Decisione basata sul consenso esplicito

In discontinuità con l’articolo 15 della Direttiva 95/46, il Regolamento introduce la possibilità di legittimare le decisioni automatizzate sulla base del consenso dell’interessato attribuendo all’autodeterminazione della persona un importante ruolo nelle dinamiche dell’articolo 22 del GDPR304_.

Il consenso dell’interessato è definito dall’articolo 4.11 del GDPR come “qualsiasi ma- nifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. L’utilizzo di termini quali “manifesta e “mediante dichiarazione o azione positiva” implica un atto di esternalizzazione305 _{necessario al fine}

della validità del consenso il quale deve essere inequivocabile306_{, ossia non vi devono essere}

ambiguità per quanto concerne l’intenzione dell’interessato307.

Inoltre, il riferimento alla manifestazione dell’assenso dell’interessato offre un appiglio normativo per la tesi che attribuisce natura adesiva al consenso. A tale configurazione si

302 _{Si parla di controllo attenuato in quanto il legislatore (europeo o nazionale) non è vincolato dall’articolo}

22.3 del GDPR che richiede quali tutele minime il diritto di ottenere l’intervento umano, di contestare la deci- sione e di esprimere la propria opinione. Nulla vieta che le norme autorizzatrici possano prevedere comunque le medesime tutele, se non forme di controllo più ampie, ma ciò sarà rimesso alla volontà del legislatore. Cfr.

Ibidem. Un esempio di adeguamento a livello nazionale sarà fornito al paragrafo 1.4 del presente Capitolo.

303 _{Ibidem; Linee Guida, 10, 18.}

304 _{Si noti che tale scelta normativa non rispecchia il più ampio processo di decentralizzazione della regola del}

consenso che emerge dalla lettura dell’intera disciplina del Regolamento posta a confronto con quella della Direttiva 95/46. Quest’ultima faceva assurgere il consenso a regola generale costellata da criteri alternativi co- struiti secondo una logica di regola-eccezione, diversamente, il GDPR riporta le condizioni di liceità all’interno di una struttura “orizzontale” in cui il consenso è equipollente rispetto alle altre condizioni che si pongo in relazione concettuale direttamente con il divieto generale di trattamento collocato a monte (e non più con il consenso quale regola). Una cesura è segnata anche rispetto al ruolo attribuito al consenso dal Co- dice Privacy che, posta la bipartizione tra condizioni di liceità applicabili a soggetti privati e a soggetti pubbli- ci, trovava proprio nel consenso il quid distintivo tra titolari privati e pubblici (con eccezione dell’ambito sani- tario). Cfr. BOLOGNINI,PELINO, Condizioni di liceità, cit., 279; PIZZETTI, Privacy e il diritto europeo alla protezione

dei dati personali, dalla Direttiva 95/46 al nuovo Regolamento europeo, cit., 211; F.CAGGIA,Libertà ed espressione del con- senso, in CUFFARO,D’ORAZIO,RICCIUTO (a cura di), I dati personali nel diritto europeo, cit., 249-250; F.BRAVO, Il

consenso e le altre condizioni di liceità del trattamento di dati personali, in FINOCCHIARO (a cura di), Il nuovo Regolamento

europeo sulla privacy e sulla protezione dei dati personali, cit., 138; PELINO, I diritti dell’interessato, cit., 212.

305 _{Come ad esempio una firma apposta su un modulo cartaceo o una dichiarazione orale. Cfr.DEL FEDERI-}

CO,POPOLI,Disposizioni generali, cit.

306 _{Requisito non esplicitamente previsto nella definizione di consenso data dalla Direttiva 95/46 all’articolo}

2.h), ma indicato quale condizione di validità aggiuntiva all’articolo 7.a). Cfr. Ibidem.

307 _{Il considerando 32 del GDPR porta degli esempi concreti riferibili in particolare a contesti telematici: “ciò}

potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto”.

giunge muovendo da un consenso prospettato come atto autorizzativo308 scomponibile in due momenti: uno “condizione di accesso nella sfera di intimità personale”, e uno regolativo “fonte della regola che conforma la fattispecie circolatoria [dei dati personali], determinandone i circuiti concre- ti”309. Eppure, l’elemento regolatore è messo in crisi dall’assegnazione al titolare, e non all’interessato, della definizione delle finalità, caratteristiche e modalità di trattamento, limi- tando il consenso alla sua sola prima dimensione quale manifestazione di assenso310_.

