve essere interpretata in maniera rigorosa. Il Trattamento deve essere necessario per
adempiere il contratto con ciascun interessato. In quest ’ambito possono rientrare, pe r esempio, il
trattamento dell ’indirizzo dell ’interessato ai fini della consegna delle merci acquistate online o il
trattamento degli estremi della carta di credito per facilitare il pagamento. Nel contesto
occupazionale, questo presupposto potrebbe permet tere, per esempio, il Trattamento di informazioni
riguardanti lo stipendio e le coordinate bancarie per consentire il pagamento degli stipendi 22. È
necessario che vi sia un collegamento diretto e obiettivo tra il Trattamento dei dati e la finalità
dell ’esec uzione del contratto.
Quando il Titolare del Trattamento intende trattare Dati personali che sono effettivamente necessari
per l ’esecuzione di un contratto il Consenso non è la base legittima appropriata 23.
L’articolo 7, paragrafo 4, è pertinente soltant o laddove i dati richiesti non sono necessari per
l’esecuzione del contratto (ivi compreso per la prestazione di un servizio) e l ’esecuzione del
contratto è subordinata all ’ottenimento di tali dati in base al presupposto del consenso. Al contrario,
qualora il Trattamento sia necessario per eseguire il contratto (ivi incluso per la prestazione di un
servizio), l ’articolo 7, paragrafo 4, non si applica.
22 Per maggiori informazioni ed esempi, cfr. parere 06 /2014 sul concetto di interesse legittimo del Titolare del
trattamento ai sensi dell’articolo 7 della direttiva 95 /46/CE, adottato dal Gruppo di lavoro, il 9 aprile 2014 , pagg. 19 -20 .
(WP 217 ). 23 La base legittima appropriata in tal caso potrebbe infatti essere l’articolo 6, paragrafo 1, lettera b) (contratto).
10
[Esempio 6]
Una banca chiede ai clienti il Consenso per consentire a terzi di utilizzare i dettagli di pagamento per finalità di
marketing diretto. Questa attività di Trattamento non è necessaria per l ’esecuzione del contratto stipulato con il
cliente e la prestazione di servizi ordinari di conto bancario. Qualora il rifiuto del cliente a prestare il consen so
per tale finalità di Trattamento porti alla negazione di servizi bancari, alla chiusura del conto bancario o, a
seconda dei casi, a un aumento della commissione, il Consenso non può considerarsi espresso liberamente.
La scelta del legislatore di eviden ziare la condizionalità, tra l ’altro, come presunzione di mancanza
di libertà di esprimere il Consenso dimostra che il verificarsi della condizionalità deve essere
attentamente esaminato. L ’espressione “nella massima considerazione ” di cui all ’articolo 7,
paragrafo 4, suggerisce che il Titolare del Trattamento deve prestare particolare attenzione qualora il
contratto (che potrebbe includere la prestazione di un servizio) sia collegato a una richiesta di
consenso al Trattamento di dati personali.
Poiché l ’articolo 7, paragrafo 4, non è formulato in maniera assoluta, in un numero molto ristretto di
casi tale condizionalità potrebbe non rendere invalido il consenso. Tuttavia, il verbo “si presume ” al
considerando 43 indica chiaramente che tali casi saranno es tremamente eccezionali.
Ad ogni modo, l ’onere della prova riguardo all ’articolo 7, paragrafo 4, incombe al Titolare del
trattamento 24. Questa norma specifica riflette il principio generale di responsabilizzazione che
permea l ’intero regolamento generale sulla protezione dei dati. Tuttavia, quando si applica l ’articolo
7, paragrafo 4, risulta più difficile per il Titolare del Trattamento dimostrare che l ’interessato ha
prestato liberamente il consenso 25.
Il Titolare del Trattamento potrebbe sostenere che l a sua organizzazione offre all ’interessato una
scelta reale mettendolo in grado di scegliere tra un servizio che prevede il Consenso all ’uso dei dati
personali per finalità supplementari, da un lato, e un servizio equivalente che non implica un siffatto
co nsenso, dall ’altro. Finché esiste la possibilità che il contratto venga eseguito o che il servizio
oggetto del contratto venga prestato dal Titolare del Trattamento senza necessità di acconsentire ad
usi ulteriori o supplementari dei dati in questione non si è in presenza di un servizio condizionato.
Tuttavia, i due servizi devono essere effettivamente equivalenti.
Il Gruppo di lavoro ritiene che il Consenso non possa considerarsi prestato liberamente se il Titolare
del Trattamento sostiene che esiste una scelta tra il suo servizio che prevede il Consenso all ’uso dei
dati personali per finalità supplementari, da un lato, e un servizio equivalente offerto da un altro
titolare del trattamento, dall ’altro. In tal caso la libertà di scelta dipenderebbe dagli al tri operatori
24 Cfr. anche l’articolo 7, paragrafo 1, del regolamento generale sulla protezione dei dati, il quale stabilisce che il
titolare del tratta mento deve dimostrare che il Consenso dell’interessato è stato liberamente manifestato. 25 In una certa misura, l’introduzione di questo paragrafo è una codifica delle linee guida esistenti formulate dal Gruppo
di lavoro. Come descritto nel parere 15/2011 , quando un interessato si trova in una situazione di dipendenza rispetto al
titolare del Trattamento dei dati, in ragione della natura della relazione o di circostanze speciali, potrebbe sussistere una
marcata presunzione che la libera manifestazione del co nsenso sia limitata in tali contesti (ad esempio in un rapporto di
lavoro o se la raccolta dei dati è effettuata da un’autorità pubblica). Con l’entrata in vigore dell’articolo 7, paragrafo 4,
sarà più difficile per il Titolare del Trattamento dimostrare c he l’interessato ha prestato liberamente il consenso. Cfr.:
parere 15/2011 sulla definizione di Consenso (WP 187 ), pp. 14 -19 .
11
del mercato e dal fatto che l ’interessato ritenga che i servizi offerti dall ’altro Titolare del Trattamento
siano effettivamente equivalenti. Ciò implicherebbe inoltre l ’obbligo per il Titolare del Trattamento
di monitorare gli sviluppi del m ercato per garantire la continuità della validità del Consenso per le
sue attività di Trattamento dei dati, in quanto un concorrente potrebbe modificare il suo servizio in
un momento successivo. Di conseguenza il Consenso ottenuto con questa argomentazione non
rispetta il regolamento generale sulla protezione dei dati.
3.1.3. Granularità
Un servizio può comportare trattamenti multipli per più finalità. In tal caso, l ’interessato dovrebbe
essere libero di scegliere quale finalità accettare anziché dover acconsentire a un insieme di finalità.
Ai sensi del regolamento generale sulla protezione dei dati, in un determinato caso possono essere
giustificati più consensi per i niziare a offrire un servizio.
