Sommario: 1. Il consenso al trattamento dei dati personali tra evoluzione normativa e giurisprudenziale – 2. I principi sottesi al consenso per il trattamento dei dati particolari.
- Il consenso al trattamento dei dati personali tra evoluzione normativa e giurisprudenziale
La nozione di consenso al trattamento dei dati personali è mutata seguendo un immaginario fil rouge, parallelamente alla diversa tecnica normativa adottata[1] nel corso del tempo[2], per regolare l’ambito del data protection ed alle sempre più veloci evoluzioni tecnologiche che caratterizzano il mondo moderno[3]. E’ interessante osservare come la nozione del consenso si è evoluta nel corso del tempo, a partire dal d.lgs. 196/2003, nella versione vigente prima della novella operata dal d.lgs. 101/2018, passando per il Reg. Ue 679/2016 e per gli interventi giurisprudenziali e dell’Autorità Garante per la protezione dei dati personali ritenuti più rilevanti.
I principi informatori per l’acquisizione del consenso al trattamento dei dati personali sono rimasti immutati[4], nonostante l’abrogazione degli articoli 13, 23 e ss. del d.lgs. 196/2003: il consenso, quale presupposto di liceità del trattamento, deve essere libero, specifico, informato ed inequivocabile.
Ciascuno di questi requisiti assume un preciso significato e trova un preciso riscontro. Il principio della libertà del consenso può essere declinato in una pluralità di modi differenti[5]. La libertà del consenso[6] è un elemento sempre più valorizzato anche dalla giurisprudenza: un consenso libero è un consenso non condizionato. I condizionamenti che potrebbero rendere non libero il consenso sono legati alla stretta relazione tra l’autorizzazione al trattamento e la fruizione di un servizio: in altri termini costituisce una forma di pressione non consentita chiedere il consenso al trattamento dei dati personali come condizione per ricevere un servizio. Tale principio è spesso richiamato per verificare la legittimità (e più spesso per accertare l’illegittimità) di un trattamento dei dati; per quanto le fattispecie in cui viene applicato tale principio siano tra loro molto diverse, si rileva come un ampio filone riguarda spesso trattamenti con finalità di marketing, indipendentemente dal settore economico di riferimento. Più nel dettaglio, con specifico riferimento al consenso per il marketing, nella più recente giurisprudenza[7] emerge un criterio per distinguere un consenso libero da uno condizionato: la fungibilità del servizio e la reperibilità dello stesso. In altra parte della giurisprudenza[8], il requisito della libertà del consenso è considerato con grande rigore e serietà, tanto che il comportamento del titolare del trattamento è stato reputato in contrasto con svariate disposizioni costituzionali, come gli articoli 2, 41 e 47[9]. Il richiamo all’articolo 2 Cost. sembra ricordare il rango assegnato alla tutela dei dati personali ed in particolare il diritto inviolabile alla riservatezza ed alla protezione della vita privata nonché il valore del consenso, nella misura in cui consente di disporre di un diritto di tale levatura e di esprimere la propria personalità[10]. Il riferimento agli articoli 41 e 47, riguardanti rispettivamente la libertà economica e l’esercizio del credito, ricorda che nonostante il rango costituzionale è necessario effettuare un bilanciamento[11] con le preminenti garanzie di cui all’articolo 2 Cost. In altri termini, l’accoglimento del motivo di ricorso contenente i predetti riferimenti costituzionali sembra funzionale a sancire la natura imperativa delle disposizioni e protezione dei dati personali. E’ interessante notare come la sentenza in commento individua la violazione del principio di libertà del consenso nel fatto che l’autorizzazione al trattamento dei dati particolari è obbligatoria pur in assenza di un obbligo di legge. In modo riassuntivo ed efficace viene quindi declinato un corollario del principio di libertà che, peraltro, gode di rinnovata attenzione anche grazie all’articolo 7 §4 del Reg. Ue 679/2016, che nel valutare se il consenso sia stato liberamente prestato prescrive di tenere “nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto” . La fattispecie in analisi richiama alla mente anche il considerando n. 15 dello stesso Reg. Ue 679/2016 che accorda protezione al trattamento sia automatizzato che manuale di dati personali, se contenuti o destinati a essere contenuti in un archivio. In altri termini vi è un esplicito monito al titolare del trattamento (come un istituto bancario) rispetto ai trattamenti di dati in massa. Infatti, per quanto non si tratti della sede per approfondire questo tema, non v’è dubbio che il trattamento dei dati in massa, peraltro sempre più diffuso, richiede un’attenzione rafforzata[12].