Alla base di tale intento adesivo vi deve essere sempre una volontà libera, specifica e in- formata dell’interessato. Questa triade aggettivale assume un valore ancor più significativo se rapportata al contesto del processo decisionale automatizzato in mano a multinazionali e a grandi player tecnologici nei confronti dei quali l’interessato si trova in una posizione debole e di forte asimmetria. Simili titolari del trattamento, ad esempio, potrebbero richiedere il consenso in occasione dell’adesione ad un contratto standard incorporando la richiesta nel- le condizioni generali di contratto311_{, oppure potrebbero sfruttare la diffusione e}

l’indispensabilità (anche solo percepita dall’utente) del servizio fornito per far accettare all’interessato, senza alcuna alternativa, una modifica delle modalità e finalità del trattamen- to che includa processi decisionali automatizzati312_{. Anche al fine di prevenire (e se del caso}

sanzionare) condotte di tal sorta il consenso dovrà essere:

• libero: la libertà è intesa nel doppio senso di consapevolezza di quanto oggetto del con- senso e di mancanza di condizionamenti313 _{che possono estrinsecarsi anche come situazioni di}

308 _{Di tale parere, ex multis: D.MESSINETTI, Circolazione dei dati personali e dispositivi di regolazione dei poteri indivi-}

duali, in Riv. Critica dir. Priv., 1998, 350 ss.; G.MIRABELLI,Le posizioni soggettive nell’elaborazione elettronica dei dati,

in Dir. Inf., 1993, 313 ss.; S.PATTI, Il consenso dell’interessato al trattamento dei dati personali, in Riv. dir. civ., 199, II, 455 ss. Del parere opposto, nel senso di affermare la natura negoziale del consenso e la sua funzione disposi- tiva: G.OPPO,Sul consenso dell’interessato, in V.CUFFARO,V.RICCIUTO,V.ZENO ZENCOVICH (a cura di), Trat-

tamento dei dati e tutela della persona, Milano, 1998, 123 ss.; V.ZENO ZENCOVICH,Una lettura comparatistica della l. 675/96 sul trattamento dei dati personali, inCUFFARO,RICCIUTO,ZENO ZENCOVICH (a cura di), Trattamento dei

dati e tutela della persona, cit., 169; F.BILOTTA, Consenso e condizioni generali di contratto, in V. CUFFARO,V.RICCIU- TO (a cura di), Il trattamento dei dati personali, t. II, Torino, 1999, 87 ss.

309 _{D.MESSINETTI, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, in Riv. Critica dir. Priv.,}

1998, 350 ss. Dello stesso avviso: F.CAFAGGI,Qualche appunto su circolazione, appartenenza e riappropriazione della disciplina dei dati personali, in Danno e resp., 1998, 619 ss.; S.MAZZAMUTO, Il principio del consenso e il problema della

revoca, in R. PANETTA (a cura di), Libera Circolazione, t. I, Milano, 2006.

310 _{BRAVO, Il consenso e le altre condizioni di liceità del trattamento di dati personali, cit.}

311 _{C. ALVISI,Dati personali e diritti dei consumatori, in CUFFARO,D’ORAZIO,RICCIUTO (a cura di), I dati personali}

nel diritto europeo, cit., 719. Esplicito riferimento a questa ipotesi è fatto dal Working Party: “le informazioni perti- nenti per prendere una decisione informata sul consenso non possono essere nascoste all’interno delle condizioni generali di contrat- to/servizio”, cfr. Art. 29 WP, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, adottate il 28

novembre 2017 come modificate e adottate da ultimo il 10 aprile 2018 WP 259, rev.01, 15.

312 _{Gli esempi traggono spunto anche dalla recente condotta della società Whatsapp Inc. che ha indotto la pro-}

pria clientela ad accettare, senza alcuna alternativa, le modifiche apportare ai termini di utilizzo di Whatsapp

Messenger che prevedevano, tra le altre cose, la necessaria condivisione con Facebook delle informazioni perso-

nali dell’account Whatsapp.