Il considerando 43 chiarisce che si presume che il Consenso non sia stato espresso liberamente se il
processo o la procedura seguiti per ottenerlo non permettono all ’interessato di esprimere un
consenso separato ai distinti trattamenti dei Dati personali (ad esempio solo ad alcuni trattamenti e
non ad altri) nonostante ciò sia appropriato nel singolo caso. Il considerando 32 afferma: “Il
consenso dovrebbe applicarsi a tutte le attività di Trattamento svolte per la stessa o le stesse
finalità. Qualora il Trattamento abbia più finalità, il Consenso dovrebbe essere prestato per tutte
queste ”.
Se il Titolare del Trattamento ha riunito diverse finalità di Trattamento e non ha chiesto il Consenso
separato per ciascuna di esse non c’è libertà. La granularità è strettamente correlata alla necessità
che il Consenso sia specifico, come analizzato nella sezione 3.2. Quando il Trattamento di dati mira a
perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validi tà del Consenso
risiede nella granularità, ossia nella separazione delle finalità e nell ’ottenimento del Consenso per
ciascuna di esse.
[Esempio 7]
Nel contesto della medesima richiesta di consenso, un rivenditore chiede ai propri clienti il Consenso a
utilizzare i loro dati per inviare comunicazioni di marketing tramite posta elettronica e per condividere i dati
con altre società del gruppo. Tale Consenso non è granulare in quanto non è distinto per queste due finalità,
pertanto non sarà valido. In quest o caso è necessario un Consenso specifico all ’invio dei dati di contatto ai
partner commerciali. Tale Consenso specifico sarà ritenuto valido per ciascun partner (cfr. anche la sezione
3.3.1) la cui identità è stata fornita all ’interessato al momento dell ’ottenimento del consenso, nella misura in
cui i dati vengano inviati per la medesima finalità (nell ’esempio, finalità di marketing).
3.1.4. Pregiudizio
Il Titolare del Trattamento deve dimostrare che è possibile rifiutare il Consenso oppure revocarlo
senza subir e pregiudizio (considerando 42 ), ad esempio dimostrando che la Revoca del Consenso non
comporta alcun costo per l ’interessato e quindi nessuno svantaggio evidente in caso di revoca.
Altri esempi di pregiudizio sono l ’inganno, l ’intimidazione, la coercizi one o conseguenze negative
significative in caso di mancato consenso. Il Titolare del Trattamento dovrebbe essere in grado di
12
dimostrare che l ’interessato ha potuto scegliere liberamente o realmente se acconsentire o meno e
che poteva revocare il Consenso senza pregiudizio.
Se il Titolare del Trattamento può dimostrare che il servizio consente di revocare il Consenso senza
conseguenze negative, ad esempio senza che il livello della prestazione del servizio venga diminuito
a scapito dell ’utente, allora può dimostrare che il Consenso è stato conferito liberamente. Il
regolamento generale sulla protezione dei dati non esclude tutti gli incentivi, tuttavia spetta al
titolare del Trattamento dimostrare che il Consenso è stato prestato liberamente in tutte le
circostanze.
[Esempio 8]
Un ’applicazione mobile dedicata allo stile di vita richiede, all ’atto dello scaricamento, il Consenso all ’accesso
all’accelerometro del telefono. Tale accesso non è necessario per il funzionamento dell ’applicazione, ma è utile
al Titolare del Trattamento per saperne di più sui movimenti e sui livelli di attività degli utenti. Un utente Revoca
il Consenso e scopre che dopo la Revoca l ’applicazione funziona solo in misura limitata. Questo è un esempio di
pregiudizio ai sensi del cons iderando 42, il che significa che il Consenso non è mai stato ottenuto in maniera
valida (e quindi il Titolare del Trattamento deve cancellare tutti i Dati personali sui movimenti degli utenti
raccolti in tale modo).
[Esempio 9]
Un interessato si iscriv e alla newsletter di un rivenditore del settore della moda che offre sconti generali. Il
rivenditore chiede all ’interessato il Consenso per raccogliere ulteriori dati sulle preferenze di acquisto in
maniera da personalizzare le offerte in base alle prefere nze dell ’interessato secondo la cronologia degli acquisti
o un questionario facoltativo. Quando l ’interessato successivamente Revoca il consenso, riceve nuovamente
sconti per articoli di moda non personalizzati. Ciò non equivale a un pregiudizio in quanto l’interessato ha
perso soltanto l ’incentivo ammissibile.
[Esempio 10 ]
Una rivista di moda offre ai lettori la possibilità di acquistare nuovi prodotti per il trucco prima del loro lancio
ufficiale.
I prodotti saranno presto disponibili per la vendita, ma i lettori della rivista ne riceveranno un ’anteprima
esclusiva. Per godere di tale vantaggio i lettori devono fornire l ’indirizzo postale e accettare l ’iscrizione alla
mailing list della rivista. L ’indirizzo postale è necessario per la spedizione e la maili ng list viene utilizzata per
l’invio di offerte commerciali per prodotti quali cosmetici o t -shirt nel corso dell ’anno.
L’azienda spiega che i dati relativi alla mailing list saranno utilizzati esclusivamente per l ’invio di prodotti e
pubblicità cartacea da parte della rivista stessa e non saranno condivisi con altre organizzazioni.
Qualora non voglia comunicare il proprio indirizzo per tale finalità, il lettore non subisce alcun pregiudizio in
quanto i prodotti saranno comunque a sua disposizione.
3.2. Specif ico
L’articolo 6, paragrafo 1, lettera a), conferma che il Consenso dell ’interessato deve essere espresso
in relazione a “una o più specifiche ” finalità e che l ’interessato deve poter scegliere in relazione a
ciascuna di esse 26. Il requisito secondo il qua le il Consenso deve essere “specifico ” mira a garantire
un certo grado di controllo da parte dell ’utente e trasparenza per l ’interessato. Tale requisito non è
stato modificato dal regolamento e rimane strettamente legato al requisito del Consenso
“informat o”. Allo stesso tempo, deve essere interpretato in linea con il requisito della “granularità ”,
26 Ulteriori indicazioni sulla determinazione delle “finalità” sono riportate nel documento Opinion 3/2013 on purpose
limitation [parere 3/2013 sulla limitazione della finalità] (WP 203 ).
13
affinché il Consenso sia “libero ”27. In sintesi, per rispettare l ’elemento della specificità ( “specifico ”),
il Titolare del Trattamento deve applicare:
(i) la specificazione delle finalità come garanzia contro la “function creep ”, ossia
l’estensione indebita delle funzionalità;
(ii) la granularità nelle richieste di consenso, e
(iii) una chiara separazione delle informazioni sull ’ottenimento del Consenso per le attivi tà di
trattamento dei dati rispetto alle informazioni su altre questioni.
