È possibile ai soggetti che fanno ricorso alla base giuridica dello svolgimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri formulare una richiesta di consenso nei confronti degli interessati?
A voler proprio pensar male, la prassi che viene impiegata apparirebbe voler aggirare quel bilanciamento di interessi e il filtro di proporzionalità richiesto dall’art. 6.3 GDPR, creando così l’idea di “partecipazione volontaria” che ha il retrogusto amaro delle conseguenze di una campagna più o meno esplicita di nudging. Così, le azioni di persuasione e di influenza che abbiamo visto ad esempio per Immuni e che forse vedremo sempre più per i progetti di Smart Citizen Wallet, conducono il cittadino ad un’adesione non solo figlia di una volontà influenzata ma – dal punto di vista del GDPR – del tutto invalida.
Invalida dal momento che il consenso difetta del requisito di libertà, in ragione dell’evidente squilibrio tra interessato e titolare del trattamento. In tal senso, infatti, il considerando n. 43 GDPR: “è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”.
È bene ricordare inoltre che lo squilibrio di potere può essere valutato in via indiziaria anche rilevando le asimmetrie informative che sono connaturate all’interno del rapporto fra titolare ed interessato, andando a ridurre la prestazione del consenso in un’adesione spesso neanche troppo consapevole. Certamente, in questo caso ci sarà maggiore incidenza sul profilo della volontà informata, ma è un argomento che per logica è intrecciato in modo indissolubile con la libera manifestazione di assenso all’attività di trattamento presentata dal titolare.
Ragionando infine circa l’inutilità di un consenso richiesto – che è un errore ricorrente nel trattamento dei dati relativi al CV – nel caso delle pubbliche amministrazioni produce l’effetto di confondere l’interessato circa il margine di controllo che questi può avere nei confronti dell’attività di trattamento svolta.
Confusione particolarmente utile se al servizio di una propagandata “adesione volontaria”, ma con un saldo sostanzialmente negativo per tutti gli interessati coinvolti. La restrizione della possibilità di scelta – così come la limitazione dell’esercizio dei propri diritti – non è un impatto affatto da sottovalutare e che deve trovare il bilanciamento per quelle garanzie adeguate a tutela dell’interessato che a più tratti ricorrono all’interno GDPR e che troppo spesso vengono ignorate o ridotte a meri adempimenti formali.
