Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


GDPR - Privacy e consenso, Appunti di Economia E Direzione Delle Imprese

GDPR - Il consenso nel nuovo panorama europeo

Tipologia: Appunti

2017/2018

Caricato il 04/09/2018

hachikomio
hachikomio 🇮🇹

4.5

(4)

6 documenti

1 / 14

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
1. Introduzione
Le presenti linee guida forniscono un’analisi approfondita della nozione di
consenso di cui al regolamento (UE) 2016/679 (regolamento generale sulla
protezione dei dati). Il concetto di consenso di cui alla direttiva sulla protezione
dei dati (direttiva 95/46/CE) e alla direttiva relativa alla vita privata e alle
comunicazioni elettroniche (direttiva 2002/58/CE) si è evoluto. Il regolamento
generale sulla protezione dei dati fornisce ulteriori chiarimenti e speciche sui
requisiti per ottenere e dimostrare un consenso valido. Prendendo le mosse dal
parere 15/2011 sul consenso, le presenti linee guida si concentrano sui
cambiamenti introdotti, fornendo orientamenti pratici per garantire il rispetto
del regolamento. Il titolare del trattamento è tenuto a innovare per trovare
soluzioni che siano conformi ai requisiti di legge e sostengano meglio la
protezione dei dati personali e gli interessi degli interessati.
Il consenso rimane una delle sei basi legittime per trattare i dati personali,
come disposto dall’articolo 6 del regolamento1. Prima di avviare attività che
implicano il trattamento di dati personali, il titolare del trattamento deve
sempre valutare con attenzione la base legittima appropriata per il
trattamento.
Di norma, il consenso può costituire la base legittima appropriata solo se
all’interessato vengono oerti il controllo e l’eettiva possibilità di scegliere se
accettare o meno i termini proposti o riutarli senza subire pregiudizio. Quando
richiede il consenso, il titolare del trattamento deve valutare se soddisferà tutti
i requisiti per essere valido. Se ottenuto nel pieno rispetto del regolamento, il
consenso è uno strumento che fornisce all’interessato il controllo sul
trattamento dei dati personali che lo riguardano. In caso contrario, il controllo
diventa illusorio e il consenso non costituirà una base valida per il trattamento,
rendendo illecita l’attività di trattamento2.
Ove coerenti con il nuovo quadro giuridico, i pareri che il Gruppo di lavoro
Articolo 29 (in appresso: Gruppo di lavoro) ha formulato in materia di
consenso3 rimangono pertinenti, in quanto il regolamento generale sulla
protezione dei dati codica gli orientamenti e le buone prassi generali del
Gruppo di lavoro e lascia immutata la maggior parte degli aspetti essenziali del
consenso. Di conseguenza, il presente documento amplia e completa pareri
precedenti del Gruppo di lavoro su argomenti specici che fanno riferimento al
consenso ai sensi della direttiva 95/46/CE, senza sostituirli.
Come aermato nel parere 15/2011 sulla denizione di consenso, l’invito ad
accettare il trattamento dei dati dovrebbe essere soggetto a criteri rigorosi,
poiché sono in gioco i diritti fondamentali dell’interessato e il titolare del
trattamento intende svolgere un trattamento che senza il consenso
1 L’articolo 9 del regolamento generale sulla protezione dei dati fornisce un elenco di possibili
esenzioni al divieto di trattamento di categorie particolari di dati. Una delle esenzioni elencate
è il consenso esplicito dell’interessato all’uso di tali dati.
2 Cfr. anche il parere 15/2011 sulla denizione di consenso (WP 187), pagine 6-8 e/o il parere
06/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7
della direttiva 95/46/CE (WP 217), pagg. 9, 10, 13 e 14.
3 In particolare il parere 15/2011 sulla denizione di consenso (WP 187).
3
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe

Anteprima parziale del testo

Scarica GDPR - Privacy e consenso e più Appunti in PDF di Economia E Direzione Delle Imprese solo su Docsity!

