Il consenso è uno degli elementi più importanti del Regolamento generale sulla protezione dei dati (GDPR). Questo perché la protezione dei dati vieta in generale il trattamento dei dati personali. A meno che il trattamento non sia autorizzato da una disposizione di legge. Le eccezioni più importanti si trovano nell'art. 6, par. 1 del GDPR, e non a caso il consenso viene menzionato per primo.
Consenso ai sensi dell'art. 4 n. 11 e dell'art. 7 GDPR
Ai sensi dell'art. 6 par. 1 lett. a, il trattamento è lecito se la persona interessata ha dato il proprio consenso al trattamento dei suoi dati personali per una o più finalità specifiche.
I requisiti per un consenso legittimo sono specificati nell'art. 4 n. 11 e nell'art. 7 del GDPR.
Il consenso deve essere dato volontariamente
Ciò significa che l'interessato deve avere una scelta autentica e libera. Deve poter rifiutare o ritirare il proprio consenso in qualsiasi momento senza alcuno svantaggio - si veda anche il considerando 42 del GDPR.
Di norma, ciò non avviene se l'adempimento di un contratto è subordinato al consenso al trattamento dei dati che non è necessario per l'adempimento del contratto (art. 7, par. 4, in combinato disposto con il considerando 43 del GDPR, divieto di vincolo).
Inoltre, il consenso non è una base giuridica efficace se esiste un chiaro squilibrio tra l'interessato e il responsabile del trattamento ed è quindi improbabile che il consenso sia stato dato volontariamente. Uno squilibrio può esistere, ad esempio, nei confronti delle autorità o nel rapporto di lavoro nei confronti del datore di lavoro.
È necessaria una dichiarazione d'intenti attiva
È necessaria un'espressione inequivocabile del consenso dell'interessato al trattamento. Non è richiesta la forma scritta. L'azione di conferma può essere effettuata anche elettronicamente, ad esempio "cliccando" una casella su Internet, o verbalmente. Tuttavia, è necessario un comportamento attivo.
Le caselle precompilate o il semplice uso continuato di un servizio sono altrettanto insufficienti quanto lo scorrimento su un sito web o lo swipe su uno smartphone o un tablet. Secondo il Comitato europeo per la protezione dei dati, ciò non vale nemmeno per il semplice uso continuato di un servizio.
Il consenso deve essere dato in modo informato
Il considerando 42 del GDPR stabilisce in particolare che una dichiarazione di consenso preformulata dal responsabile del trattamento deve essere fornita in forma comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice e non deve contenere clausole ambigue. L'interessato deve inoltre essere almeno informato su chi è il responsabile del trattamento e sulle finalità del trattamento dei suoi dati personali.
Inoltre, secondo il Comitato europeo per la protezione dei dati, la persona interessata deve essere informata sul tipo di dati trattati, sul suo diritto di revocare il consenso in qualsiasi momento, sull'uso dei dati per il processo decisionale automatizzato, se applicabile, e sui possibili rischi del trasferimento dei dati a paesi terzi senza una decisione di adeguatezza e senza garanzie adeguate ai sensi dell'art. 46 del GDPR.
Suggerimento di lettura: Diritto di accesso nel GDPR: l'attuale giurisprudenza della Corte di giustizia europea e le linee guida dell'EDPB
Obbligo della persona responsabile di fornire prove
Ai sensi dell'art. 7 par. 1 GDPR, il responsabile del trattamento è espressamente tenuto a dimostrare che il consenso è stato concesso. Tale obbligo è collegato all'obbligo di rendicontazione di cui all'art. 5 par. 2 GDPR. Ciò si applica non solo nel senso di una regola di onere della prova in caso di contestazione dell'esistenza del consenso, ma in generale.
Deve quindi essere possibile fornire la prova del consenso concesso anche in caso di ispezioni da parte delle autorità di controllo. Se il consenso è dato per via elettronica, il responsabile del trattamento deve garantire che il consenso sia registrato. Non è sufficiente, ad esempio, fare riferimento alla corretta progettazione del sito web corrispondente senza fornire la prova del consenso effettivamente prestato nei singoli casi.
Il responsabile del trattamento deve inoltre adottare misure tecniche e organizzative adeguate per garantire l'attuazione dei principi di protezione dei dati, in particolare la responsabilità. A tal fine, deve utilizzare sistemi tecnici che consentano la protezione dei dati attraverso una progettazione tecnologica e impostazioni predefinite favorevoli alla protezione dei dati.
Diritto di revoca del consenso
L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca ha effetto per il futuro. Il trattamento effettuato in passato sulla base del consenso rimane pertanto lecito.
Il responsabile del trattamento deve indicare la revocabilità del consenso prima che questo venga prestato. La revoca deve essere semplice come il rilascio del consenso. I consensi concessi prima dell'entrata in vigore del GDPR continuano ad essere validi ai sensi dell'art. 171 GDPR, purché soddisfino i requisiti del GDPR.
Conseguenze di un consenso inefficace
Il consenso che non soddisfa i requisiti sopra descritti non è valido e non può essere utilizzato come base giuridica per il trattamento dei dati.
In questo caso, non è generalmente consentito basare il trattamento dei dati su un'altra base giuridica, come la tutela dei legittimi interessi del titolare del trattamento o di terzi (art. 6 par. 1 lett. f GDPR). Questo perché il responsabile del trattamento deve rispettare i principi di correttezza e trasparenza (art. 5 par. 1 lett. a GDPR). Non è possibile passare arbitrariamente dal consenso ad altre basi giuridiche.
Se il consenso non è valido o se il responsabile del trattamento non può dimostrare l'esistenza del consenso, il trattamento dei dati basato su di esso è illegale.
Le violazioni dei principi di trattamento, compresi i requisiti di consenso, possono essere sanzionate con una multa dall'autorità di controllo competente ai sensi dell'art. 83 par. 5 lett. a GDPR. Inoltre, a seconda delle circostanze del singolo caso, possono essere prese in considerazione anche richieste di risarcimento danni da parte dell'interessato.