64

pressione psicologica314. Il primo fattore fa emergere il ruolo che l’informazione ha nella formazione di un consenso libero315 _{ponendosi quale suo antecedente necessario. Il secon-}

do sembra rispondere ai timori appena esposti in caso di decisioni automatizzate poste in essere da titolari in posizione dominante rispetto agli interessati, soprattutto se letto con- giuntamente al considerando 43 del Regolamento che formalizza il rilievo del criterio dell’“evidente squilibrio tra l’interessato e il titolare del trattamento” al fine di determinare la sussi- stenza del condizionamento. Ulteriore criterio è introdotto dall’articolo 7.4: “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto”316_;

• specifico: “qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”317_{, ossia, per essere specifico, il consenso deve riguardare un trattamento ben definito} e individuato e l’interessato deve poterlo esprimere avendo piena consapevolezza specifica delle finalità e delle modalità relative318_{. Come per l’informazione, anche la specificità va}

considerata come una particolare applicazione del requisito della libertà, se infatti si impone al soggetto di accettare una serie di finalità distinte in blocco lo si priva della possibilità di scegliere quale consentire. Di conseguenza, il titolare dovrà richiedere il consenso in modo granulare per ogni finalità ogniqualvolta voglia procedere con i medesimi dati ad operazioni di trattamento per scopi diversi319_;

• informato: il consenso può definirsi informato laddove sia preceduto dall’informativa che si pone in rapporto logico ancor prima che cronologico, in quanto l’interessato non può esprimere un consenso valido senza aver prima ricevuto le informazioni essenziali sul trattamento320_{. Quanto al contenuto dell’informazione, tuttavia, non vi è esatta coincidenza}

con quello dell’informativa. Affinché il consenso sia informato non è necessario che questo sia preceduto dalla comunicazione di tutti gli elementi elencati agli articoli 13 e 14 del

314 _{Il Working Party porta l’esempio dell’installazione di dispositivi di sicurezza per la scansione del corpo in}

aeroporto: anche laddove l’utilizzo sia previsto solo previo consenso del passeggero, quest’ultimo potrebbe essere condizionato a prestarlo nel timore che l’eventuale rifiuto possa creare sospetti o indurre controlli sup- plementari. Cfr. Art. 29 WP, Parere 15/2011 sulla definizione di consenso, adottato il 13 luglio 2011, WP187.

315 _{CAGGIA,Libertà ed espressione del consenso, cit., 261 ss.} 316 _{Art. 7.4, GDPR. Per un approfondimento, si v. ibidem, 264.} 317 _{Considerando 32, GDPR.}

318 _{PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali, dalla Direttiva 95/46 al nuovo Regolamento euro-}

peo, cit., 219.

319 _{ALVISI,Dati personali e diritti dei consumatori, cit., 688.} 320 _{PELINO, I diritti dell’interessato, cit., 185-186.}

GDPR321. Il nucleo informativo minimo è infatti costituito da: (i) l’identità del titolare del trattamento; (ii) la finalità di ciascuno dei trattamenti per i quali è richiesto il consenso; (iii) quali tipi di dati saranno raccolti e utilizzati; (iv) l’esistenza del diritto di revocare il consen- so322_{; (v) informazioni sull’uso dei dati per un processo decisionale automatizzato ai sensi}

dell’articolo 22, paragrafo 2, lettera c), se del caso; e (vi) informazioni sui possibili rischi di trasferimenti di dati dovuti alla mancanza di una decisione di adeguatezza e di garanzie ade- guate come descritto nell’articolo 46323_{. Da notare è il fatto che nell’elenco sia stato ricom-}

preso il caso delle decisioni automatizzate in quanto trattamento che espone i diritti e le li- bertà fondamentali dell’interessato a gravi rischi. Inoltre, il Working Party, nel parere n.15/2011324, ha ritenuto che a garanzia di un’informazione adeguata debbano sussistere cumulativamente la qualità, l’accessibilità e la visibilità325 _{dell’informazione. Con le Linee}

guida sul consenso ai sensi del Regolamento326 _{il Working Party è tornato sull’argomento:}

“[…] il messaggio dovrebbe essere facilmente comprensibile per una persona media, non solo per un avvoca- to. Il titolare del trattamento non può usare lunghe politiche sulla tutela della vita privata difficili da com- prendere oppure informative piene di gergo giuridico.”. Infine, in caso di consenso richiesto attraver- so mezzi elettronici “la richiesta deve essere chiara, concisa e non interferire immotivatamente con il ser- vizio per il quale il consenso è espresso”327

.