1. Introduzione Le presenti linee guida forniscono un’analisi approfondita della nozione di consenso di cui al regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati). Il concetto di consenso di cui alla direttiva sulla protezione dei dati (direttiva 95/46/CE) e alla direttiva relativa alla vita privata e alle comunicazioni elettroniche (direttiva 2002/58/CE) si è evoluto. Il regolamento generale sulla protezione dei dati fornisce ulteriori chiarimenti e specifiche sui requisiti per ottenere e dimostrare un consenso valido. Prendendo le mosse dal parere 15/2011 sul consenso, le presenti linee guida si concentrano sui cambiamenti introdotti, fornendo orientamenti pratici per garantire il rispetto del regolamento. Il titolare del trattamento è tenuto a innovare per trovare soluzioni che siano conformi ai requisiti di legge e sostengano meglio la protezione dei dati personali e gli interessi degli interessati. Il consenso rimane una delle sei basi legittime per trattare i dati personali, come disposto dall’articolo 6 del regolamento 1. Prima di avviare attività che implicano il trattamento di dati personali, il titolare del trattamento deve sempre valutare con attenzione la base legittima appropriata per il trattamento.

Di norma, il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio. Quando richiede il consenso, il titolare del trattamento deve valutare se soddisferà tutti i requisiti per essere valido. Se ottenuto nel pieno rispetto del regolamento, il consenso è uno strumento che fornisce all’interessato il controllo sul trattamento dei dati personali che lo riguardano. In caso contrario, il controllo diventa illusorio e il consenso non costituirà una base valida per il trattamento, rendendo illecita l’attività di trattamento 2.

Ove coerenti con il nuovo quadro giuridico, i pareri che il Gruppo di lavoro Articolo 29 (in appresso: Gruppo di lavoro) ha formulato in materia di consenso 3 rimangono pertinenti, in quanto il regolamento generale sulla protezione dei dati codifica gli orientamenti e le buone prassi generali del Gruppo di lavoro e lascia immutata la maggior parte degli aspetti essenziali del consenso. Di conseguenza, il presente documento amplia e completa pareri precedenti del Gruppo di lavoro su argomenti specifici che fanno riferimento al consenso ai sensi della direttiva 95/46/CE, senza sostituirli. Come affermato nel parere 15/2011 sulla definizione di consenso, l’invito ad accettare il trattamento dei dati dovrebbe essere soggetto a criteri rigorosi, poiché sono in gioco i diritti fondamentali dell’interessato e il titolare del trattamento intende svolgere un trattamento che senza il consenso 1 L’articolo 9 del regolamento generale sulla protezione dei dati fornisce un elenco di possibili esenzioni al divieto di trattamento di categorie particolari di dati. Una delle esenzioni elencate è il consenso esplicito dell’interessato all’uso di tali dati. 2 Cfr. anche il parere 15/2011 sulla definizione di consenso (WP 187), pagine 6-8 e/o il parere 06/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE (WP 217), pagg. 9, 10, 13 e 14. 3 In particolare il parere 15/2011 sulla definizione di consenso (WP 187).

3

sarebbe illecito 4. Il ruolo cruciale del consenso è sottolineato dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Inoltre, l’ottenimento del consenso non fa venir meno né diminuisce in alcun modo l’obbligo del titolare del trattamento di rispettare i principi applicabili al trattamento sanciti nel regolamento generale sulla protezione dei dati, in particolare all’articolo 5, per quanto concerne la correttezza, la necessità e la proporzionalità, nonché la qualità dei dati. Il fatto che il trattamento dei dati personali si basi sul consenso dell’interessato non legittima la raccolta di dati non necessari a una finalità specifica di trattamento, che sarebbe fondamentalmente iniqua 5.