Il secondo requisito, quello della specificità del consenso, è strettamente legato alla libertà, tanto da potersi considerare la specificità del consenso come parte della libertà[13]. Infatti solo se la volontà dell’interessato viene espressa in maniera specifica[14] può dirsi veramente libera. A tal proposito sono particolarmente esemplificative alcune fattispecie in materia di consenso con finalità di marketing: infatti, come facilmente rinvenibile anche nelle linee guida del Garante[15], è necessario un consenso specifico per la diverse attività che possono rientrare nella finalità di marketing che può spaziare, ad esempio, dal mero invio di comunicazioni promozionali dirette, da parte di soggetti terzi rispetto al titolare del trattamento fornitori oppure può dar luogo ad una vera e propria profilazione del cliente – eventualmente anche con l’utilizzo di dati provenienti da diverse fonti e magari con l’ausilio di strumenti meccanizzati, per proporre beni o servizi che potrebbero essere di gradimento dell’interessato. In tal modo si comprende come un consenso specifico influisce sulla libertà dello stesso: libertà e consapevolezza di amministrare i propri dati personali. Mutatis mutandis, lo stesso si può dire per la finalità contrattuale. In linea generale ed in base a considerazioni empiriche si può osservare che il trattamento di alcuni dati personali è spesso necessario per la realizzazione della c.d. finalità contrattuale ma quasi mai lo è il trattamento di dati particolari. Naturalmente ogni titolare del trattamento deve conoscere quali dati[16] intende trattare e per quali finalità. Peraltro non è sufficiente affermare che dati personali e particolari sono oggetto di trattamento per finalità contrattuale. Infatti, se nell’ambito di un rapporto bancario si può comprendere che i dati personali, indipendentemente dalla base giuridica prescelta, siano necessari per il raggiungimento di finalità contrattuali meno comprensibile[17] è la necessità di trattare dati particolari. Né tale finalità contrattuale può ritenersi spiegata attraverso un riferimento ad una “policy” aziendale volta ad una migliore gestione dei rapporti con la clientela[18]. L’importanza del principio di specificità del consenso – ossia del consenso prestato per specifiche finalità – appare essere sempre crescente anche in considerazione della moltiplicazione di servizi gratuiti erogati con “solo” il consenso al trattamento dei dati personali. Si tratta di un modello di business sempre più diffuso nella data society che necessita sempre di più attenzione sia da parte dell’utente che da parte dell’Autorità[19].
Il terzo requisito, quello del consenso informato, trova forma nel principale obbligo rivolto nei confronti dell’interessato: l’informativa per il trattamento dei dati personali. L’articolo 13 del codice privacy è stato ormai abrogato, la guida sicura in materia di informativa è data dagli articoli 13 e 14 del GDPR. La ratio sottostante all’obbligo di informativa (e conseguentemente del consenso informato) si rinviene nel principio di trasparenza in riferimento all’informazione ed all’accesso ai dati. Sono corollari del principio di trasparenza la facile accessibilità delle informazioni, la comprensibilità, la semplicità e la chiarezza del linguaggio[20]. L’obiettivo è duplice: da un lato rendere consapevole l’interessato dei rischi e delle garanzie nel trattamento dei dati; dall’altro informare efficacemente l’interessato sulle finalità del trattamento per poter valutare la coerenza con le modalità di trattamento adottate.