Questo elenco esaurisce i requisiti essenziali del consenso affinché possa essere rite- nuto valido. Tuttavia, in alcuni casi ritenuti particolarmente meritevoli di tutela, il Regola- mento dispone un’ulteriore condizione: il consenso deve essere esplicito. In caso di tratta- mento di dati particolari328_{, di trasferimento di dati personali verso un Paese terzo od orga-}

nizzazione internazionale “non adeguati”329_{, o di decisione unicamente basata sul tratta-}

321 _{“[…] nella consapevolezza che possa sussistere un consenso “informato” valido anche quando non tutti gli aspetti di cui agli}

articoli 13 e/o 14 sono menzionati nel processo di ottenimento del consenso (questi punti dovrebbero ovviamente essere menziona- ti altrove, come ad esempio nell’informativa sulla protezione dei dati personali dell’azienda)”. Art. 29 WP, Linee guida sul

consenso ai sensi del regolamento (UE) 2016/679, cit., 16.

322 _{L’articolo 7.3 del GDPR sancisce il diritto dell’interessato di revocare il consenso in qualsiasi momento}

senza che sia pregiudicata la liceità del trattamento basato sul consenso revocato. La revoca deve avvenire con la stessa facilità con cui è stato fornito il consenso. Per una sintesi della disciplina: PELINO, I diritti

dell’interessato, cit., 235 ss.; (sulla questione del congruo preavviso e dei motivi) CAGGIA,Libertà ed espressione del consenso, cit., 270; BRAVO, Il consenso e le altre condizioni di liceità del trattamento di dati personali, cit. 161 ss.

323 _{Art. 29 WP, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, cit., 14-15.} 324 _{Cfr. Art. 29 WP, Parere 15/2011 sulla definizione di consenso, cit., 16.}

325 _{“Le informazioni devono essere fornite direttamente agli individui interessati. Non è sufficiente che le informazioni siano di-}

sponibili da qualche parte”, cfr. Art. 29 WP, Parere 15/2011 sulla definizione di consenso, cit., 16.

326 _{Art. 29 WP, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, cit., 14.} 327 _{Considerando 32, GDPR.}

328 _{Art.9.2.a), GDPR.} 329 _{Art.49.1.a), GDPR.}

66

mento automatizzato330, il generale principio della libertà di forma331 incontra un parziale limite. Partendo dal presupposto che sia da rigettare l’ipotesi di una coincidenza tra il con- senso espresso e quello esplicito332_{, quest’ultimo esclude la validità del comportamento}

concludente poiché il consenso sarebbe desunto implicitamente dalla condotta. Il Working Party333 _{fa riferimento ad una dichiarazione esplicita di consenso e fa l’esempio di un do-}

cumento scritto o, nel contesto digitale, di un modulo elettronico o di una mail334_.

Per completezza si ricorda che concorre alla disciplina del consenso anche l’articolo 8 del GDPR, che introduce la possibilità per il minore sedicenne e ultra-sedicenne (o di età inferiore, secondo le legislazioni nazionali)335 di prestare il consenso al trattamento dei dati, ove richiesto nell’ambito dei servizi della società dell’informazione. L’articolo 22 del GDPR non fa cenno alla condizione del minore, il che lascerebbe pensare all’applicazione della di- sciplina a minori e soggetti adulti secondo le previsioni generali in materia di consenso per ciascuna categoria (laddove questa sia la base giuridica legittimante); tuttavia, il consideran- do 71 potrebbe suggerire un’interpretazione diversa in quanto prevede (seppur in via non vincolante) che la decisione automatizzata non dovrebbe riguardare il minore336.