Parallelamente, il Gruppo di lavoro è a conoscenza della revisione della direttiva relativa alla vita privata e alle comunicazioni elettroniche. La nozione di consenso nel progetto di regolamento sulla vita privata e le comunicazioni elettroniche rimane legata a quella del regolamento generale sulla protezione dei dati 6. È probabile che ai sensi del futuro strumento le organizzazioni necessitino del consenso per la maggior parte dei messaggi di marketing online, per le chiamate di marketing e per i metodi di tracciamento online, compreso tramite l’uso di cookie, applicazioni o altri software. Il Gruppo di lavoro ha già fornito raccomandazioni e orientamenti al legislatore europeo in merito alla proposta di regolamento sulla vita privata e le comunicazioni elettroniche 7.

Per quanto riguarda l’attuale direttiva relativa alla vita privata e alle comunicazioni elettroniche, il Gruppo di lavoro rileva che i riferimenti alla direttiva 95/46/CE abrogata si intendono fatti al regolamento generale sulla protezione dei dati 8. Ciò vale anche per i riferimenti riguardanti il consenso, poiché il regolamento sulla vita privata e le comunicazioni elettroniche non sarà (ancora) entrato in vigore il 25 maggio 2018. Ai sensi dell’articolo 95 del regolamento generale sulla protezione dei dati, non sono imposti obblighi supplementari in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione, nella misura in cui la direttiva relativa alla vita privata e alle comunicazioni elettroniche impone obblighi specifici aventi il medesimo obiettivo. Il Gruppo di lavoro rileva che i requisiti per il consenso ai sensi del regolamento generale sulla protezione dei dati non sono considerati un “obbligo supplementare”, bensì condizioni preliminari per la liceità del trattamento. Pertanto, tali requisiti sono applicabili alle situazioni che rientrano nel campo di applicazione della direttiva relativa alla vita privata e alle comunicazioni elettroniche.

2. Consenso di cui all’articolo 4, punto 11, del regolamento generale sulla protezione dei dati

L’articolo 4, punto 11, del regolamento generale sulla protezione dei dati definisce il consenso dell’interessato come: “qualsiasi manifestazione di volontà libera, specifica, informata e

4 Parere 15/2011 sulla definizione di consenso (WP 187), pag. 9. 5 Cfr. anche il parere 15/2011 sulla definizione di consenso (WP 187) e l’articolo 5 del regolamento generale sulla protezione dei dati. 6 Ai sensi dell’articolo 9 della proposta di regolamento sulla vita privata e le comunicazioni elettroniche, si applicano la definizione e le condizioni per il consenso di cui all’articolo 4, punto 11, e all’articolo 7, del regolamento generale sulla protezione dei dati. 7 Cfr. “ Opinion 03/2016 on the evaluation and review of the ePrivacy Directive ” [Parere 03/ sulla valutazione e la revisione della direttiva relativa alla vita privata e alle comunicazioni

9 Il consenso, definito nella direttiva 95/46/CE come “ qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento ”, deve essere “manifestato in maniera inequivocabile” in maniera da rendere legittimo il trattamento dei dati personali (articolo 7, lettera a), della direttiva 95/46/CE). Cfr. Gruppo di lavoro Articolo 29, Parere 15/2011 sulla definizione di consenso (WP 187), per esempi sull’adeguatezza del consenso come base legittima. In tale parere, il Gruppo di lavoro ha fornito linee guida atte a distinguere il caso in cui il consenso costituisca una base lecita appropriata rispetto ai casi in cui è sufficiente fare affidamento su motivi di interesse legittimo (magari offrendo un’opportunità di rinuncia, “ opt- out ”) o sarebbe raccomandabile fondare il trattamento su un rapporto contrattuale. Cfr. anche il parere 06/2014 del Gruppo di lavoro, sezione III.1.2, pag. 17 e successive. Il consenso esplicito è anche una delle esenzioni al divieto di trattamento di categorie particolari di dati: cfr. articolo 9 del regolamento generale sulla protezione dei dati. 10 Per orientamenti in merito alle attività di trattamento in corso basate sul consenso di cui alla direttiva 95/46, cfr. il capitolo 7 del presente documento e il considerando 171 del regolamento generale sulla protezione dei dati.

