Il consenso è uno dei fondamenti di liceità delle attività di trattamento ed attribuisce all’interessato un elevato potere di controllo nei confronti delle operazioni svolte con i propri dati personali. In alcune circostanze particolari, specificamente individuate dal GDPR, viene richiesta una forma “esplicita” del consenso.
È bene ricordare, in sintesi, che tali circostanze consistono in:
- attività di trattamento di categorie particolari di dati;
- trasferimenti di dati verso paesi terzi o organizzazioni internazionali in assenza di garanzie adeguate;
- soggezione dell’interessato a processi decisionali automatizzati, compresa la profilazione;
e sono accomunate da un rischio intrinseco per la protezione dei dati, stante l’impatto significativo attuale e potenziale nei confronti dei diritti e delle libertà fondamentali degli interessati.
Poiché il consenso consiste comunque in manifestazione di volontà e dunque nella sostanza è un atto positivo inequivocabile, perché si possa parlare di consenso esplicito occorre focalizzare l’attenzione sul parametro formale riguardante la sua espressione.
Alcune delle modalità esemplificative indicate dall’EDPB[1] per ottenere il consenso esplicito sono:
- la dichiarazione sottoscritta da parte dell’interessato;
- l’invio tramite e-mail di un modulo con allegato un documento scansionato con la firma o con una firma elettronica;
- la verifica in due fasi del consenso;
ma non sono prescrizioni vincolanti per il titolare del trattamento, a condizione che lo stesso sia in grado di dimostrare la presenza di tutti gli elementi costitutivi di un consenso valido ai fini della sua conseguente corretta acquisizione.
Un elemento fondamentale è in primo luogo riscontrabile nel fornire in modo corretto informazioni chiare ed intelligibili all’interessato circa l’attività di trattamento dei dati personali fondata sul consenso perché lo stesso possa così esprimere una conferma esplicita (e specifica) a tale riguardo. Ulteriore elemento significativo di cui tenere conto, inoltre, è la garanzia di granularità del consenso esplicito evidenziandone, in sede di acquisizione, la specifica finalità perseguita e avendo cura di operare una distinzione netta rispetto ad ulteriori finalità perseguibili attraverso differenti basi giuridiche (o attraverso un diverso consenso, ad es., per il trattamento dei dati comuni).
Di particolare importanza è inoltre la dimostrabilità della validità del consenso acquisito (e dunque: le evidenze producibili) da parte del titolare del trattamento al quale è rimessa, in ossequio al principio di responsabilizzazione, ogni decisione in merito a valutazione e determinazione delle misure adeguate da predisporre a tal fine.
Appare
di chiara evidenza che proprio in considerazione delle correlate esigenze di particolare
tutela dell’interessato per le ipotesi in cui è richiesto un consenso
esplicito, il titolare del trattamento è tenuto a svolgere un’attenta analisi
in sede di progettazione dei trattamenti per garantire la piena validità del consenso
acquisito e le procedure relative alla conservazione (ai fini di verifiche
interne e in caso di ispezioni) o alle contingenze per cui possa essere
richiesto di rinnovare la prestazione dello stesso.
[1] WP 259 Linee guida sul consenso ai sensi del regolamento (UE) 2016/679
