Informativa, consenso e revoca nel Regolamento europeo privacy: analisi dei nuovi adempimenti finalizzati alla trasparenza verso gli interessati

Il nuovo Regolamento generale sulla protezione dei dati personali (GDPR n. 679/2016) introduce notevoli cambiamenti in ordine a due istituti cardine sui quali si fonda l’attuale disciplina italiana in materia di data protection: si tratta, in particolare, dell’obbligo dei titolari del trattamento (delegabile anche agli eventuali Responsabili del trattamento nominati) di fornire una idonea informativa (collegato con il conseguente diritto degli interessati di ricevere informazioni trasparenti sul trattamento dei loro dati) e l’obbligo, in determinati casi, di acquisire un consenso al trattamento (collegato con il diritto degli interessati di autorizzare o revocare determinati trattamenti).

Si tratta, a ben vedere, di adempimenti con cui dovremmo avere già una certa familiarità, in quanto vi sono notevoli profili di continuità sia con l’abrogata Direttiva 95/46/CE sia con l’attuale Codice privacy italiano. Tuttavia, proprio perché si tratta di adempimenti atti a garantire quel principio di trasparenza e correttezza verso gli interessati, i contenuti dell’informativa[1] e i requisiti del consenso ne escono, rispetto al passato, maggiormente specificati e notevolmente amplificati.

Possiamo notare, in primis, come nel GDPR (a differenza del Codice privacy italiano) vi siano due distinti momenti in cui il Titolare del trattamento deve fornire una serie di informazioni attraverso l’informativa conferita all’interessato: il paragrafo 1 dell’articolo 13, infatti, prescrive una prima elencazione di contenuti obbligatori, seguita subito dopo al paragrafo 2 da “ulteriori” informazioni aggiuntive, nel momento in cui i dati personali sono ottenuti, per garantire un trattamento corretto e trasparente.  

Ebbene, in caso di raccolta dei dati presso l’interessato, il Titolare del trattamento deve fornire le seguenti informazioni minime:

  1. l’identità e le coordinate di contatto del titolare del trattamento e del suo eventuale rappresentante;
  2. le coordinate di contatto dell’eventuale responsabile della protezione dei dati (ovviamente se nominato);
  3. le finalità del trattamento cui i dati personali sono destinati e, elemento del tutto nuovo, la base giuridica sulla quale si fonda la liceità del trattamento[2];
  4. i legittimi interessi perseguiti dal titolare del trattamento o da terzi, a meno che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
  5. gli eventuali destinatari o le categorie di destinatari dei dati personali;
  6. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

In aggiunta a quanto sopra elencato, il titolare del trattamento deve altresì fornire all’interessato le seguenti e ulteriori informazioni (garanzia di correttezza e trasparenza nel trattamento):

– il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare questo periodo (si tratta di un contenuto dell’informativa del tutto nuovo rispetto alla passata disciplina)[3];

– l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica, cancellazione, limitazione del trattamento dei dati personali, di opporsi al loro trattamento o chiedere l’esercizio della portabilità dei dati;

– l’esistenza del diritto di revocare il consenso in qualsiasi momento (senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato prima della revoca);

– il diritto di proporre reclamo a un’autorità di controllo[4];

– se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati nonché le possibili conseguenze della mancata comunicazione di tali dati;

– l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in quest’ultimo caso, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze di tale trattamento per l’interessato.

Vi possono essere, però, situazioni in cui i dati non sono stati ottenuti direttamente dall’interessato, ma per il tramite di soggetti terzi; allora in questi casi il Titolare del trattamento dovrà fornire all’interessato (oltre ai contenuti precedentemente indicati) anche le seguenti e ulteriori informazioni:

          le categorie di dati personali in questione;

          la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.

Posto che per la normale raccolta dei dati presso l’interessato la soluzione preferibile e che fornisce una continuità con la normativa italiana è quella di un conferimento dell’informativa all’atto della raccolta (o comunque in un momento antecedente), per quanto riguarda le tempistiche del conferimento dell’informativa nei casi in cui i dati personali non siano stati ottenuti direttamente presso l’interessato, il GDPR specifica che il Titolare del trattamento dovrebbe fornire tutte queste informazioni con le seguenti tempistiche:

          entro un termine ragionevole dall’ottenimento dei dati, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati vengono trattati, oppure

          nel caso in cui i dati siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato, oppure

          in caso di prevista comunicazione a un altro destinatario, non oltre la prima comunicazione dei dati personali.