Sul punto i): ai sensi dell ’articolo 5, paragrafo 1, lettera b), del regolamento, per ottenere un
consenso valido occorre sempre prima determinare la finalità specifica, esplicita e legittima
dell ’attività di Trattamento prevista 28. La necessità di un Consenso specifico associata alla nozione di
limitazione delle finalità di cui all ’articolo 5, paragrafo 1, lettera b), funge da garanzia contro
l’ampliamento progressivo, o la commistio ne, delle finalità di Trattamento dei dati dopo che
l’interessato ha acconsentito alla loro raccolta iniziale. Questo fenomeno, noto anche come
“function creep ”, rappresenta un rischio per l ’interessato, in quanto può comportare l ’uso non
previsto di dati personali da parte del Titolare del Trattamento o di terzi e la perdita del controllo da
parte dell ’interessato.
Se il Titolare del Trattamento si basa sull ’articolo 6, paragrafo 1, lettera a), l ’interessato deve sempre
fornire il Consenso per una finalit à di Trattamento specifica 29. In linea con il concetto di limitazione
delle finalità e con l ’articolo 5, paragrafo 1, lettera b), e il considerando 32 del regolamento, il
consenso può coprire trattamenti distinti, purché abbiano la medesima finalità. Chiara mente il
consenso specifico può essere ottenuto soltanto quando l ’interessato è specificamente informato
delle finalità previste dell ’uso dei dati che lo riguardano.
Nonostante le disposizioni in materia di compatibilità delle finalità, il Consenso deve e ssere
specifico per finalità. L ’interessato presterà il Consenso nella convinzione di avere il controllo sui
suoi dati e nella convinzione che questi saranno trattati esclusivamente per le finalità specificate. Se
tratta i dati basandosi sul presupposto de l Consenso e intende trattarli per un ’altra finalità, il Titolare
del Trattamento deve richiedere un ulteriore Consenso per tale finalità a meno che non possa basarsi
su un ’altra base legittima che risponda meglio alla situazione.
[Esempio 11 ]
Una rete TV via cavo raccoglie i Dati personali degli abbonati, sulla base del loro consenso, per fornire
suggerimenti personali su nuovi film che, stando alle abitudini di visualizzazione, potrebbero interessare loro.
Dopo un po ’, la rete TV vorrebbe consentire a terzi di inviare (o mostrare) Pubblicità mirata sulla base delle
27 Il considerando 43 del regolamento generale sulla protezione dei dati afferma che, se del caso, sarà necessario un
consenso separato per trattamenti distinti. Dovrebbero essere messe a disposizione opzioni di Consenso granulare in
maniera da consentire agli interessati di a cconsentire separatamente a finalità distinte. 28 Cfr. parere del Gruppo di lavoro 3/2013 sulla limitazione della finalità (WP 203 ), pag. 16: “Per questi motivi, una
finalità che sia vaga o generica, come ad esempio ‘migliorare l’esperienza degli utenti’, ‘finalità di marketing’,
‘finalità di sicurezza informatica’ o ‘ricerca futura’, senza ulteriori dettagli, di solito non soddisfa i criteri per essere
‘specifica’“. 29 Ciò è coerente con il parere del Gruppo di lavoro 15/2011 sulla definizione di Consenso ( WP 187 ), ad esempio a pag.
19 .
14
abitudini di visualizzazione degli abbonati. Data questa nuova finalità, è necessario ottenere un nuovo
consenso.
Sul punto ii): i meccanismi di Consenso devono essere granulari non solo per soddisfare il requisito
del Consenso “libero ”, ma anche per soddisfare quello del Consenso “specifico ”. Ciò significa che il
titolare del Trattamento che richiede il Consenso per finalità diverse dovrebbe prevedere una
possibilità di adesione distinta per ciascuna finalità, in modo da consentire all ’utente di esprimere
un Consenso specifico per le finalità specifiche.
Sul punto iii): il Titolare del Trattamento dovrebbe fornire informazioni specifiche, in relazione a
ciascuna richiesta di Consenso distinta, sui dati che vengono trattati per ciascuna finalità, al fine di
rendere noto all ’interessato l ’impatto delle diverse scelte a sua disposizione. In questo modo
l’interessato può esprimere un Consenso specifico. Questo aspetto si sovrappone al requisito che
impone al Titolare del Trattamento di fornire informazioni chiare, come analizzato al punto 3.3.
3.3. Informato
Il regolamento gene rale sulla protezione dei dati rafforza il requisito secondo cui il Consenso deve
essere informato. Ai sensi dell ’articolo 5 del regolamento, il requisito della trasparenza è uno dei
principi fondamentali, strettamente legato ai principi di correttezza e l iceità. Fornire informazioni
agli interessati prima di ottenerne il Consenso è fondamentale per consentire loro di prendere
decisioni informate, capire a cosa stanno acconsentendo e, ad esempio, esercitare il diritto di
revocare il consenso. Se il titolare del Trattamento non fornisce informazioni accessibili, il controllo
dell ’utente diventa illusorio e il Consenso non costituirà una base valida per il trattamento.
Se i requisiti per il Consenso informato non sono rispettati il Consenso non sarà valido e il Titolare
del Trattamento potrebbe essere in violazione dell ’articolo 6 del regolamento.
3.3.1. Requisiti min imi di contenuto del consenso “informato ”
Affinché il Consenso sia informato è necessario informare l ’interessato su determinati elementi che
sono fondamentali per effettuare una scelta. Di conseguenza, il Gruppo di lavoro ritiene che per
ottenere un Consenso valido siano necessarie almeno le seguenti informazioni:
(i) l’identità del Titolare del trattamento 30;
(ii) la finalità di ciascuno dei trattamenti per i quali è richiesto il consenso 31;
(iii) quali (tipi di) dati saranno raccolti e utilizzati 32;
(iv) l’esistenza del diritto di revocare il consenso 33;
(v) informazioni sull ’uso dei dati per un Processo decisionale automatizzato ai sensi
dell ’articolo 22 , paragrafo 2, lettera c) 34, se del caso; e
30 Cfr. anche considerando 42 del regolamento generale sulla protezione dei dati: “ […]Ai fini di un Consenso informato,
l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del Titolare del Trattamento e dell e finalità del
trattamento cui sono destinati i dati personali. […]”. 31 Ancora una volta, cfr. considerando 42 del regolamento generale sulla protezione dei dati. 32 Cfr. anche Gruppo di lavoro Articolo 29 , Parere 15 /2011 sulla definizione di Consenso (WP 187 ), pagg. 22 -23 . 33 Cfr. articolo 7, paragrafo 3, del regolamento generale sulla protezione dei dati.
