Una delle basi giuridiche per il trattamento dei dati personali è, ai sensi dell’art. 6 del GDPR, il consenso dell’interessato.
La raccolta del consenso costituisce una questione di particolare importanza, poiché risponde a condizioni e requisiti irrinunciabili, stabiliti in primis dallo stesso Regolamento.
L’art. 4, infatti, lo definisce come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».
Condizioni per il consenso secondo il GDPR
Quando il trattamento si fonda sul consenso dell’interessato, è importante che questo abbia specifiche caratteristiche e si configuri come
- DIMOSTRABILE: il titolare deve riuscire a dimostrare che l’interessato ha prestato il proprio consenso. Ciò non vuol dire che tale consenso debba essere necessariamente documentato per iscritto o che sia richiesta la forma scritta (anche se, ovviamente, la forma scritta è idonea a configurare “prova” e “inequivocabilità” del consenso), essendo adatta qualsiasi tipo di prova;
- INEQUIVOCABILE E ATTIVO: l’interessato deve manifestare il proprio consenso con dichiarazione o azione positiva, deve esprimerlo in modo esplicito e non può limitarsi a non rifiutalo;
- INFORMATO: l’interessato deve ricevere idonea informativa sul trattamento dei dati personali. Informazione dell’interessato, chiarezza, trasparenza sono principi fondamentali e irrinunciabili che costituiscono il fulcro dell’intero sistema privacy.
- LIBERO: su questo, prima ancora del diritto, soccorre il significato proprio del termine “consenso”. Un consenso è per definizione “libero”, poiché in caso contrario sarebbe un “obbligo”. L’interessato deve poterlo rifiutare (o revocare) senza subire un danno.
- SPECIFICO: deve essere raccolto un consenso specifico per ciascuna finalità di trattamento e non un unico, generico consenso al trattamento. Le finalità devono essere esplicite, chiare e legittime.
- REVOCABILE: l’interessato deve poter revocare il consenso in qualsiasi momento, in modo semplice e gratuito e, ovviamente, senza che gliene derivi un danno.
Come NON impostare la richiesta di consenso privacy
Partendo dai requisiti riportati nel paragrafo precedente, è evidente come, al contrario, il consenso non debba essere raccolto e dunque:
- no a frasi sibilline, volutamente troppo tecniche o comunque poco chiare,
- no al “silenzio-consenso”, all’inattività o al semplice “scroll”, il consenso non può essere tacito,
- no alle caselle già spuntate,
- no all’interferenza con il servizio (il cosiddetto “consenso bloccante”), l’interessato non deve essere limitato o danneggiato nella fruizione del servizio.
Si tratta senz’altro di una questione giuridica nella quale ci guida la normativa privacy, ma, a ben guardare, prima ancora può guidarci il buon senso.
Per approfondimenti, la pagina dedicata al Consenso dall’Autorità Garante per la Protezione dei Dati Personali con le Linee-guida del WP29 è disponibile qui.