Quando il consenso al trattamento dei dati personali non si considera “libero” e quindi la richiesta non è conforme al GDPR
Il Gruppo Art. 29 (WP29) ha recentemente pubblicato le linee guida aggiornate sulla trasparenza e il consenso (pubblicate il 10 aprile 2018), in relazione alle disposizioni del Regolamento n. 679/2016 in materia di trattamento dei dati personali.
Quando un titolare del trattamento avvia delle attività che implicano un trattamento di dati personali, deve sempre considerare su quale base legale fonda il trattamento e il consenso costituisce una delle sei basi legali su cui costruire un trattamento di dati legittimo, secondo l’elenco offerto dall’art. 6 del GDPR.
Perché il consenso sia valido e conforme al regolamento, è necessario fornire all’interessato il controllo della situazione e dargli la possibilità di ritirarlo facilmente e in qualsiasi momento senza ripercussioni.
E’ l’art. 4 del GDPR che fissa i requisiti del legittimo consenso. Esso deve essere:
- fornito liberamente,
- specifico,
- informato e
- espresso mediante un’indicazione inequivocabile che comunichi la volontà libera dell’interessato attraverso un’affermazione o una chiara azione attiva con cui egli confermi che accetta il trattamento dei dati personali che lo riguardano.
Per ciascuna caratteristica innanzi indicata, le linee guida forniscono un chiarimento specifico, così, in relazione al consenso espresso liberamente, precisano che consenso libero significa consenso non condizionato, nel senso che non vi saranno conseguenze qualora l’interessato non acconsenta al trattamento; se la richiesta di consenso è formulata come elemento non negoziabile e inclusa nei termini e condizioni, si presume, in generale, che il consenso non sia stato dato liberamente. Di conseguenza, il consenso non sarà considerato libero, se l’interessato non sarà in grado di rifiutare o ritirare il proprio consenso senza pregiudizio.
Facciamo un esempio:
Una game app scaricata sullo smartphone chiede all’interessato il consenso per la geolocalizzazione e per accedere a foto e video in memoria sul telefono, l’utilizzo di tali dati in realtà non è necessario ai fini del gioco da parte dell’app, ad ogni modo se l’interessato non manifesta tale consenso, l’app non può essere usata. Siamo nell’ambito di un consenso invalido, perché non libero.
Le linee guida chiariscono inoltre che nell’ambito dei rapporti con le autorità pubbliche o pubbliche amministrazioni, essendo elevato lo squilibrio tra interessato e titolare del trattamento, il consenso, in linea di principio, non costituirebbe la base legale più idonea, tuttavia, vi sono casi in cui anche nel settore pubblico il consenso può considerarsi appropriato.
Facciamo un esempio:
Una scuola pubblica chiede agli studenti il consenso a usare le loro fotografie su una rivista studentesca stampata. Il consenso in queste circostanze sarebbe una scelta libera, sempre che gli studenti non abbiano alcuna ripercussione sulla loro istruzione o sugli altri servizi scolastici rifiutandosi di concedere l'uso di queste fotografie.
Consenso nei rapporti di lavoro dipendente
Uno squilibrio di poteri si verifica anche nel contesto dei rapporti di lavoro subordinato. Infatti, un dipendente difficilmente negherà il consenso al trattamento dei dati al suo datore di lavoro, in quanto avrà paura delle conseguenze di un suo rifiuto, quindi il suo consenso non potrà dirsi libero a prescindere. Ragion per cui, il WP29 ritiene improbabile, se non impossibile che il consenso possa costituire una base legale valida perché i datori di lavoro possano trattare i dati personali dei dipendenti attuali o futuri, in quanto è difficile che tale consenso possa essere fornito liberamente. Per la maggior parte di tali trattamenti di dati sul lavoro, la base legale non può e non deve essere il consenso dei dipendenti (articolo 6, paragrafo 1, lettera a) a causa della natura del rapporto tra datore di lavoro e lavoratore. Nonostante ciò, il WP29 ritiene che vi possano essere situazioni veramente ECCEZIONALI in cui il datore di lavoro possa dimostrare che il consenso sia reso effettivamente in maniera libera, sempre dimostrando che un eventuale rifiuto del dipendente non avrà conseguenze negative sul rapporto di lavoro.
Facciamo un esempio
Il datore di lavoro decide di partecipare ad un programma televisivo che effettuerà delle riprese negli ambienti di lavoro, intervistando alcuni lavoratori, il datore deve informare i dipendenti dell’eventualità che potrebbero essere ripresi nel contesto professionale, concedendo loro la possibilità di prestare o meno il consenso e spostarsi in un’altra ala dell’azienda per continuare il lavoro, nel caso in cui non volessero essere ripresi, senza ripercussioni sul loro rapporto lavorativo.