5 3.1. Consenso libero/manifestazione di volontà libera 11 L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva, si sente obbligato ad acconsentire o subirà conseguenze negative se non acconsente, il consenso non sarà valido 12. Se il consenso è parte non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio 13. Il regolamento generale sulla protezione dei dati ha preso in considerazione anche la nozione di squilibrio tra il titolare del trattamento e l’interessato.

Nel valutare se il consenso sia stato prestato liberamente, si deve anche tener conto dell’eventualità che il consenso sia collegato all’esecuzione di un contratto o alla prestazione di un servizio come descritto all’articolo 7, paragrafo 4. L’articolo 7, paragrafo 4, contenendo l’inciso “tra le altre”, non è esaustivo e può quindi comprendere altre eventualità. In termini generali, qualsiasi azione di pressione o influenza inappropriata sull’interessato (che si

può manifestare in svariati modi) che impedisca a quest’ultimo di esercitare il suo libero arbitrio, rende il consenso invalido.

[Esempio 1] Un’applicazione mobile per il fotoritocco chiede agli utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’applicazione comunica agli utenti che utilizzerà i dati raccolti per finalità di pubblicità comportamentale. Né la geolocalizzazione né la pubblicità comportamentale online sono necessarie per la prestazione del servizio di fotoritocco e vanno oltre la fornitura del servizio principale. Poiché gli utenti non possono utilizzare l’applicazione senza acconsentire a tali finalità, il consenso non può essere considerato liberamente espresso.

3.1.1. Squilibrio di potere

Il considerando 43 14 indica chiaramente che è improbabile che le autorità pubbliche possano basarsi sul consenso per effettuare il trattamento, poiché quando il titolare del trattamento è un’autorità pubblica sussiste spesso un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato. In molti di questi casi è inoltre evidente che l’interessato non dispone di

11 In svariati pareri il Gruppo di lavoro Articolo 29 ha esaminato i limiti del consenso in situazioni in cui non sia possibile esprimerlo liberamente. Ciò è avvenuto in particolare nei seguenti documenti del Gruppo: parere 15/2011 sulla definizione di consenso (WP 187), documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (WP 131), parere 8/2001 sul trattamento dei dati personali nel contesto lavorativo (WP 48) e “ Second opinion 4/2009 on processing of data by the World Anti- Doping Agency (WADA) (International Standard for the Protection of Privacy and Personal Information, on related provisions of the WADA Code and on other privacy issues in the context of the fight against doping in sport by WADA and (national) anti-doping organizations ” [Secondo parere 4/2009 sul trattamento dei dati da parte dell’Agenzia mondiale antidoping (AMA) - norma internazionale per la tutela della vita privata e delle informazioni personali, sulle relative disposizioni del codice AMA e sulla altre questioni relative alla tutela della vita privata nel contesto della lotta contro il doping nello sport da parte dell’AMA e delle organizzazioni (nazionali) antidoping] (WP 162). 12 Cfr. parere 15/2011 sulla definizione di consenso (WP 187), pag. 13. 13 Cfr. considerando 42 e 43 del regolamento generale sulla protezione dei dati e il parere del Gruppo di lavoro 15/2011 sulla definizione di consenso, adottato il 13 luglio 2011 (WP 187), pag. 13. 14 Il considerando 43 del regolamento generale sulla protezione dei dati afferma: “Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. (...)”.

come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni, alla richiesta del datore di lavoro di acconsentire, ad esempio, all’attivazione di sistemi di monitoraggio, quali la sorveglianza con telecamere sul posto di lavoro, o alla compilazione di moduli di valutazione 18. Di conseguenza il Gruppo di lavoro

15 Cfr. articolo 6 del regolamento generale sulla protezione dei dati, in particolare il paragrafo 1 lettera c) e lettera e). 16 Ai fini di questo esempio, con “scuola pubblica” si intende una scuola finanziata con fondi pubblici o qualsiasi struttura educativa che si qualifica come un’autorità pubblica o un ente pubblico ai sensi della legislazione nazionale. 17 Cfr. anche l’articolo 88 del regolamento generale sulla protezione dei dati, nel quale si sottolinea la necessità di tutelare gli interessi specifici dei dipendenti e si crea una possibilità di deroga nel diritto degli Stati membri. Cfr. anche il considerando 155.

