***
Purtroppo sin dagli albori della normativa privacy in Italia (la L. 675 del 1996) moltissimi operatori hanno adottato una prassi del tutto errata, informata ad un approccio formalistico e superficiale alle norme: quella di chiedere tout-court il consenso per qualsiasi trattamento, a prescindere dalla sua effettiva necessità, nell’illusorio intento di “stare tranquilli”, invece di indagare se per il trattamento che ci si prefigge di fare sussista una base giuridica più idonea.
Ciò ha condotto al proliferare di richieste di consenso inutili e fuori contesto, peraltro accompagnate da informative ingannevoli circa la base di legittimazione del trattamento e le sue finalità oltre che spesso verbose e generiche perché in buona parte costituite dalla pedissequa ripetizione delle norme e prive invece della descrizione delle caratteristiche dei trattamenti concreti di cui dovrebbero dare informazione.
Conseguenze pratiche di questi comportamenti sono:
- dal punto di vista del titolare, la complicazione degli adempimenti (chiedere un consenso che magari non è necessario) e
- dal punto di vista dell’interessato, la creazione di un clima di confusione invece che di semplificazione e chiarezza.
Tutto ciò è evidentemente contrario ai principi di correttezza e trasparenza (art. 5 GDPR), con la conseguenza (giuridica) della responsabilità del titolare per la violazione dei propri obblighi di conformità alle norme (e l’applicabilità delle sanzioni appartenenti allo scaglione più alto: 20.000.000 di euro o il 4% del fatturato annuo globale).
Come infatti precisato anche dal WP29 nelle Linee guida sul consenso (WP 259), il titolare deve sempre valutare innanzitutto quale delle sei basi di legittimità previste dalla norma è la più idonea rispetto al trattamento che intende porre in essere.
è parte integrante dall’accountability del titolare individuare la base giuridica di volta in volta più idonea alle caratteristiche – e in particolare alle finalità – del trattamento che si appresta a realizzare.
In mancanza,
- il fallimento nella selezione della corretta base giuridica
e
- la conseguente inadeguatezza dell’informativa fornita
implicano anch’essi la non conformità del trattamento alle norme e la conseguente responsabilità del titolare, ancora una volta con sanzioni appartenenti allo scaglione più alto.
Un contesto in cui è sempre stato particolarmente diffuso il malcostume dell’uso inappropriato del consenso è quello del trattamento finalizzato all’esecuzione di un contratto (o di misure precontrattuali).
In quest’ambito, che vede riconosciuta la specifica base giuridica codificata all’art. 6, comma 1, lett. b), l’uso improprio del consenso può comportare anche disfunzioni particolarmente gravi sotto il profilo sia pratico sia giuridico.
Bisogna ricordare che la scelta del consenso come base giuridica del trattamento implica che l’interessato possa, fornendolo, esercitare effettivamente una scelta libera: ossia, il rifiuto di concedere il consenso non dovrebbe condizionare l’esecuzione a favore dell’interessato di attività non coinvolte dal trattamento sottoposto a consenso.
È chiaro che invece non ha alcun senso richiedere il consenso per un trattamento di dati che è strumentalmente necessario all’esecuzione del contratto concluso con l’interessato: ossia, un trattamento la cui unica finalità è di servizio al contratto concluso (ad esempio, il trattamento dei dati personali necessari per la consegna di un bene acquistato dall’interessato – anagrafici, indirizzo fisico, e-mail o telefono per comunicazioni relative alla consegna…).
È chiaro che l’eventuale rifiuto di prestare il consenso contrasterebbe paradossalmente con il contratto concluso, valido ed efficace dal punto di vista civilistico, mentre l’inopinata sottoposizione al consenso dei trattamenti di dati personali necessari per eseguirlo creerebbe confusione nel contraente / interessato, piuttosto che tutelarlo.
Mentre è ovvio che nel caso contrario il consenso prestato sarebbe del tutto snaturato, perché – proprio in quanto atto necessario per la regolare esecuzione del contratto concluso – esso risulterebbe dovuto e dunque mancherebbe del tutto la libertà di scelta del contraente / interessato.
La realtà è che il contratto si basa per sua natura sulle manifestazioni di volontà concordi dei contraenti (proposta e accettazione) e ciò – previa adeguata informativa – logicamente coinvolge anche i trattamenti di dati personali necessari per dare pratica attuazione alla volontà già espressa in sede contrattuale. La conclusione del contratto è pertanto essa stessa la base giuridica che legittima tale trattamento di dati personali, e come tale è stata riconosciuta dall’art. 6 GDPR.
Dunque, inserire un secondo livello di manifestazione di volontà di una delle parti può essere:
- inutile: perché se concesso duplica pedissequamente quella generale già manifestata alla conclusione del contratto
- dannoso: perché se negato si pone in contraddizione con la volontà manifestata dal contraente / interessato in riferimento al contratto
e in ogni caso pericoloso, perché induce confusione sia sull’eseguibilità del contratto, sia circa la base di legittimazione del trattamento e le sue finalità, sia sulle conseguenze in caso di successiva pretesa di revoca del consenso da parte del contraente / interessato: richiesta che naturalmente non potrebbe avere seguito perché comporterebbe in concreto l’abnorme conseguenza dell’ineseguibilità del contratto e dunque, in pratica, una del tutto ingiustificata paralisi degli effetti di un contratto di per sé del tutto valido ed efficace.
