Quel...Diavolo di consenso (parte 1)

 Parte 1: libero consenso e contratto

Perché il consenso possa essere validamente espresso ai sensi del GDPR da parte dell'interessato, questi deve porre in essere una manifestazione di volontà libera, che sia però anche specifica, informata ed inequivocabile, in riferimento all'attività di trattamento "presentata" dal titolare per mezzo dell'informativa.
Quali sono gli elementi di un consenso libero?
Certamente, è libero quel consenso in riferimento al quale l'interessato dispone di una scelta effettiva, declinazione di quel potere di controllo sul proprio dato personale che il Regolamento intende porre in essere, bilanciandolo con una garanzia relativa alla libertà di circolazione (e fruizione) del dato raccolto e trattato conformemente alla normativa in materia di protezione dei dati personali.

Il Diavolo, però, giace nei dettagli.

Può però il consenso esssere oggetto di contrattazione?
Fino a che punto può spingersi il titolare per acquisire lecitamente un consenso?
Insomma: come evitare che l'acquisizione del consenso venga vista dall'Autorità di controllo come un patto diabolico?

"A fiddle of gold against your soul, I'm better than you"
( Devil Went Down To Georgia - Charlie Daniels Band )


L'art. 7.4 GDPR, a tale riguardo, fornisce un'indicazione utile:
"Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto."
da leggersi unitamente al Considerando n. 43:

"Per assicurare la libertà di espressione del consenso, è opportuno che il consenso
non costituisca un valido presupposto per il trattamento dei dati personali in un
caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del
trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò
rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le
circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.
"
Deve essere valutato il grado di squilibrio fra interessato e titolare, al fine di escludere la validità del consenso qualora vi sia scorrettezza (unfairness) di quest'ultimo nel predisporre il modello negoziale per forzare la prestazione del consenso il quale non può diventare una controprestazione contrattuale in quanto è altra, e diversa, condizione di liceità del trattamento.

Se i dati sono necessari per l'esecuzione del contratto, ovverosia vi è un nesso tra attività di trattamento e finalità di esecuzione del contratto, la presunzione di cui sopra non si applica in quanto vi è una diversa base giuridica applicabile.

Se però il titolare intende trattare dati personali non necessari per l'esecuzione del contratto nell'ambito di una relazione contrattuale, deve verificare l'effettiva libera prestazione del consenso prestato dall'interessato. L'onere di superare la presunzione di consenso non liberamente espresso grava sul titolare in ragione del generale principio di responsabilizzazione/accountability.

Come si può concludere, dunque, ad oggi, pur consapevoli anche che si dovrà attendere qualche pronuncia giurisprudenziale, e interventi correttivi delle Autorità di controllo?

Con una lettura positiva, possiamo affermare che fintanto che si può fornire (e resiste) una controprova è possibile negoziare il consenso, pur consapevoli di dover fornire la prova diabolica dell'assenza di condizionamento.



Essere GDPReady è...assenza di condizionamenti.

Commenti