Altro elemento di novità per quanto concerne l’informativa risiede nella possibilità concessa al Titolare del trattamento di utilizzare ulteriormente i dati personali raccolti (direttamente o tramite soggetti terzi) per una finalità diversa da quella per cui essi sono stati raccolti (previa valutazione di adeguatezza di tale ulteriore finalità); tuttavia, prima dell’ulteriore trattamento è necessario fornire all’interessato, al di là dei contenuti già elencati in precedenza, anche le necessarie informazioni in merito a tale diversa finalità.

Il consenso dell’interessato al trattamento, invece, rientra tra i diritti riconosciuti dal GDPR a favore degli interessati e viene definito (art. 4, paragrafo 11) come una “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Si tratta di una manifestazione di volontà recettizia con la quale un Titolare viene autorizzato a uno specifico trattamento e costituisce, altresì, una condizione di liceità del trattamento (vd. articolo 6, paragrafo 1, lett. a), oltre che una deroga al divieto del trattamento delle categorie particolari di dati (vd. articolo 9, paragrafo 2, lett. b) ovvero di quella categoria di dati particolarmente delicati o sensibili.

Le caratteristiche del consenso, affinché sia valido e correttamente acquisito, sono le seguenti:

          informato (quindi preceduto sempre da una idonea informativa);

          libero (privo da condizionamenti) e revocabile (in qualsiasi momento);

          specifico (per ciascuna finalità perseguita);

          espresso (ciò significa che non ci si può avvalere banalmente di un silenzio-assenso);

          esplicito (non è ammesso infatti un comportamento concludente);

          inequivocabile (deve essere certo al di là di ogni ragionevole dubbio, in termini di formulazione e contesto di riferimento).

L’articolo 7 del GDPR, poi, evidenzia le nuove condizioni per il consenso al trattamento dei dati personali.

Innanzitutto viene richiamato proprio all’esordio di tale articolo il c.d. principio di accountability, in quanto si precisa che se il trattamento è basato sul consenso, ai fini della propria responsabilizzazione il titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Pertanto, l’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei suoi dati personali incombe unicamente sul titolare del trattamento (e non su un eventuale responsabile dallo stesso delegato).

Viene inoltre riaffermato un principio fondamentale ribadito anche dalla nostra Autorità Garante in diverse occasioni (soprattutto nel marketing), in base al quale se il consenso dell’interessato deve essere fornito nel contesto di una dichiarazione scritta che riguarda anche altre materie, l’obbligo di prestare il consenso deve essere presentato in forma distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

L’interessato, poi, ha il diritto di revocare il proprio consenso in qualsiasi momento, precisando il legislatore europeo che la revoca del consenso non pregiudica mai la liceità del trattamento basata sul consenso prima della revoca.

Infine, al Titolare del trattamento viene imposto anche l’onere di consentire all’interessato di revocare il suo consenso con la stessa facilità con cui è stato accordato (banalmente se l’interessato ha fornito un consenso on-line selezionando una casella di spunta sul sito web del titolare, quest’ultimo non può obbligarlo a inviare una raccomandata a/r o un fax per poterlo revocare).

Da tutto quanto sopra specificato, emerge la necessità per aziende e pubbliche amministrazioni di una programmazione capillare finalizzata all’analisi della documentazione relativa alle attuali informative e ai modelli di consenso in uso, al fine di revisionarle e integrarle secondo i nuovi contenuti e parametri delineati dal legislatore europeo.

 


[1] Si assiste a un generale potenziamento dei contenuti obbligatori dell’informativa, con possibilità anche di ricorrere a icone o forme grafiche (ciò ad oggi è avvenuto solo sulla base di provvedimenti specifici emanati dall’Autorità Garante per la protezione dei dati personali, come ad esempio in materia di videosorveglianza e geolocalizzazione).

[2] Per un esame dettagliato delle basi giuridiche che legittimano un trattamento di dati personali si rinvia alla lettura dell’articolo 6, paragrafo 1 del GDPR.

[3] Ragione per la quale i Titolari del trattamento dovranno adottare adeguate “data retention policy”, utili sia ai fini dell’informativa privacy sia ai fini della redazione del “Registro delle attività di trattamento”.

[4] Anche questo è un contenuto del tutto nuovo che impone al Titolare del trattamento di precisare nell’informativa le modalità con cui l’interessato potrà rivolgersi all’Autorità Garante per la protezione dei dati personali (per l’Italia) per far valere i propri diritti.