Quel...Diavolo di consenso (parte 4)

 Parte 4: consenso informato

Accanto alle tutele della libera prestazione del consenso e della garanzia di revocabilità, la corretta informazione va ad integrare (con la granularità e specificità) il profilo di correttezza e trasparenza delle attività di trattamento basate sul consenso. La consapevolezza circa la portata delle conseguenze del consenso che si va a prestare è infatti un elemento essenziale di validità e consente di ridurre quanto più possibile effetti distorsivi derivanti da asimmetrie informative.

Il titolare viene infatti onerato di informare l'interessato non solo ai fini del rispetto del principio di trasparenza bensì anche per la tenuta della base giuridica su cui fonda un'attività di trattamento: in assenza di informazioni chiare e complete, verrebbe meno la liceità del trattamento svolto.


Tanto premesso, è chiaro che per parlare di consenso informato si deve aver cura di rendere all'interessato quanto meno le informazioni relative al trattamento di dati personali che sarà svolto proprio sulla base del suo consenso. 
Disclaimer necessario: il consenso informato in ambito medico non copre né riguarda un consenso al trattamento dei dati personali valido ai fini del GDPR. Da un lato, in quanto la base idonea per il trattamento di dati relativi alla salute da parte di un professionista della sanità è individuata dall'art. 9.2 lett. h) "il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;". Dall'altro, perché il consenso informato riguarda un trattamento ma non di dati, con il rischio conseguente di rendere le informazioni tutt'altro che chiare, semplici e facilmente accessibili. 
Il considerando n. 42 indica i seguenti elementi essenziali:
  • una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive;
  • ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali;
insomma: occorre dire chiaramente cosa si intende fare sulla base del consenso che si sta richiedendo.


"I want to know, I want to know what you meant!"
( Mr. Crowley - Ozzy Osbourne )




Le informazioni minime da dover fornire, secondo le Linee Guida sul consenso dell'Art. 29 WP (WP259), sono:
  • identità del titolare del trattamento;
  • finalità di ciascuno dei trattamenti per i quali è richiesto il consenso;
  • quali (tipi di) dati saranno raccolti e utilizzati;
  • esistenza del diritto di revocare il consenso;
  • informazioni sull’uso dei dati per un processo decisionale automatizzato ai sensi dell’articolo 22, paragrafo 2, lettera c), se del caso;
  • informazioni sui possibili rischi di trasferimenti di dati dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate come descritto nell’articolo 46.
Rispetto alle informazioni da dover rendere ai sensi dell'art. 13 GDPR in relazione a trattamenti fondati su diverse basi giuridiche, si dovrà pertanto aver cura di indicare alcuni elementi ulteriori, ovverosia: il diritto a revocare il consenso senza pregiudizio per la liceità del trattamento basato sul consenso prestato prima di tale revoca, nonché i tipi di dati raccolti ed utilizzati sulla base del consenso.

Molto importante come chiave di lettura operativa, è inoltre il caveat dell'Art. 29 WP:
Per concludere, il Gruppo di lavoro rileva che, a seconda delle circostanze e del contesto della fattispecie, potrebbero essere necessarie più informazioni per consentire all’interessato di comprendere veramente i trattamenti in corso.
che ricorda, come sempre, di non prescindere dal contesto ai fini della valutazione degli adempimenti da svolgere e delle tutele sostanziali per l'interessato.


Essere GDPReady è...far capire per cosa si richiede il consenso.

Commenti