18 Cfr. parere 15/2011 sulla definizione di consenso (WP 187), pagg. 13-15; parere 8/2001 sul trattamento dei dati personali nel contesto lavorativo (WP 48), capitolo 10; documento di lavoro riguardante la vigilanza sulle

7

ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente. Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base legittima non può e non dovrebbe essere il consenso del dipendente (articolo 6, paragrafo 1, lettera a)) in considerazione della natura del rapporto tra datore di lavoro e dipendente 19.

Tuttavia, ciò non significa che il datore di lavoro non possa mai basarsi sul consenso come base legittima per il trattamento. In alcune situazioni il datore di lavoro è in grado di dimostrare che il consenso è stato effettivamente espresso liberamente. Dato lo squilibrio di potere tra il datore di lavoro e il suo personale, i dipendenti possono manifestare il loro consenso liberamente soltanto in casi eccezionali, quando non subiranno alcuna ripercussione negativa per il fatto che esprimano il loro consenso o meno 20.

[Esempio 5] Una troupe cinematografica filmerà una determinata area di un ufficio. Il datore di lavoro chiede a tutti i dipendenti che hanno la scrivania in quella zona il consenso a essere ripresi, in quanto potrebbero apparire sullo sfondo del video. Chi non vuole essere filmato non viene

penalizzato in alcun modo e ottiene invece una scrivania altrove nell’edificio per l’intera durata delle riprese.

Gli squilibri di potere non sono limitati alle autorità pubbliche e ai datori di lavoro, potendo verificarsi anche in altre situazioni. Come evidenziato dal Gruppo di lavoro in diversi pareri, il consenso è valido soltanto se l’interessato è in grado di operare realmente una scelta e non c’è il rischio di raggiri, intimidazioni, coercizioni o conseguenze negative significative (ad es. costi aggiuntivi sostanziali) in caso di rifiuto a prestare il consenso. Il consenso non sarà considerato liberamente espresso qualora vi sia qualsiasi elemento di costrizione, pressione o incapacità di esercitare il libero arbitrio.

3.1.2. Condizionalità

Per valutare se il consenso sia stato prestato liberamente è di rilievo l’articolo 7, paragrafo 4, del regolamento 21.

L’articolo 7, paragrafo 4, indica, tra l’altro, che è altamente inopportuno “accorpare” il consenso all’accettazione delle condizioni generali di contratto/ servizio o “subordinare” la fornitura di un contratto o servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione del contratto o servizio. Si presume che il consenso prestato in una tale

comunicazioni elettroniche sul posto di lavoro (WP 55), punto 4.2; e parere 2/2017 sul trattamento dei dati sul posto di lavoro (WP 249), punto 6.2. 19 Cfr. parere 2/2017 sul trattamento dei dati sul posto di lavoro, pagg. 6-7. 20 Cfr. anche il parere 2/2017 sul trattamento dei dati sul lavoro (WP 249), punto 6.2.

21 L’articolo 7, paragrafo 4, del regolamento generale sulla protezione dei dati recita: “ Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto. Cfr. anche il considerando 43 del regolamento, che afferma: “ [...] Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

8

situazione non sia stato espresso liberamente (considerando 43). L’articolo 7, paragrafo 4, mira a garantire che la finalità del trattamento dei dati personali

9

[Esempio 6] Una banca chiede ai clienti il consenso per consentire a terzi di utilizzare i dettagli di pagamento per finalità di marketing diretto. Questa attività di trattamento non è necessaria per l’esecuzione del contratto stipulato con il cliente e la prestazione di servizi ordinari di conto bancario. Qualora il rifiuto del cliente a prestare il consenso per tale finalità di trattamento porti alla negazione di servizi bancari, alla chiusura del conto bancario o, a seconda dei casi, a un aumento della commissione, il consenso non può considerarsi espresso liberamente.