Il quarto requisito, quello dell’inequivocabilità del consenso, non era espressamente previsto dal codice della privacy – per quanto facilmente ricavabile in via interpretativa- ma è stato formalizzato dal GDPR fin dalle definizioni (articolo 4 §1.11[21] GDPR). Inequivocabilità significa certezza del consenso, sia riguardo al fatto che sia stato effettivamente prestato, sia riguardo al contenuto dello stesso. L’inequivocabilità dipende dalla combinazione di vari elementi di contesto e di formulazione, declinata quest’ultima sia nel senso di distinguibilità e limpidezza della richiesta di consenso sia nel senso di equilibrio tra le opzioni di scelta[22]. Ne consegue che non può essere considerato inequivocabile un consenso acquisito a seguito di un’azione posta in essere automaticamente dall’utente o per ragioni diverse da quelle per cui il titolare del trattamento lo acquisisce. Per tale ragione la richiesta di consenso deve essere chiaramente indicata e l’azione di accettazione o rifiuto devono essere poste sullo stesso livello. Allo stesso modo l’azione positiva inequivocabile richiesta per esprimere il consenso è incompatibile con l’inattività che si concreta nel continuare ad usufruire di un servizio o nel proseguire la navigazione su un sito web[23].
- I principi sottesi al consenso per il trattamento dei dati particolari
Ai quattro principi sopra richiamati in materia di consenso se ne aggiunge un quinto, specificamente riguardante i dati particolari. Si tratta del consenso esplicito, così come richiesto dall’articolo 9 §2 lettera a) del GDPR[24]. Il codice privacy richiedeva il consenso scritto per il trattamento dei dati sensibili[25] in luogo dell’odierno consenso esplicito che ben può essere rappresentato anche da un consenso verbale. Attualmente il consenso esplicito si affianca al consenso espresso[26] e si contrappone al consenso implicito, ossia quello reso attraverso fatti concludenti. In sintesi, pur restando immutate le ragioni della speciale attenzione per i dati sensibili[27], il quomodo per l’espressione del consenso è attualmente meno stingente poiché non deve avere necessariamente forma scritta.
Invero è mutata anche la prospettiva del trattamento: i dati sensibili potevano essere trattati con il consenso dell’interessato mentre l’articolo 9 GDPR vieta il trattamento dei dati personali salvo nei casi espressamente indicati nei §§2 e 4. La prima ipotesi in cui è “eccezionalmente” ammesso il trattamento dei dati particolari è costituita proprio dal consenso esplicito dell’interessato per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al §1. Nulla aggiunge il GDPR relativamente alla deroga costituita dal consenso, neppure in rapporto alle altre ipotesi previste nello stesso articolo[28].
Oltre al consenso scritto dell’interessato, l’articolo 26 richiedeva un’autorizzazione preventiva al trattamento rilasciata dal Garante per la protezione dei dati personali. Dopo le prime incertezze sulla sopravvivenza delle autorizzazioni generali del Garante a seguito dell’entrata in vigore del GDPR, prima il d.lgs. 101/2018 e poi il provvedimento del Garante per la protezione dei dati personali hanno chiarito quali di questi provvedimenti hanno superato l’esame di compatibilità con la nuova normativa[29].
[1] Cfr. Iuliani, Note minime in tema di trattamento dei dati personali, in Europa e Diritto Privato, 1, 2018, 293: “Proprio l’utilizzo di un regolamento, in luogo della direttiva, è significativo del mutamento di approccio da parte del legislatore europeo il quale ha avvertito la necessità di sostituire l’obiettivo originario dell’armonizzazione con quello assai più pervasivo e ambizioso dell’uniformazione (49) sebbene non manchino incisivi rinvii ai legislatori nazionali, i quali, stando al considerando n. 10 « dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione del presente regolamento », anche al fine di determinare « con maggiore precisione le condizioni alle quali il trattamento dei dati personali è lecito » (50)”.
