Il consenso nel Regolamento Europeo

Il Regolamento Europeo 2016/679 ha portato diverse novità in materia di consenso per la privacy, essendo questo uno dei più importanti presupposti perché il trattamento dei dati possa essere considerato legittimo.

Il Regolamento però afferma, al considerando 171, che “qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento” dunque, chi è ad oggi di fatto allineato con le previsioni del Regolamento, non deve raccogliere di nuovo tutti i consensi.

Quando il consenso deve essere raccolto di nuovo

Esistono degli “indicatori di rischio”, cioè dei casi in cui il consenso va nuovamente chiesto perché non rispetta lo standard europeo, eccoli di seguito:

• Il modello utilizzato per la raccolta non rispetta il requisito di inequivocabilità e quindi potrebbero esserci delle incertezze sul fatto che l’interessato abbia acconsentito al trattamento dei suoi dati;
• Il titolare del trattamento ha considerato come consenso il silenzio o l’inattività dell’interessato, oppure abbia adottato la preselezione delle caselle, oppure ancora il consenso sia richiesto solamente per una delle diverse finalità del trattamento dei dati;
• La formula del consenso non è chiaramente distinguibile, non essendo contenuta in una clausola specifica separata dalle altre clausole del contratto o da altri contenuti;
• La formula del consenso non è evidente e infatti mancano degli elementi, di contenuto o di forma, che permettano di capire immediatamente che in quel punto si stia parlando del diritto di acconsentire o meno;
• La formula del consenso non utilizza un linguaggio semplice e chiaro e quindi non è comprensibile da parte di qualunque interessato;
• Non è espresso che il consenso possa essere revocato in modo incondizionato né sono indicate le modalità in cui tale revoca possa avvenire (che devono essere semplici come la stessa manifestazione del consenso);
• Non sono indicate l’identità del titolare del trattamento dei dati e le finalità del trattamento.

Cosa devono fare le imprese?

Le imprese devono verificare se i consensi raccolti rispettino la disciplina che diventerà operativa il 25 maggio 2018:

• se la risposta è affermativa, non dovranno adottare misure particolari e potranno proseguire i loro trattamenti;
• se invece la risposta è negativa, dovranno programmare gli interventi necessari per rendersi conformi con la normativa regolamentare europea.

La questione è sicuramente rilevante sia dal punto di vista organizzativo delle attività di impresa, sia in considerazione delle sanzioni previste dal Regolamento per l’ipotesi della violazione delle disposizioni sull’obbligo del consenso. L’articolo 83, paragrafo 4, infatti, prevede una sanzione che arriva fino a 20 milioni di euro o fino al 4% del fatturato annuo mondiale per il caso di violazione dei principi alla base del trattamento dei dati.

Le imprese potrebbero decidere di avvalersi di altre condizioni di liceità del trattamento (ai sensi degli articoli 6 e 9 del Regolamento UE), ma non si ritiene che tali prassi mettano al riparto dalle sanzioni amministrative e dai contenziosi con gli interessati.