15
(vi) informazioni sui possibili rischi di trasferimenti di dati dovuti alla mancanza di una
decisione di adeguatezza e di garanzie adeguate come descritto nell ’articolo 46 35.
Per quanto riguarda i punti i) e iii), il Gruppo di lavoro osserva che qualora più titolari del
trattamento (congiunti) intendano basarsi sul medesimo Consenso oppure qualora i dati debbano
essere trasferiti o trattati da altri titolari del Trattamento che intendono basarsi sul Consenso iniziale,
tutti questi tito lari del Trattamento devono essere indicati. Non è necessario fornire i nomi dei
responsabili del trattamento, sebbene per rispettare gli articoli 13 e 14 del regolamento il Titolare del
trattamento dovrà fornire un elenco completo dei destinatari o delle categorie di destinatari, inclusi i
responsabili del trattamento. Per concludere, il Gruppo di lavoro rileva che, a seconda delle
circostanze e del contesto della fattispecie, potrebbero essere necessarie più informazioni per
consentire all ’interessato di comprendere veramente i trattamenti in corso.
3.3.2. Come fornire le informazioni
Il regolamento generale sulla protezione dei dati non prescrive la forma o il formato in cui è
necessario fornire le informazioni affinché sia soddisfatto il requisito del consenso informato. Le
informazioni valide possono quindi essere presentate in vari modi, ad esempio sotto forma di
dichiarazioni scritte o verbali oppure di messaggi audio o video. Tuttavia, il regolamento prevede
varie prescrizioni in merito al Consenso informat o, in particolare all ’articolo 7, paragrafo 2, e al
considerando 32 . Ciò assicura un maggiore livello di chiarezza e accessibilità delle informazioni.
Quando richiede il consenso, il Titolare del Trattamento dovrebbe assicurarsi di usare sempre un
linguaggio chiaro e semplice. Ciò significa che il messaggio dovrebbe essere facilmente
comprensibile per una persona media, non solo per un avvocato. Il Titolare del Trattamento non può
usare lunghe politiche sulla tutela della vita privata difficili da c omprendere oppure informative
piene di gergo giuridico. Il Consenso deve essere chiaro e distinguibile dalle altre questioni, e deve
essere presentato in una forma intelligibile e facilmente accessibile. Ciò significa, in sostanza, che
le informazioni pert inenti per prendere una decisione informata sul Consenso non possono essere
nascoste all ’interno delle condizioni generali di contratto/servizio 36.
Il Titolare del Trattamento deve garantire che il Consenso sia fornito sulla base di informazioni che
conse ntono all ’interessato di identificare facilmente chi è il Titolare del Trattamento e di capire a
cosa sta acconsentendo. Il Titolare del Trattamento deve descrivere chiaramente la finalità del
trattamento dei dati per la quale richiede il consenso 37.
Ulteriori orientamenti specifici in materia di accessibilità sono stati forniti dal Gruppo di lavoro
nelle linee guida sulla trasparenza. Quando il Consenso deve essere prestato per via elettronica, la
34 Cfr. anche le linee guida del Gruppo di lavoro sul Processo decisionale automatizzato e la Profilazione ai fini del
regolamento 2016 /679 (WP 251 ), punto IV.B, pag. 20 e successive. 35 Ai sensi dell’articolo 49 , paragrafo 1, lettera a), sono richieste informazioni specifiche sull’assenza delle garanzie di
cui all’articolo 46 , quando si richiede il Consenso esplicito. Cfr. anche Gruppo di lavoro Arti colo 29 , Parere 15/2011
sulla definizione di Consenso (WP 187 ), pag. 20. 36 La dichiarazione di Consenso deve essere designata come tale. Scrivere formulazioni del tipo “So che...” non soddisfa
il requisito di un linguaggio chiaro. 37 Cfr. articolo 4, punto 11 e articolo 7, paragrafo 2, del regolamento generale sulla protezione dei dati.
16
richiesta deve essere chiara e concisa. La messa a dis posizione di informazioni “a livelli ” e
granulari può essere un modo appropriato per soddisfare il duplice obbligo di essere precisi e
completi, da un lato, e comprensibili, dall ’altro.
Il Titolare del Trattamento deve valutare il tipo di pubblico che for nisce Dati personali alla sua
organizzazione. Ad esempio, se il pubblico di destinazione include interessati min orenni, il Titolare
del Trattamento deve assicurarsi che le informazioni siano comprensibili per i min ori 38. Dopo aver
individuato il pubblico, i l Titolare del Trattamento deve stabilire le informazioni da fornire e,
successivamente, il modo in cui fornirle.
L’articolo 7, paragrafo 2, concerne le dichiarazioni scritte di Consenso preformulate che riguardano
anche altre questioni. Quando il consen so viene richiesto nell ’ambito di un contratto (cartaceo), la
richiesta di Consenso deve essere chiaramente distinguibile dal resto. Se il contratto cartaceo tratta
numerosi aspetti che non sono collegati al Consenso all ’uso dei dati personali, quest ’ultim o deve
essere trattato in modo da distinguersi chiaramente oppure in un documento distinto. Analogamente,
ai sensi del considerando 32 39, se il Consenso viene richiesto per via elettronica, la richiesta di
consenso deve essere separata e distinta, e non può semplicemente figurare in un paragrafo
all ’interno delle condizioni generali di contratto/servizio. Per tener conto degli schermi di piccole
dimensioni o degli spazi ristretti per le informazioni, può essere appropriata, se del caso, una
modalità di visua lizzazione delle informazioni “a livelli ” per evitare eccessivi disturbi
all ’esperienza dell ’utente o alla progettazione del prodotto.
Per rispettare il regolamento il Titolare del Trattamento che si basa sul Consenso dell ’interessato deve
adempiere anche gli obblighi di informazione separati di cui agli articoli 13 e 14 . Nella pratica il
rispetto degli obblighi di informazione e del requisito del Consenso informato possono portare in
molti casi a un approccio integrato. Tuttavia la presente sezione è scri tta nella consapevolezza che
possa sussistere un Consenso “informato ” valido anche quando non tutti gli aspetti di cui agli
articoli 13 e/o 14 sono menzionati nel processo di ottenimento del Consenso (questi punti
dovrebbero ovviamente essere menzionati al trove, come ad esempio nell ’informativa sulla
protezione dei Dati personali dell ’azienda). Il Gruppo di lavoro ha emanato linee guida separate sul
requisito della trasparenza.