[2] Si pensi che in seguito all’abrogazione degli articoli 23 e ss. del c.d. codice della privacy, il principale punto di riferimento è dato dal Reg.UE 679/2016 (c.d. GDPR) che fornisce una definizione del consenso all’articolo 4 e ne tratteggia i caratteri fondamentali ai §§ 6 e 7.
[3] Ne sono testimonianza le modalità con le quali viene raccolto il consenso e le nuove esigenze di tutela degli interessati che si manifestano.
[4] Anche se è opportuno fin da subito sottolineare come con l’abrogazione dell’articolo 23 non è più richiesto che sia espresso per iscritto poiché il Regolamento UE richiede solo che la manifestazione di volontà alla base del consenso sia inequivocabile (art. all’art. 4, § 1, n. 11 GDPR, ove per consenso dell’interessato si intende qualsiasi manifestazione della volontà, che sia libera, specifica, informata e inequivocabile, con cui, mediante una dichiarazione o un’azione positiva inequivocabile, viene espresso il proprio assenso al trattamento dei propri dati personali).
[5] Infatti vi sono delle significative intersezioni anche con le teorie civilistiche riguardanti la disponibilità dei diritti della personalità, la volontà negoziale ed i vizi del consenso in ambito contrattuale in parte mutuate (o comunque mutuabili) anche rispetto al consenso per il trattamento dei dati personali. Per un ricco contributo su questi aspetti, confronta Thobani, La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità, in Europa e Diritto Privato, 2, 2016, 513.
[6] Cfr. considerando n. 43 GDPR che appare essere il punto di partenza per l’interpretazione giurisprudenziale: “Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.”.
[7] Cfr. Thobani, nota a Cass. Civ. n. 17278/2018 in Giur.It.,2019,3,530; annotano la stessa sentenza anche Zanovello, Consenso libero e specifico alle e-mail promozionali, in Nuova giur. civ. comm., 2018, XXII,1778; Ruggeri, Sulla nozione di consenso nella nuova disciplina privacy: alcune prime considerazioni in <GiustiziaCivile.com>, 21 marzo 2019.
[8] V. Cass. 26778/2019
[9] Rispetto alla Cassazione di cui alla nota precedente, si tratta del primo motivo di ricorso, accolto dalla Corte di Cassazione; per quanto la Corte non approfondisca il rapporto tra libertà del consenso e contrasto con singoli articoli della Costituzione, accoglie i motivi di ricorso del ricorrente e sottolinea la valenza di norma primaria con natura imperativa della disciplina a tutela dei dati personali.
[10] Il concetto è ben espresso da Rodotà, Discorso del Presidente. Relazione per l’anno 1997, in GPDP, 30/04/1998, doc. n. 3528995: “Quella che si può continuare a chiamare tutela della privacy, allora, si presenta come condizione per il libero stabilirsi di relazioni sociali. E questo è ancora più vero quando le opinioni inducono all’adesione ad una qualsiasi forma associativa, perché questa scelta costituisce una “relazione” sociale formalizzata e, nella gran parte dei casi, la premessa di ulteriore “azione” sociale, perseguita appunto attraverso una struttura collettiva. Nella ricostruzione sistematica della tutela dei dati personali, in conclusione, devono essere tenuti presenti il momento della libera costruzione della personalità e quello dello stabilirsi del legame sociale, in una dimensione che vede congiunto il profilo della dignità (da intendere anche come dignità “sociale”, secondo l’esplicita indicazione dell´art.3 della Costituzione) e quello dell’eguaglianza.