In generale si può dire che ciascun elemento di pressione, coercizione, intimidazione o influenza inappropriata diretta o indiretta sull’interessato (che può manifestarsi in modi diversi) che impedisca all’interessato di esercitare il proprio libero arbitrio, rende il consenso invalido. Ad ogni buon conto, vi sono dei casi eccezionali che devono essere considerati con il massimo rigore.
L’art. 7 paragrafo 4 stabilisce che nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto, pertanto, la valutazione sul consenso libero, dovrebbe tener conto anche della situazione specifica di vincolo del consenso nei contratti o nella fornitura di un servizio. In altri termini, la richiesta di consenso al trattamento di dati personali inglobata nell’accettazione di termini e condizioni di un contratto o “infilata” nelle condizioni di un contratto di fornitura di un servizio relativa a trattamenti che non sono necessari per le finalità contrattuali o per l’esecuzione del servizio, non è conforme al GDPR. Se il consenso è fornito in questa situazione, si presume che non sia dato liberamente (considerando 43). L'articolo 7, paragrafo 4 mira a garantire che le finalità del trattamento dei dati personali non siano mascherate né raccolte nella fornitura di un contratto di un servizio per il quale tali dati personali non sono necessari. In tal modo, il GDPR garantisce che il trattamento dei dati personali per cui viene richiesto il consenso non si tramuti in una situazione che direttamente o indirettamente comprometta l’esecuzione del contratto o del servizio fornito. Ogni qual volta l’esecuzione di un contratto risulti vincolata al consenso al trattamento dei dati da parte del titolare del trattamento, trattandosi di dati non necessari per l’esecuzione stessa e nel caso in cui l’interessato non intenda mettere a disposizione i propri dati personali correndo il rischio di vedersi negati i servizi richiesti, siamo nell’ambito di un trattamento illecito e di un consenso non valido.
Pertanto, le due basi legittime per il trattamento legale dei dati personali, cioè il consenso e il contratto, non possono essere unite e confuse, ma devono restare distinte. In pratica, occorre specificare in una clausola a parte rispetto alle condizioni contrattuali, specificamente dedicata e visibile, la richiesta di consenso al trattamento di dati ulteriori che vanno oltre quelli necessari all’esecuzione del contratto, senza che una mancata prestazione di tale consenso possa in qualche modo incidere sul contratto o sul servizio.
E’ necessario condurre sempre una disamina rigorosa su quali sono i dati necessari ai fini dell’esecuzione di un contratto o del servizio. Ad esempio, se si tratta di un contratto di acquisto online, l’indirizzo è necessario per la consegna del bene acquistato, ma se si tratta dell’acquisto di una licenza di un bene immateriale come un software o musica ad esempio, l’indirizzo non è più una condizione necessaria ai fini dell’esecuzione del contratto, pertanto per acquisire quel dato ulteriore è necessaria una richiesta di consenso espresso, informando chiaramente perché quel dato viene ulteriormente richiesto e quindi per quale finalità verrebbe usato.
Deve esserci un collegamento diretto e oggettivo tra il trattamento dei dati e lo scopo di esecuzione del contratto, senza tale collegamento, la richiesta espressa di consenso per il trattamento di altri dati è obbligatoria. D’altro canto, se il titolare del trattamento cerca di trattare dati personali che sono effettivamente necessari per l’esecuzione di un contratto, il consenso non può essere la base legale appropriata. L’articolo 7, paragrafo 4 si applica solo se i dati richiesti non sono necessari per l’esecuzione del contratto (compresa la fornitura di un servizio). Viceversa, se il trattamento è necessario per eseguire il contratto (anche per fornire un servizio), l’articolo 7, paragrafo 4 non opera.
Il termine “massima considerazione” nell’articolo 7, paragrafo 4 suggerisce particolare cautela quando un contratto (che potrebbe includere la fornitura di un servizio) include una richiesta di consenso al trattamento dei dati personali ad esso collegati, tuttavia, tale articolo non può essere interpretato in senso assoluto, pertanto potrebbe esserci uno spazio molto ristretto di casi in cui includere il consenso nell’accettazione delle condizioni di contratto non renderebbe il consenso invalido. Tuttavia, è bene sottolinearlo, si tratta di casi estremamente eccezionali e comunque, l’onere della prova spetta sempre al titolare del trattamento.
In queste circostanze, come chiarito dalle linee guida, si potrebbe sostenere che il titolare del trattamento offra ai soggetti interessati una scelta libera quando li pone nelle condizioni di scegliere tra un servizio che preveda il consenso all’uso dei dati personali per fini aggiuntivi da un lato e un servizio equivalente offerto dallo stesso titolare che non implica il consenso all’utilizzo dei dati per scopi aggiuntivi dall’altro lato. Perché ciò sia valido ai fini del GDPR, entrambi i servizi devono essere nel concreto analoghi. Finché esiste la possibilità che il contratto venga eseguito o che il servizio sia eseguito dallo stesso titolare anche senza aver prestato il consenso per ulteriori fini aggiuntivi o per l'utilizzo di dati aggiuntivi, non può parlarsi di consenso condizionato.