Consenso vale titolo

CONSENSO VALE TITOLO AVV SILVIA DI VIRGILIO LEX AROUND ME
CONSENSO VALE TITOLO AVV SILVIA DI VIRGILIO LEX AROUND ME

Nelle pieghe del GDPR si delinea un “concetto” che è facile rischiare di usare in modo quantomeno imprudente. 

Consenso uguale libertà di trattamento.

In molti sembrano convinti che richiedere il consenso dell’interessato al trattamento dei suoi dati sia una sorta di lascia passare.

Un modo per assicurarsi una base di legittimità che consenta di ampliare senza limiti le finalità al trattamento dei dati.

L’art. 4, paragrafo 1, numero 11 del GDPR prevede che il consenso deve essere una “manifestazione di volontà libera, specifica, informata e inequivocabile”.

Non solo:  il consenso deve essere manifestato attraverso una “dichiarazione o azione positiva inequivocabile”.

A sua volta l’art. 6, paragrafo 1 specifica che il consenso è solo una delle sei basi di legittimità dei trattamenti di dati personali. 

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  • l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità

Oppure il trattamento è necessario per

  • l’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Per questo il titolare deve sempre valutare quale delle sei basi di legittimità previste dalla norma sia la più idonea rispetto al trattamento che intende porre in essere. 

Una valutazione da fare con la massima attenzione anche perché nell’informativa agli interessati deve essere chiaramente indicata sia la finalità del trattamento che la sua base giuridica.

È dunque un preciso dovere del titolare definire la base giuridica su cui intende fondare la legittimità del trattamento. E di questa decisione deve informare l’interessato.

Anche perché i diritti di questo sono diversi a seconda della base giuridica scelta. 

Ad es. il diritto a ottenere la portabilità dei dati si ha solo se il trattamento è basato sul contratto o sul consenso (art.20). Oppure il diritto di opposizione non sussiste se la legittimità del trattamento è basata sul consenso, perché in questo caso prevale il diritto alla revoca.

Inoltre in tutti i casi in cui un trattamento si basa sul contratto ma i dati trattati richiedono, per la loro natura o per la minore età degli interessati, un consenso specifico, questo si configura non come base di legittimità del trattamento ma come precondizione necessaria.

Una precondizione che non incide sulla base di legittimità del trattamento, se questa rientra in una delle altre cinque previste dall’art. 6. In particolare quando consista nell’adempimento di un contratto o di modalità precontrattuali.

E’, quindi, del tutto inutile chiedere il consenso al trattamento di dati personali necessari all’esecuzione del contratto.

A meno che non sia richiesto dal GDPR o da altre norme dell’Unione o dello Stato come precondizione necessaria in ragione del tipo di dati trattati.

Si chiederebbe infatti un consenso inutile e che comunque, in un contesto in cui il rapporto tra titolare e interessato è basato sul vincolo contrattuale, non può costituire la base di legittimità dei trattamenti.

Allo stesso modo, proprio perché il consenso non è la base di legittimità del trattamento né una precondizione necessaria, anche la sua eventuale revoca resterebbe senza effetti.

Infatti prevale l’obbligo di dare esecuzione al contratto e i vincoli che da questo discendono.

A questo si aggiunge l’incertezza che può derivare per i diritti degli interessati. Che potrebbero ritenere – a torto – di poter revocare in ogni momento il consenso prestato. E di avere come conseguenza l’interruzione legittima del contratto.

Così come il titolare potrebbe trovarsi costretto a considerare priva di effetti rispetto al contratto la revoca del consenso al trattamento di dati personali a suo tempo inutilmente chiesto.

Tutto questo spinge a richiamare ancora una volta l’attenzione sulla necessità di evitare di innescare cortocircuiti molto pericolosi, cercando di affiancare l’uno all’altro il contratto e il consenso, come se potessero sussistere due basi diverse di legittimazione di un medesimo trattamento.

Nelle Linee Guida del WP29 in materia di consenso pubblicate il 10 aprile 2018 la questione è approfondita in maniera chiara ed esauriente.

 

Se vuoi approfondire gli argomenti trattati nel Post oppure vuoi risolvere una tua questione legale prenota qui la tua consulenza.

Per tutti gli aggiornamenti segui #LexAroundMe

Lascia qui il tuo commento al blog e ai servizi di LexAround.me

 

Consenso vale titolo #GDPR #Privacy #Internet #LexAroundMe Condividi il Tweet

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.