[11] Cfr. Rodotà, cit.:”Naturalmente, il fatto che non ci si limiti a mettere l´accento sulla riservatezza, ma si dilati l´orizzonte con il riferimento all´intero quadro dei diritti e delle libertà fondamentali, pone problemi di bilanciamento tra i diversi valori sui quali diritti e libertà si fondano, e che possono trovarsi in contrasto con un diritto all´autodeterminazione informativa che pretendesse l´assolutezza. Il Garante ha già sperimentato questa difficoltà in relazione alla libertà della ricerca (art.33 Cost.) e a quella di iniziativa economica privata (art.41 Cost.)”.
[12] E tale soglia di attenzione si alza ulteriormente quando il consenso ha ad oggetto un servizio infungibile, riguardante la sfera personale, con il consenso raccolto con modalità non tradizionali.
[13] I due requisiti sembrando intrinsecamente legati fin dal dettato dell’articolo 23 c.3 d.lgs. 196/2003. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”.
[14] Da intendersi sia rispetto ai dati oggetto di trattamento sia rispetto alle finalità di trattamento, come sarà ulteriormente evidente rispetto alla necessità che il consenso sia informato.
[15] Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348] e Linee guida in materia di trattamento di dati personali per profilazione on line – 19 marzo 2015 [3881513].
[16] Si noti come il titolare deve stabilire quali dati acquisire e per quali finalità pur potendo informare l’interessato soltanto della categoria di dati che saranno trattati; tuttavia la finalità del trattamento deve essere chiaramente comunicata in relazione a ciascuna categoria di dati. Naturalmente, l’interessato può richiedere in qualsiasi momento quali siano i dati personali oggetto di trattamento da parte del titolare.
[17] Anche dal punto di vista dell’interessato – beneficiario delle tutele.
[18] Ciò determinando, come si avrà modo di chiarire in seguito, la violazione di altri principi, in primis il principio di minimizzazione.
[19] Da cui ci sia aspetta strumenti di tipo informativo, preventivo, regolatorio ed ove occorra dissuasivo e sanzionatorio.
[20] Si tratta di caratteristiche non nuove all’ordinamento poiché già sperimentate nell’ambito della disciplina consumeristica caratterizzata, similmente a quella per la protezione dei dati personali, da un’asimmetria informativa e da una posizione di debolezza del destinatario della tutela.
[21] Richiama l’inequivocabilità ben due volte: “11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;”. Lo stesso avviene nel considerando n.32, sostanzialmente dallo stesso tenore.
[22] Cfr. letteralmente Pelino., Diritti di controllo in Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 218 ss..
[23] Cfr. Giovannangeli, L’informativa agli interessati e il consenso al trattamento in Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE n. 679/2016 e al d.lgs. n. 101/2018, Milano, 2019, 135ss..
[24] Ed invero previsto anche in due ulteriori ipotesi: l’articolo 22 §2 riguardante la decisione unicamente basata sul trattamento automatizzato e l’articolo 49§1 lett.a) riguardante il trasferimento dei dati personali verso Paesi terzi o organizzazioni internazionali non adeguati.
[25] Si noti come la prima differenza è proprio nella mutata dizione: dai dati sensibili del codice della privacy ai dati particolari del GDPR. Oltre al nome è lievemente mutata l’estensione oggettiva della categoria; ad esempio tra i dati particolari rientrano i anche i dati riguardanti l’orientamento sessuale che si aggiungono ai dati riguardanti la vita sessuale.
[26] Utilizzando la terminologia del considerando n.32 del GDPR nella parte in cui recita “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.
[27] Come si desume dall’incipit del considerando n. 51 del GDPR: “Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”.
[28] Ad esempio se è possibile acquisire il consenso al trattamento dei dati particolari in una delle ipotesi previste dalle altre lettere di cui al §2; neppure i considerando 51 e 52 si occupano in alcun modo del trattamento dei dati particolari fondato sul consenso dell’interessato.
[29] Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali nn.1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice – 13 dicembre 2018 [9068972].