[:it]A cura dell’Avv. Massimo Simbula
Il 10 aprile 2018 il Gruppo di Lavoro “Articolo 29” ha rivisto le linee guida al trattamento dei dati personali, con particolare riferimento alle modalità di raccolta del consenso (di seguito le “Linee Guida del 10 aprile 2018”).
Il concetto di consenso utilizzato nella direttiva sulla protezione dei dati (di seguito: “Direttiva 95/46/CE”) e nella direttiva cosiddetta E-Privacy ha naturalmente subito varie evoluzioni.
Il Regolamento Europeo sulla Protezione dei Dati Personali 2016/679 (di seguito “GDPR”) fornisce ulteriori chiarimenti e specifiche sui requisiti per ottenere e dimostrare di avere raccolto un consenso valido.
Il GDPR e le Linee Guida del 10 aprile 2018 spingono il titolare del trattamento dei dati verso nuove soluzioni innovative per la raccolta del consenso e per la comunicazione dell’informativa sulle finalità del trattamento, sfruttando, per quanto possibile l’innovazione tecnologica da considerarsi quindi un elemento fondante tali aspetti.
Affinché un consenso al trattamento dati personali possa essere considerato valido, dovrà essere:
a) libero
b) specifico
c) informato
d) basato su una chiara azione positiva che consente di accertare l’effettivo consenso dell’utente ad un determinato trattamento.
Un consenso ad un trattamento dati (ad es. per finalità promozionali), potrebbe non essere idoneo nelle ipotesi in cui un servizio internet, in fase di raccolta del consenso on-line, imponga all’utente il consenso al trattamento dati per finalità di marketing in assenza del quale non fornisce il servizio offerto.
Allo stesso modo, ove il trattamento dei dati abbia molteplici finalità, un consenso si può considerare correttamente raccolto solo ove vi sia una possibilità per l’utente di dare il consenso per ogni specifica finalità (questa è la cosiddetta “Granularità”).
Inoltre l’utente deve sempre avere la possibilità di poter revocare il consenso precedentemente dato senza che ciò comporti danni al suo servizio (ad es. un downgrade dei servizi forniti).
In tal senso è opportuno precisare che, ove un servizio internet raccolga dati personali per fornire preventivi, prenotazioni, acquisti di beni e o servizi, può certamente precisare nella sua informativa che in mancanza di consenso al trattamento per tali finalità, non potrà erogare il relativo servizio, ma in tali casi la base giuridica su cui si dovrebbe basare il trattamento non è il consenso ma è il vincolo contrattuale che si andrà a strutturare in considerazione del servizio internet tra cliente, intermediario (eventuale) e fornitore.
Oltre a quanto sopra, il consenso deve essere come detto, specifico, basato su una informativa semplice, chiara e diretta a definire la finalità del trattamento dati, e deve essere basato su una chiara azione positiva da parte dell’utente.
In considerazione di quest’ultimo passaggio, si ritiene, ad avviso di chi scrive, che non sarà sufficiente raccogliere il consenso con un generico rinvio alla privacy policy ma dovrà sempre e comunque essere raccolto il consenso, ad es., con un apposito box da “flaggare” e con a fianco una scritta del tipo “Acconsento al trattamento dati per la finalità…..” (il cosiddetto consenso “esplicito”).
Rimane sempre inteso che i box “pre-flaggati” non sono considerati ammissibili in quanto il consenso non sarebbe così effettivamente libero o comunque chiaramente espresso.
Naturalmente ci sono molte altre modalità per raccogliere un consenso in maniera esplicita:
– tramite telefono con richiesta di premere un bottone specifico dell’apparecchio;
– tramite email con verifica dell’utenza;
– con un documento sottoscritto dall’utente
ecc.
Il GDPR impone inoltre al Titolare del trattamento del dato, l’onere di dimostrare di avere correttamente raccolto un valido consenso.
Quindi, premesso che il consenso per essere valido deve essere sempre libero, specifico, informato e non ambiguo, esso deve essere raccolto correttamente come sopra detto.
Il titolare, quindi, dovrà avere cura di individuare un metodo per conservare lo storico dei consensi.
Ciò premesso, è opportuno ribadire che in tutti quei servizi on line per la vendita di prodotti di beni e servizi (ad es. prenotazioni di barche o auto, di servizi turistici, di compravendita di beni o servizi di qualunque tipo), la base giuridica su cui si strutturerà il trattamento dei dati personali degli utenti necessari per espletare lo specifico servizio o fornitura, non sarà il consenso (o almeno non esclusivamente il consenso), di cui all’art. 6, punto 1, lettera a) GDPR, ma sarà quella di cui all’art. 6, punto 1, lettera b) GDPR in relazione all’esecuzione di un contratto di cui l’interessato è parte o alla adozione di misure pre-contrattuali adottate su richiesta dello stesso.
Non sarebbe possibile, almeno sulla base di quanto indicato nelle Linee Guida del 10 Aprile 2018 che il titolare del trattamento decida autonomamente di modificare la base giuridica passando dall’una all’altra successivamente alla raccolta del consenso. Dovrà quindi raccogliere nuovamente il consenso se vuole mutare la finalità dello stesso.
E’ quindi molto importante chiarire nella notice sulla privacy all’utente come i suoi dati saranno trattati e quale è la base giuridica del trattamento (si veda, in tal senso, l’art. 6 del GDPR), affrontando anche il problema della granularità sopra indicato e rendendo chiara e semplice l’informativa anche per mezzo di icone idonee in tal senso.[:]