La scelta del legislatore di evidenziare la condizionalità, tra l’altro, come presunzione di mancanza di libertà di esprimere il consenso dimostra che il verificarsi della condizionalità deve essere attentamente esaminato. L’espressione “nella massima considerazione” di cui all’articolo 7, paragrafo 4, suggerisce che il titolare del trattamento deve prestare particolare attenzione qualora il contratto (che potrebbe includere la prestazione di un servizio) sia collegato a una richiesta di consenso al trattamento di dati personali.

Poiché l’articolo 7, paragrafo 4, non è formulato in maniera assoluta, in un numero molto ristretto di casi tale condizionalità potrebbe non rendere invalido il consenso. Tuttavia, il verbo “si presume” al considerando 43 indica chiaramente che tali casi saranno estremamente eccezionali.

Ad ogni modo, l’onere della prova riguardo all’articolo 7, paragrafo 4, incombe al titolare del trattamento 24. Questa norma specifica riflette il principio generale di responsabilizzazione che permea l’intero regolamento generale sulla protezione dei dati. Tuttavia, quando si applica l’articolo 7, paragrafo 4, risulta più difficile per il titolare del trattamento dimostrare che l’interessato ha prestato liberamente il consenso 25.

Il titolare del trattamento potrebbe sostenere che la sua organizzazione offre all’interessato una scelta reale mettendolo in grado di scegliere tra un servizio che prevede il consenso all’uso dei dati personali per finalità supplementari, da un lato, e un servizio equivalente che non implica un siffatto consenso, dall’altro. Finché esiste la possibilità che il contratto venga eseguito o che il servizio oggetto del contratto venga prestato dal titolare del trattamento senza necessità di acconsentire ad usi ulteriori o supplementari dei dati in questione non si è in presenza di un servizio condizionato. Tuttavia, i due servizi devono essere effettivamente equivalenti.

Il Gruppo di lavoro ritiene che il consenso non possa considerarsi prestato liberamente se il titolare del trattamento sostiene che esiste una scelta tra il suo servizio che prevede il consenso all’uso dei dati personali per finalità supplementari, da un lato, e un servizio equivalente offerto da un altro titolare del trattamento, dall’altro. In tal caso la libertà di scelta dipenderebbe dagli altri operatori

24 Cfr. anche l’articolo 7, paragrafo 1, del regolamento generale sulla protezione dei dati, il quale stabilisce che il titolare del trattamento deve dimostrare che il consenso dell’interessato è stato liberamente manifestato. 25 In una certa misura, l’introduzione di questo paragrafo è una codifica delle linee guida esistenti formulate dal Gruppo di lavoro. Come descritto nel parere 15/2011, quando un interessato si trova in una situazione di dipendenza rispetto al titolare del trattamento dei dati, in ragione della natura della relazione o di circostanze speciali, potrebbe sussistere una marcata presunzione che la libera manifestazione del consenso sia limitata in tali contesti (ad esempio in un rapporto di lavoro o se la raccolta dei dati è effettuata da un’autorità pubblica). Con l’entrata in vigore dell’articolo 7, paragrafo 4, sarà più difficile per il titolare del trattamento dimostrare che l’interessato ha prestato liberamente il consenso. Cfr.: parere 15/2011 sulla definizione di consenso (WP 187), pp. 14-19.