[Esempio 12 ]
L’azienda X è un Titolare del Trattamento che ha ricevuto reclami per il fatto che agli interessati non è chiaro
l’uso dei dati per il quale si chiede loro il consenso. L ’azienda ritiene quindi sia necessario verificare se le
informazioni contenute nella sua richiesta di Consenso sono comprensibili per gli interessati. X organizza
gruppi di prova volontari di categorie specifiche dei propri clienti e presenta loro nuovi aggiornamenti delle
informazioni di Consenso prima di comunicarle esternamente. La selezione di tale gruppo rispetta il principio
di indipendenza ed avvi ene sulla base di norme che garantiscono un risultato rappresentativo e non distorto. Il
gruppo riceve un questionario e indica cosa ha capito delle informazioni e quale valutazione darebbe sulla
38 Cfr. anche il considerando 58 relativo a informazioni comprensibili per i min ori. 39 Cfr. anche il considerando 42 e la direttiva 93 /13 /CE, in particolare l’articolo 5 (linguaggio comprensibile e, in caso
di dubbio, prevale l’interpretazione più favorevole al consumatore) e l’articolo 6 (invalidità di clausole abusive, il
contratto continua a sussistere senza tali clausole abusive soltanto qualora sia ancora ragionevole , altrimenti l’intero
contratto non è valido).
17
comprensibilità e pertinenza delle informazioni. Il titolare del Trattamento continua a eseguire prove fino a
quando i gruppi di prova non indicano che le informazioni sono comprensibili. X redige una relazione della
prova e la tiene disponibile per riferimento futuro. Questo esempio mostra un modo con cui X può di mostrare
che gli interessati hanno ricevuto informazioni chiare prima di acconsentire al Trattamento dei loro dati
personali da parte di X.
[Esempio 13 ]
Un ’azienda effettua un Trattamento di dati basandosi sul presupposto del consenso. L ’azienda utilizza
un’informativa sulla protezione dei dati a più livelli che include una richiesta di consenso. L ’azienda comunica
tutti i dettagli di base del Titolare del Trattamento e le attività di Trattamento dei dati previste 40. Tuttavia,
l’azienda non indica in che mo do sia possibile contattare il Responsabile della protezione dei dati nel primo
livello di informazioni dell ’informativa. Ai fini della base legittima e valida per il Trattamento ai sensi
dell ’articolo 6, questo Titolare del Trattamento ha ottenuto un cons enso “informato ” valido, anche se i dati di
contatto del Responsabile della protezione dei dati non sono stati comunicati all ’interessato (nel primo livello di
informazioni), a norma dell ’articolo 13 , paragrafo 1, lettera b) o dell ’articolo 14 , paragrafo 1, lettera b).
3.4. Manifestazione di volontà inequivocabile
Il regolamento generale sulla protezione dei dati afferma chiaramente che il Consenso richiede una
dichiarazione o un ’azione positiva inequivocabile da parte dell ’interessato, il che significa che il
consenso deve sempre essere espresso attraverso una dichiarazione o in modo attivo. Deve essere
ovvio che l ’interessato ha acconsentito al particolare trattamento.
L’articolo 2, lettera h), della direttiva 95 /46 /CE definisce il Consenso come una “manifest azione di
volontà con la quale la persona interessata accetta che i Dati personali che la riguardano siano
oggetto di un trattamento ”. L ’articolo 4, punto 11 , del regolamento generale sulla protezione dei
dati si basa su tale definizione, chiarendo che il consenso, per essere valido, richiede una
manifestazione inequivocabile mediante una dichiarazione o azione positiva inequivocabile , in
conformità alle precedenti linee guida del Gruppo di lavoro.
Con “azione positiva inequivocabile ” si intende che l ’inte ressato deve aver intrapreso un ’azione
deliberata per acconsentire al Trattamento specifico 41. Il considerando 32 stabilisce ulteriori
40 Si noti che quando l’identità del Titolare del Trattamento o la finalità del Trattamento non è evidente dal primo livello di
informazioni dell’informativa sulla protezione dei dati a più livelli (e si trova no in ulteriori sottolivelli), sarà difficile
per il Titolare del Trattamento dimostrare che l’interessato ha espresso il proprio Consenso informato, a meno che il
titolare del Trattamento non possa dimostrare che l’interessato in questione ha avuto access o a tali informazioni prima di
manifestare il proprio consenso. 41 Cfr. Documento di lavoro dei servizi della Commissione, Valutazione d’impatto, allegato 2, pag. 20 e anche pagg.
105 -106 (in inglese): “ Come sottolineato anche nel parere adottato dal Gruppo di lavoro Articolo 29 in materia di
consenso, sembra fondamentale chiarire che affinché un Consenso sia valido è necessario ricorrere a meccanismi che
non lascino dubbi circa l’intenzione dell’interess ato di acconsentire, pur chiarendo che, nel contesto dell’ambiente
online, l’uso di opzioni predefinite che l’interessato è tenuto a modificare per rifiutare il Trattamento (‘consenso basato
sul silenzio’) non costituisce di per sé un Consenso inequivocabi le. Ciò darebbe alle persone un controllo maggiore sui
propri dati, qualora il Trattamento si basi sul loro consenso. Per quanto riguarda l’impatto sui titolari del Trattamento
dei dati, ciò non avrebbe un impatto rilevante poiché chiarisce e specifica meg lio le implicazioni della direttiva attuale
in relazione alle condizioni per ottenere un Consenso valido e significativo da parte dell’interessato. In particolare,
nella misura in cui il Consenso ‘esplicito’ chiarisca (sostituendo ‘inequivocabile’) le moda lità e la qualità del Consenso
e che non è inteso a estendere i casi e le situazioni in cui il Consenso (esplicito) verrebbe utilizzato come base giuridica
per il trattamento, l’impatto di tale misura sui titolari del Trattamento non dovrebbe essere rileva nte”.
18
orientamenti al riguardo. Il Consenso può essere raccolto attraverso una dichiarazione scritta o
verbale (registrata), anc he tramite mezzi elettronici.
Probabilmente il modo più rigoroso per soddisfare il criterio della “dichiarazione scritta ” consiste
nell ’assicurarsi che l ’interessato scriva una lettera o un messaggio di posta elettronica al Titolare del
trattamento spiega ndo ciò a cui acconsente esattamente. Tuttavia, spesso ciò non è realistico. Le
dichiarazioni scritte possono avere forme e formati diversi che potrebbero essere conformi al
regolamento generale sulla protezione dei dati.
Fatto salvo il diritto contrattuale (nazionale) in vigore, il Consenso può essere ottenuto attraverso
una dichiarazione verbale registrata, sebbene sia necessario prendere debita nota delle informazioni
rese disponibili all ’interessato prima dell ’espressione del consenso. L ’uso di caselle di adesione
preselezionate non è valido ai sensi del regolamento. Il silenzio o l ’inattività da parte
dell ’interessato, così come il semplice procedere all ’uso di un servizio, non possono essere
considerati una manifestazione attiva di scelta.
