L’autorità di controllo spagnola (AEPD) ha sanzionato per € 48.000,00 il gruppo ospedaliero HM Hospitales per un reclamo del 2019 riguardante la violazione delle prescrizioni del GDPR con riferimento alle modalità per la corretta acquisizione dei consensi da parte degli interessati (art. 6.1 lett. a) GDPR).
Nelle informazioni rese sul sito web relativamente alle attività di trattamento dei dati personali, il consenso viene individuato dal titolare del trattamento come la base giuridica impiegata per effettuare il trasferimento dei dati nei confronti di terze parti e per svolgere attività di marketing. Da un reclamo, è stata acquisita la modulistica fornita al paziente nel momento della richiesta di ammissione, riscontrando all’interno un’indicazione di barrare delle caselle qualora l’interessato voglia negare il trasferimento verso terze parti dei propri dati o la ricezione di comunicazioni commerciali, con ulteriore precisazione che in qualsiasi momento può comunque negare il proprio consenso a tali attività.
Le formule impiegate nei moduli sono analoghe: “Se non desidera (…) selezionare questa casella” e dunque prevedono lo svolgimento delle attività di trattamento in caso di un’inerzia da parte dell’interessato. L’AEPD a tale riguardo evidenzia che è proprio la previsione di un consenso tacito o inerte a costituire una violazione del GDPR, in quanto l’art. 4.1 n. 11 prevede che una manifestazione del consenso dell’interessato debba essere necessariamente resa mediante una dichiarazione o un’azione positiva inequivocabile. Sostanzialmente è necessario che l’interessato intraprenda un’azione deliberata per acconsentire al trattamento specifico di cui è stato informato preventivamente da parte del titolare, per avere e mantenere (da cui deriva il requisito di revocabilità) il controllo dell’impiego dei propri dati personali. Il considerando n. 32, inoltre, va espressamente ad escludere che il silenzio, l’inattività o la preselezione di caselle possano in ogni caso configurare un consenso valido.
Tutto ciò comporta per il titolare del trattamento un obbligo di progettazione dei meccanismi di acquisizione del consenso perché ne siano garantiti gli elementi costitutivi, oltre che ovviamente l’onere di dover dimostrare che l’interessato ha acconsentito al trattamento dei propri dati personali. Entrambi tali punti sono rimessi, in forza del principio di responsabilizzazione, alle modalità (ovverosia: misure tecniche e organizzative) che il titolare del trattamento intende predisporre al fine di garantire l’effettività degli adempimenti alle prescrizioni normative.
La sanzione comminata dall’AEPD è un utile spunto di riflessione per considerare l’importanza di un approccio di legal design nella predisposizione dei modelli da somministrare all’interessato, in quanto solo una corretta analisi preliminare consente di formulare un testo conforme alle prescrizioni normative.
Altrimenti, il rischio in cui inevitabilmente incorre il titolare del trattamento consiste nell’incertezza di generare violazioni sistematiche del GDPR (e dunque: nel mancato controllo della compliance). Come il caso in esame insegna, infatti, da un’inesatta formula impiegata per la gestione dei consensi all’interno di un modello di accettazione può facilmente derivare una sanzione pecuniaria di € 48.000.