10

del mercato e dal fatto che l’interessato ritenga che i servizi offerti dall’altro titolare del trattamento siano effettivamente equivalenti. Ciò implicherebbe inoltre l’obbligo per il titolare del trattamento di monitorare gli sviluppi del mercato per garantire la continuità della validità del consenso per le sue attività di trattamento dei dati, in quanto un concorrente potrebbe modificare il suo servizio in un momento successivo. Di conseguenza il consenso ottenuto con questa argomentazione non rispetta il regolamento generale sulla protezione dei dati.

3.1.3. Granularità

Un servizio può comportare trattamenti multipli per più finalità. In tal caso, l’interessato dovrebbe essere libero di scegliere quale finalità accettare anziché dover acconsentire a un insieme di finalità. Ai sensi del regolamento generale sulla protezione dei dati, in un determinato caso possono essere giustificati più consensi per iniziare a offrire un servizio.

Il considerando 43 chiarisce che si presume che il consenso non sia stato espresso liberamente se il processo o la procedura seguiti per ottenerlo non permettono all’interessato di esprimere un consenso separato ai distinti trattamenti dei dati personali (ad esempio solo ad alcuni trattamenti e non ad altri) nonostante ciò sia appropriato nel singolo caso. Il considerando 32 afferma: “ Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste ”.

Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c’è libertà. La granularità è strettamente correlata alla necessità che il consenso sia specifico, come analizzato nella sezione 3.2. Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell’ottenimento del consenso per ciascuna di esse.

di prodotti e pubblicità cartacea da parte della rivista stessa e non saranno condivisi con altre organizzazioni. Qualora non voglia comunicare il proprio indirizzo per tale finalità, il lettore non subisce alcun pregiudizio in quanto i prodotti saranno comunque a sua disposizione. 3.2.Specifico L’articolo 6, paragrafo 1, lettera a), conferma che il consenso dell’interessato deve essere espresso in relazione a “una o più specifiche” finalità e che l’interessato deve poter scegliere in relazione a ciascuna di esse 26. Il requisito secondo il quale il consenso deve essere “specifico ” mira a garantire un certo grado di controllo da parte dell’utente e trasparenza per l’interessato. Tale requisito non è stato modificato dal regolamento e rimane strettamente legato al requisito del consenso “informato”. Allo stesso tempo, deve essere interpretato in linea con il requisito della “granularità”, 26 Ulteriori indicazioni sulla determinazione delle “finalità” sono riportate nel documento Opinion 3/2013 on purpose limitation [parere 3/2013 sulla limitazione della finalità] (WP 203). 12 affinché il consenso sia “libero” 27. In sintesi, per rispettare l’elemento della specificità (“specifico”), il titolare del trattamento deve applicare:

  1. (^) (i) la specificazione delle finalità come garanzia contro la “ function creep ”, ossia l’estensione indebita delle funzionalità;
  2. (^) (ii) la granularità nelle richieste di consenso, e
  3. (^) (iii) una chiara separazione delle informazioni sull’ottenimento del consenso per le attività di trattamento dei dati rispetto alle informazioni su altre questioni.

Sul punto i): ai sensi dell’articolo 5, paragrafo 1, lettera b), del regolamento, per ottenere un consenso valido occorre sempre prima determinare la finalità specifica, esplicita e legittima dell’attività di trattamento prevista 28. La necessità di un consenso specifico associata alla nozione di limitazione delle finalità di cui all’articolo 5, paragrafo 1, lettera b), funge da garanzia contro l’ampliamento progressivo, o la commistione, delle finalità di trattamento dei dati dopo che l’interessato ha acconsentito alla loro raccolta iniziale. Questo fenomeno, noto anche come “ function creep ”, rappresenta un rischio per l’interessato, in quanto può comportare l’uso non previsto di dati personali da parte del titolare del trattamento o di terzi e la perdita del controllo da parte dell’interessato.

