Cosa facciamoGDPR

CorsoDPO – Il consenso al trattamento

La lezione di sabato 3 febbraio riguardava il consenso al trattamento ed era tenuta dall’avvocato Giorgio Resta.

Il consenso è uno dei punti cardine del nuovo regolamento e contemporaneamente uno dei più ambigui.

Una lezione molto densa, che ancora una volta parte dalle fonti del diritto in materia di protezione dei dati.
E questo riandare alle fonti permette di capire l’evoluzione del consenso che inizialmente si esprimeva come diritto all’opposizione più che concessione all’uso dei dati.
I dati personali erano infatti per lo più in possesso di soggetti pubblici e quindi l’interessato non aveva molti poteri di veto.

Il consenso poi si trasforma con il trasformarsi dei rapporti di forza.

Allo stato attuale i poteri pubblici non attingono più i dati verticalmente dagli interessati ma da poteri privati.
Si configura quindi una relazione triangolare dato che i principali collettori di dati sono grandi player privati.

Ho trovato un utilissimo spunto di riflessione nella distinzione fra privacy e dato personale: la prima definisce un dato confidenziale (quindi opaco, non pubblico) mentre il dato personale può anche essere pubblico ma deve comunque essere tutelato.

Il consenso nel GDPR

Nel regolamento appare in numerosi punti e in particolare negli articoli 4, 6 e 8.

Il consenso deve essere informato, questo implica che è necessario fornire almeno le informazioni obbligatorie.

La registrazione della volontà a procedere dell’interessato non dev’essere necessariamente scritta: può essere una dichiarazione (atto linguistico) o un comportamento/azione che però deve essere positivo. Non è quindi possibile pre compilare il campo acconsento sui moduli, mentre vale un’azione di firma in accettazione di un contratto.

Sui dati sensibili il consenso oltre che inequivocabile deve essere esplicito: serve quindi una firma, che può anche essere digitale.

Si deve inoltre registare la libera volontà dell’interessato che di solito non si manifesta nel rapporto con la PA (infatti non è richiesto, nel GDPR, l’obbligo di consenso), nel rapporto di lavoro o in ambito sanitario.

Nel caso del rapporto di lavoro la libertà di consenso dipende dalle richieste.
Ad esempio può essere libera nel caso in cui si richieda il consenso alla pubblicazione della fotografia del dipendente sul sito aziendale. Non lo è nel caso venga richiesta la possibiltà/volontà di avere figli.

Va inoltre trattato con molta attenzione il concetto di tying: non ti offro un servizio se non mi dai il consenso al trattamento dei dati anche per finalità ulteriori.
In questo caso il Garante ha definito che il consenso non è libero e quindi è invalido.

Molto interessante è poi l’illustrazione dei concetti di trasparenza e di “pagamento in dati personali” richiesto da molte app.
Ci sono vari orientamenti, contraddittori.
L’avvocato Resta fornisce un punto di vista a mio parere estremamente intelligente: puoi pagare l’applicazione o servizio senza fornirmi i tuoi dati personali per i trattamenti ulteriori, oppure “pagarmi” con i dati personali che a questo punto hanno un valore equivalente.

Conclusioni

Una lezione decisamente densa e intensa con tanti spunti da approfondire.