[Esempio 14 ]
Durante l ’installazione di un software, l ’applicazione richiede all ’interessato di acconsentire a utilizzare
segnalazioni di arresto anomalo non anonimizzate per migliorare il software. La richiesta di Consenso è
accompagnata da una informativa sulla protezione dei dati a più livelli che fornisce le necessarie informazioni .
Selezionando attivamente la casella facoltativa “Acconsento ”, l’utente è in grado di eseguire validamente una
“azione positiva inequivocabile ” per acconsentire al trattamento.
Il Titolare del Trattamento deve inoltre fare attenzione al fatto che il cons enso non può essere
ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio.
L’accettazione globale delle condizioni generali di contratto/servizio non può essere considerata
come un ’azione positiva inequivoca bile ai fini del Consenso all ’uso dei dati personali. Il
regolamento generale sulla protezione dei dati non consente al Titolare del Trattamento di mettere a
disposizione caselle preselezionate o procedure di rinuncia ( opt -out ) che richiedono un intervento
dell ’interessato per rifiutare il Consenso (ad esempio “caselle di rinuncia ”)42.
Quando il Consenso deve essere prestato a fronte di una richiesta elettronica, quest ’ultima non deve
interferire inutilmente con l ’utilizzo del servizio per il quale viene fornito il consenso 43. Un ’azione
positiva con cui l ’interessato manifesta il proprio Consenso può essere necessaria quando una
modalità di espressione del Consenso meno in violazione e meno invasiva potrebbe determinare
ambiguità. Di conseguenza potrebbe es sere necessario che, per essere efficace, la richiesta di
consenso interrompa in una certa misura l ’esperienza d ’uso.
Tuttavia, nel contesto dei requisiti di cui al regolamento generale sulla protezione dei dati, il Titolare
del Trattamento è libero di s viluppare un flusso di Consenso adatto alla propria organizzazione. A
42 Cfr. articolo 7, paragrafo 2. Cfr. Documento di lavoro 02 /2013 sull’ottenimento del Consenso per i cookie (WP 208 ),
pagg. 3-6. 43 Cfr. considerando 32 del regolamento generale sulla protezione dei dati.
19
questo proposito, le azioni fisiche possono qualificarsi come un ’azione positiva inequivocabile in
conformità con il regolamento.
Il Titolare del Trattamento dovrebbe progettare meccan ismi di Consenso che operano in maniera
chiara per gli interessati. Il Titolare del Trattamento deve evitare ambiguità e garantire che l ’azione
con cui viene espresso il Consenso possa essere distinta da altre azioni. La semplice prosecuzione
dell ’uso norm ale di un sito web non è pertanto un comportamento dal quale si può dedurre una
manifestazione di volontà dell ’interessato a prestare il Consenso a un Trattamento proposto.
[Esempio 15 ]
Far scorrere una barra su uno schermo, muovere la mano davanti a una telecamera intelligente, ruotare lo
smartphone in senso orario o fargli compiere un movimento a otto potrebbero essere opzioni per indicare un
consenso a patto che siano fornite informazioni chiare e sia inequivocabile che l ’azione richiesta implica un
con senso a una richiesta specifica (istruzione esemplificativa: se fai scorrere questa barra verso sinistra,
acconsenti all ’uso delle informazioni X per la finalità Y. Ripeti il movimento per confermare). Il Titolare del
trattamento deve essere in grado di di mostrare che il Consenso è stato ottenuto in questo modo e l ’interessato
deve poter revocare il Consenso con la stessa facilità con cui lo ha espresso.
[Esempio 16 ]
Scorrere un sito verso il basso o sfogliarne le pagine non sono azioni chiare e positive, poiché l ’avviso che
continuare a scorrere il sito costituirà un ’espressione di Consenso può essere difficile da distinguere e/o può
essere trascurato inavvertitamente quando l ’interessato scorre rapidamente grandi quantità di testo; inoltre tali
azioni non sono sufficientemente inequivocabili.
Nel contesto digitale molti servizi necessitano di Dati personali per funzionare, quindi gli interessati
ricevono quotidianamente molteplici richieste di Consenso che implicano risposte tramite clic e
scorr imenti. Ne può derivare un certo grado di stanchezza a cliccare: se occorre farlo troppe volte,
l’effettivo effetto di avvertimento dei meccanismi di Consenso diminuisce.
Si può quindi verificare la situazione in cui le domande di Consenso non vengono pi ù lette, con un
conseguente rischio specifico per l ’interessato, in quanto in genere viene richiesto il Consenso per
azioni che in linea di principio sono illecite in assenza di consenso. Il regolamento generale sulla
protezione dei dati impone al titolare del Trattamento l ’obbligo di sviluppare soluzioni per affrontare
questo problema.
Un esempio spesso citato nel contesto online è l ’ottenimento del Consenso dell ’utente di Internet
tramite le impostazioni del browser. Tali impostazioni dovrebbero essere s viluppate in linea con le
condizioni per la validità del Consenso previste dal regolamento, come ad esempio il fatto che il
consenso deve essere granulare per ciascuna delle finalità previste e che le informazioni da fornire
per ottenere il Consenso devono indicare i titolari del trattamento.
In ogni caso, il Consenso deve sempre essere ottenuto prima che il Titolare del Trattamento inizi a
trattare i Dati personali per i quali è necessario il consenso. Il Gruppo di lavoro ha costantemente
affermato nei pr ecedenti pareri che il Consenso dovrebbe essere espresso prima dell ’avvio
20
dell ’attività di trattamento 44. Sebbene il regolamento non prescriva esplicitamente all ’articolo 4,
punto 11 , che il Consenso debba essere manifestato prima dell ’attività di trattamen to, ciò è
chiaramente implicito. La rubrica dell ’articolo 6 e il verbo “ha espresso ” di cui all ’articolo 6,
paragrafo 1, lettera a), confermano tale interpretazione. Consegue logicamente dall ’articolo 6 e dal
considerando 40 che prima di iniziare un Trattamento dei dati deve sussistere una base legittima e
valida. Pertanto, il Consenso dovrebbe essere espresso prima che abbia luogo l ’attività di
trattamento. In linea di principio può essere sufficiente chiedere il Consenso de ll’interessato una sola
volta. Tuttavia, il Titolare del Trattamento deve ottenere un nuovo Consenso specifico qualora le
finalità del Trattamento dei dati cambino dopo che è stato ottenuto il Consenso o qualora sia prevista
una finalità aggiuntiva.