Se il titolare del trattamento si basa sull’articolo 6, paragrafo 1, lettera a), l’interessato deve sempre fornire il consenso per una finalità di trattamento specifica 29. In linea con il concetto di limitazione delle finalità e con l’articolo 5, paragrafo 1, lettera b), e il considerando 32 del regolamento, il consenso può coprire trattamenti distinti, purché abbiano la medesima finalità. Chiaramente il consenso specifico può essere ottenuto soltanto quando l’interessato è specificamente informato delle finalità previste dell’uso dei dati che lo riguardano. Nonostante le disposizioni in materia di compatibilità delle finalità, il consenso deve essere specifico per finalità. L’interessato presterà il consenso nella convinzione di avere il controllo sui suoi dati e nella convinzione che questi saranno trattati esclusivamente per le finalità specificate. Se tratta i dati

basandosi sul presupposto del consenso e intende trattarli per un’altra finalità, il titolare del trattamento deve richiedere un ulteriore consenso per tale finalità a meno che non possa basarsi su un’altra base legittima che risponda meglio alla situazione.

[Esempio 11] Una rete TV via cavo raccoglie i dati personali degli abbonati, sulla base del loro consenso, per fornire suggerimenti personali su nuovi film che, stando alle abitudini di visualizzazione, potrebbero interessare loro. Dopo un po’, la rete TV vorrebbe consentire a terzi di inviare (o mostrare) pubblicità mirata sulla base delle

27 Il considerando 43 del regolamento generale sulla protezione dei dati afferma che, se del caso, sarà necessario un consenso separato per trattamenti distinti. Dovrebbero essere messe a disposizione opzioni di consenso granulare in maniera da consentire agli interessati di acconsentire separatamente a finalità distinte. 28 Cfr. parere del Gruppo di lavoro 3/2013 sulla limitazione della finalità (WP 203), pag. 16: “ Per questi motivi, una finalità che sia vaga o generica, come ad esempio ‘migliorare l’esperienza degli utenti’, ‘finalità di marketing’, ‘finalità di sicurezza informatica’ o ‘ricerca futura’, senza ulteriori dettagli, di solito non soddisfa i criteri per essere ‘specifica’“.

29 Ciò è coerente con il parere del Gruppo di lavoro 15/2011 sulla definizione di consenso (WP 187), ad esempio a pag. 19.

13

abitudini di visualizzazione degli abbonati. Data questa nuova finalità, è necessario ottenere un nuovo consenso.

Sul punto ii): i meccanismi di consenso devono essere granulari non solo per soddisfare il requisito del consenso “libero”, ma anche per soddisfare quello del consenso “specifico”. Ciò significa che il titolare del trattamento che richiede il consenso per finalità diverse dovrebbe prevedere una possibilità di adesione distinta per ciascuna finalità, in modo da consentire all’utente di esprimere un consenso specifico per le finalità specifiche.

Sul punto iii): il titolare del trattamento dovrebbe fornire informazioni specifiche, in relazione a ciascuna richiesta di consenso distinta, sui dati che vengono trattati per ciascuna finalità, al fine di rendere noto all’interessato l’impatto delle diverse scelte a sua disposizione. In questo modo l’interessato può esprimere un consenso specifico. Questo aspetto si sovrappone al requisito che impone al titolare del trattamento di fornire informazioni chiare, come analizzato al punto 3.3.

3.3. Informato

Il regolamento generale sulla protezione dei dati rafforza il requisito secondo cui il consenso deve essere informato. Ai sensi dell’articolo 5 del regolamento, il requisito della trasparenza è uno dei principi fondamentali, strettamente legato ai principi di correttezza e liceità. Fornire informazioni agli interessati prima di ottenerne il consenso è fondamentale per consentire loro di prendere decisioni informate, capire a cosa stanno acconsentendo e, ad esempio, esercitare il diritto di revocare il consenso. Se il titolare del trattamento non fornisce informazioni accessibili, il controllo dell’utente diventa illusorio e il consenso non costituirà una base valida per il trattamento.

Se i requisiti per il consenso informato non sono rispettati il consenso non sarà valido e il titolare del trattamento potrebbe essere in violazione dell’articolo 6 del regolamento.