4. Otten imento del Consenso esplicito
Il Consenso esplicito è richiesto in talune circostanze nelle quali emergono gravi rischi per la
protezione dei dati e in cui si ritiene quindi appropriato un livello elevato di controllo individuale
sui dati personali. Il regolamento generale sulla protezione dei dati richiede il Consenso esplicito
all ’articolo 9 per il Trattamento di categorie particolari di dati, all ’articolo 49 45 per i trasferimenti di
dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate, e all ’articolo
22 per i processi decisionali automatizzati relativi alle persone fisiche, compresa la profilazione 46.
In base al regolamento, prerequisito per l ’ottenimento di un Consenso “conforme ” è una
“dichiarazione o un ’azione posit iva inequivocabile ”. Poiché il requisito del Consenso “conforme ”
nel regolamento è già elevato a un livello superiore rispetto al requisito del Consenso di cui alla
direttiva 95 /46 /CE, è necessario chiarire quali sforzi supplementari debba attuare il titol are del
trattamento per ottenere il Consenso esplicito dell ’interessato in linea con il regolamento.
Il termine esplicito si riferisce al modo in cui il Consenso è espresso dall ’interessato e significa che
l’interessato deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi
che il Consenso sia esplicito consisterebbe nel confermare espressamente il Consenso in una
dichiarazione scritta. Se del caso, il Titolare del Trattamento potr ebbe assicurarsi che la dichiarazione
44 Il Gruppo di lavoro ha sostenuto questa pos izione in maniera coerente fin dal parere 15 /2011 sulla definizione di
consenso (WP 187 ), pagg. 35 -37 . 45 Ai sensi dell’articolo 49 , paragrafo 1, lettera a), del regolamento generale sulla protezione dei dati, il Consenso
esplicito può revocare il divieto d i trasferimenti di dati verso paesi che non dispongono di livelli adeguati di protezione
dei dati a norma di legge. Si consulti anche il documento di lavoro su un’interpretazione comune dell’articolo 26 ,
paragrafo 1 della direttiva
95 /46 /CE del 24 ottobre 1995 (WP 114 ), pag. 11, nell’ambito del quale il Gruppo di lavoro ha indicato che il Consenso
per i trasferimenti di dati che si verificano periodicamente o su base continuativa è inappropriato. 46 All’articolo 22 il regolamento generale sulla protezione d ei dati introduce disposizioni destinate a proteggere gli
interessati da un processo decisionale basato esclusivamente sul Trattamento automatizzato, nonché dalla profilazione.
Le decisioni adottate su tale base sono consentite nel rispetto di determinate condizioni legali. Il Consenso svolge un
ruolo chiave in questo meccanismo di protezione, in quanto l’articolo 22 , paragrafo 2, lettera c), del regolamento
generale sulla protezione dei dati, chiarisce che un Titolare del Trattamento può svolgere un processo decisionale
automatizzato, compresa la profilazione, che può influire in maniera significativa sulle persone fisiche, con i l Consenso
esplicito dell’interessato. Il Gruppo di lavoro ha prodotto linee guida distinte su questo tema: Gruppo di lavoro Articolo
29 , Guidelines on Automated decision -making and Profiling for the purposes of Regulation 2016 /679 [Linee guida sul
process o decisionale automatizzato e la Profilazione ai fini del regolamento 2016 /679 ], 3 ottobre 2017 (WP 251 ).
21
scritta sia firmata dall ’interessato, al fine di dissipare tutti i possibili dubbi e la potenziale mancanza
di prove in futuro 47.
Tuttavia la dichiarazione firmata non è l ’unico modo per ottenere il Consenso esplicito e non si può
affermare che il regolamento prescriva dichiarazioni scritte e firmate in tutte le circostanze che
richiedono un Consenso esplicito valido. Ad esempio, nel contesto digitale od online, l ’interessato
può emettere la dichiarazione richiesta com pilando un modulo elettronico, inviando un ’e-mail,
caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica.
In teoria, anche l ’uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un
conse nso esplicito valido, tuttavia può essere difficile per il Titolare del Trattamento dimostrare che
tutte le condizioni per la validità del Consenso esplicito siano state soddisfatte quando la
dichiarazione è stata registrata.
Un ’organizzazione può anche ot tenere il Consenso esplicito tramite una conversazione telefonica, a
condizione che le informazioni sulla scelta siano corrette, intelligibili e chiare e che venga richiesta
una conferma specifica da parte dell ’interessato (ad esempio premendo un pulsante o fornendo una
conferma verbale).
[Esempio 17 ]
Il Titolare del Trattamento può ottenere il Consenso esplicito da un visitatore del proprio sito web mettendo a
disposizione una schermata di Consenso esplicito contenente caselle di controllo “Sì” e “No ”, a condizione che
il testo indichi chiaramente il consenso, ad esempio con una dicitura del tipo “In questo modo acconsento al
trattamento dei miei dati ” e non ad esempio tramite una formulazione del tipo “Mi è chiaro che i miei dati
saranno trattati ”. Va d a sé che devono essere soddisfatte le condizioni per il Consenso informato e le altre
condizioni per la validità del consenso.
[Esempio 18 ]
Una clinica per chirurgia estetica chiede il Consenso esplicito di un paziente al trasferimento della cartella
clinica a un esperto per un secondo parere sulla condizione del paziente. La cartella clinica è costituita da un
file digitale. Data la natura specifica delle informazioni in questione, la clinica chiede la firma elettronica
dell ’interessato per ottenere u n Consenso esplicito valido e per essere in grado di dimostrare che è stato
ottenuto detto Consenso esplicito 48.
Anche la verifica in due fasi del Consenso può essere un modo per assicurarsi che il Consenso
esplicito sia valido. Ad esempio, l ’interessato riceve un ’e-mail che gli notifica l ’intenzione del
titolare del Trattamento di trattare una cartella contenente dati medici. Il Titolare del Trattamento
spiega nell ’e-mail che chiede il Consenso all ’uso di un insieme specifico di informazioni per una
final ità specifica. Se l ’interessato acconsente all ’utilizzo dei dati, il Titolare del Trattamento gli
chiede una risposta via e -mail contenente la dichiarazione “Acconsento ”. Dopo l ’invio della
risposta, l ’interessato riceve un link di verifica da cliccare opp ure un messaggio SMS con un codice
di verifica, in maniera da confermare il consenso.
47 Cfr. anche Gruppo di lavoro Articolo 29 , Parere 15 /2011 sulla definizione di Consenso (WP 187 ), pag. 29. 48 Questo esempio non pregiudica il regolame nto (UE) n. 910 /2014 del Parlamento europeo e del Consiglio, del 23
luglio 2014 , in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato
interno.
22
L’articolo 9, paragrafo 2, non riconosce il Trattamento “necessario all ’esecuzione di un contratto ”
come un ’eccezione al divieto generale di trattare categorie particola ri di dati. Di conseguenza i
titolari del Trattamento e gli Stati membri che rientrano nel contesto di applicazione di tale
circostanza dovrebbero esaminare le eccezioni specifiche di cui all ’articolo 9, paragrafo 2, lettere da
b) a j). Qualora non si appl ichi nessuna delle eccezioni da b) a j), l ’ottenimento del Consenso
esplicito in conformità con le condizioni per il Consenso valido previste dal regolamento rimane
l’unica eccezione lecita possibile per trattare tali dati.
[Esempio 19 ]
La compagnia aerea Holiday Airways offre un servizio di assistenza di viaggio ai passeggeri che non possono
viaggiare senza assistenza, ad esempio a causa di una disabilità. Un cliente prenota un volo da Amsterdam a
Budapest e richiede l ’assistenza di viaggio per salir e a bordo dell ’aereo. Holiday Airways richiede al
passeggero di fornire informazioni sulle sue condizioni di salute per essere in grado di organizzare i servizi
appropriati (ad esempio, una sedia a rotelle a disposizione alla porta di imbarco o un assisten te che viaggi con
il passeggero da A a B). Holiday Airways richiede il Consenso esplicito per trattare i dati sanitari del
passeggero allo scopo di organizzare l ’assistenza richiesta per il viaggio. I dati trattati sulla base del Consenso
devono essere nec essari per il servizio richiesto. Inoltre i voli per Budapest sono disponibili anche senza
assistenza di viaggio. Si noti che poiché tali dati sono necessari per la prestazione del servizio richiesto,
l’articolo 7, paragrafo 4, non si applica.
[Esempio 20]
Un ’azienda di successo è specializzata nella fornitura di occhiali da sci e da snowboard su misura e altri tipi di
occhiali personalizzati per gli sport all ’aria aperta. L ’idea è che le persone possano indossare tali occhiali senza
dover portare anche gli occhiali da vista. La società riceve ordini presso un punto centrale e consegna prodotti
in tutta l ’UE a partire da un ’unica sede. Per poter fornire i propri prodotti personalizzati ai clienti miopi, tale
titolare del Trattamento richiede il Consenso a ll’uso delle informazioni sulle condizioni di vista dei clienti. I
clienti forniscono i dati sanitari necessari - ad esempio i dati della loro prescrizione - online quando effettuano
l’ordine. Senza questi dati non sarebbe possibile fornire gli occhiali pe rsonalizzati richiesti. L ’azienda offre
anche una serie di occhiali con valori correttivi standardizzati. I clienti che non desiderano condividere i dati
sanitari possono optare quindi per le versioni standard. Di conseguenza, nel caso di specie, è richies to
un Consenso esplicito ai sensi dell ’articolo 9 e il Consenso può essere considerato come espresso liberamente .
5. Condizioni aggiuntive per l ’ottenimento di un Consenso valido
Il regolamento generale sulla protezione dei dati introduce requisiti che impongono al Titolare del
trattamento di prevedere modalità aggiuntive per garantire che ottiene un Consenso valido, lo
mantiene e sia in grado di dimostrarne l ’esistenza. L ’articolo 7 del stabilisce queste condizioni
aggiuntive per il Consenso valido tram ite disposizioni specifiche sulla conservazione di registrazioni
del Consenso e sul diritto di revocare facilmente il Consenso espresso. L ’articolo 7 si applica anche
al Consenso di cui ad altri articoli del regolamento, ad esempio gli articoli 8 e 9. Si r iportano in
appresso orientamenti sull ’ulteriore requisito di dimostrare l ’esistenza di un Consenso valido e sulla
revoca del consenso.
5.1. Dimostrazione del consenso
L’articolo 7, paragrafo 1, prevede in maniera chiara l ’obbligo esplicito del Titolare del tr attamento di
dimostrare il Consenso dell ’interessato . Conformemente a tale articolo, l ’onere della prova è a
carico del Titolare del trattamento.
23
Il considerando 42 afferma: “Per i trattamenti basati sul Consenso dell ’interessato, il Titolare del
trattamento dovrebbe essere in grado di dimostrare che l ’interessato ha acconsentito al
trattamento ”.
Il Titolare del Trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in
maniera adatta alle sue attività quotidiane. Allo st esso tempo, l ’obbligo in capo al Titolare del
trattamento di dimostrare l ’ottenimento di un Consenso valido non dovrebbe di per sé portare a
quantità eccessive di trattamenti di dati supplementari. Ciò significa che il Titolare del Trattamento
dovrebbe dis porre di dati sufficienti per mostrare un collegamento al Trattamento (ossia per fornire
la prova che è stato ottenuto il consenso) ma non dovrebbe raccogliere più informazioni di quanto
necessario.
Spetta al Titolare del Trattamento dimostrare che è stat o ottenuto un Consenso valido dall ’interessato.
Il regolamento non prescrive esattamente come ciò debba avvenire. Tuttavia, il Titolare del
trattamento deve essere in grado di dimostrare che l ’interessato nel caso specifico ha espresso il
proprio consenso. Fintantoché dura l ’attività di Trattamento dei dati in questione, sussiste l ’obbligo
di dimostrare l ’esistenza del consenso. Al termine dell ’attività di trattamento, la prova del Consenso
deve essere conservata non più di quanto strettamente necessario pe r adempiere ad obblighi
giuridici o per l ’accertamento, l ’esercizio o la difesa di un diritto in sede giudiziaria, in conformità
con l ’articolo 17 , paragrafo 3, lettere b) ed e).
Ad esempio, il Titolare del Trattamento può tenere una registrazione delle d ichiarazioni di Consenso
ricevute onde poter dimostrare come e quando è stato ottenuto il consenso, e rendere dimostrabili le
informazioni fornite all ’interessato al momento dell ’espressione del consenso. Il Titolare del
trattamento deve anche essere in gr ado di dimostrare che l ’interessato è stato informato e che la
propria procedura ha soddisfatto tutti i criteri pertinenti per la validità del consenso. La logica alla
base di tale obbligo è che il Titolare del Trattamento deve essere responsabilizzato in relazione
all ’ottenimento di un Consenso valido dell ’interessato e ai meccanismi di Consenso che ha messo in
atto. Ad esempio, in un contesto online, il Titolare del Trattamento può conservare informazioni sulla
sessione in cui è stato espresso il consenso , unitamente alla documentazione della procedura di
consenso al momento della sessione, oltre a una copia delle informazioni presentate all ’interessato
in quel momento. Non sarebbe sufficiente fare semplicemente riferimento a una corretta
configurazione del sito web.
[Esempio 21 ]
Un
Link: https://www.unife.it/it/ateneo/protezione-dati-per
Testo del 2023-02-06 Fonte: GPDP
Documento Minori Consenso Linee guida Privacydb Wallabag