Il consenso in ambito digitale: le nuove linee guida dell’EDPB
Il Comitato Europeo per la protezione dei dati personali (di seguito, “EDPB”) ha recentemente adottato nuove linee guida al fine di fornire ulteriori chiarimenti e specificazioni sui requisiti per ottenere e dimostrare un valido consenso, predisponendo una guida pratica che aiuti a garantire il rispetto delle norme previste dal Regolamento europeo per la protezione dei dati personali (di seguito, “GDPR”).
L’articolo 4, paragrafo 11, del GDPR definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Il consenso costituisce dunque una delle basi giuridiche legittimanti il trattamento dei dati personali disciplinate dall’art. 6 dello stesso GDPR. Tuttavia, ai fini di un corretto utilizzo di tale base giuridica, è necessario che all’interessato venga offerta una scelta reale rispetto alla possibilità di prestare il proprio consenso o meno, senza che ciò arrechi allo stesso alcun danno o pregiudizio.
Una virtuosa applicazione della disciplina sul consenso nel contesto digitale, così come imposta dal GDPR, presenta alcune possibili criticità e, per tale motivo, l’EDPB ha ritenuto opportuno fornire alcune utili precisazioni riguardanti, in particolare, l’effettiva natura “libera” del consenso prestato on-line, la conseguente possibilità di revoca, nonché gli strumenti di cui può servirsi il titolare al fine di comprovare che il consenso dell’interessato sia stato raccolto in ottemperanza alle disposizioni del GDPR.
1. Il consenso “libero” nel contesto digitale.
Anzitutto, l’EDPB ha evidenziato come un consenso realmente “libero” debba implicare una vera e propria scelta per gli interessati: di conseguenza, il consenso non sarà considerato effettivamente “libero” se l’interessato non è messo nella condizione di non prestarlo (o eventualmente di revocarlo) senza subire alcun tipo di pregiudizio.
Come noto, il GDPR è chiaro nello stabilire che il consenso richiede una dichiarazione dell’interessato manifestata attraverso un comportamento attivo, rendendo quindi invalida la predisposizione di caselle “pre-flaggate” che imporrebbero un intervento (ed appunto un comportamento attivo) da parte dell’interessato attraverso la selezione di un “opt-out box”.
Con le nuove linee guida l’EDPB ha rilevato, sul tema, tre ulteriori aspetti rilevanti:
- non può essere considerato un consenso liberamente prestato nel caso in cui un provider di siti web metta in atto uno “script” che blocca la visibilità dei contenuti, ai quali non è possibile accedere senza cliccare sul pulsante “accetta i cookie”: infatti, poiché all’interessato non viene presentata una vera e propria scelta, il suo consenso non può dirsi prestato liberamente;
- affinché il consenso possa essere prestato liberamente, l’accesso ai servizi e alle funzionalità del sito web non deve essere subordinato alla condizione che l’utente acconsenta alla raccolta dei propri dati personali o all’accesso dei propri dati personali già memorizzati nel terminale (i cosiddetti “cookie wall”);
- da ultimo, così come il silenzio o l’inattività dell’interessato non può essere considerato come un’indicazione attiva di scelta, neanche il mero proseguimento dell’uso ordinario di un sito web può essere considerato una condotta dalla quale si può dedurre un’indicazione di volontà da parte dell’interessato di esprimere il proprio consenso al trattamento dei propri dati personali.
2. La possibilità di revoca del “consenso digitale”.
Di pari importanza con il requisito di “libertà” del consenso vi è poi la possibilità di revoca dello stesso da parte dell’interessato: l’articolo 7, paragrafo 3, del GDPR, prescrive infatti che il titolare deve garantire che il consenso possa essere revocato dall’interessato in qualsiasi momento e con la stessa facilità con cui è prestato. Il requisito della possibilità (e modalità) di revoca è dunque considerato determinante ai fini della valutazione di un consenso realmente “libero” e, anche in questa ipotesi, il titolare dovrà essere in grado di dimostrare che la revoca del consenso possa avvenire facilmente e senza alcuna conseguenza negativa per l’interessato.
Sebbene il GDPR non preveda che la revoca del consenso debba avvenire attraverso la stessa azione con cui era stato prestato, con le nuove linee guida l’EDPB ha rilevato che, quando il consenso viene ottenuto digitalmente e dunque con un solo “clic” del mouse, questo si ottiene attraverso l’utilizzo di un’interfaccia specifica del servizio (ad esempio, tramite un’app, un account di accesso, l’interfaccia di un dispositivo IoT o via e-mail) e, pertanto:
- l’interessato deve essere in grado di revocare il consenso tramite la medesima interfaccia, in quanto il passaggio ad un’altra (mediante quindi un cambio di “schermata”) per il solo scopo di revocarlo, richiederebbe uno sforzo eccessivo, e non risponderebbe al requisito di “facilità” previsto dal GDPR;
- inoltre, anche in questo caso, l’interessato deve poter revocare il suo consenso senza alcun costo né alcun danno, non vedendosi preclusa, ad esempio, la navigazione sul sito web o un abbassamento dei livelli di servizio offerti.
3. L’onere del titolare di provare il consenso regolarmente prestato.
Un ulteriore aspetto affrontato nelle linee guida riguarda poi l’onere, per il titolare del trattamento, di provare che il consenso è stato regolarmente e liberamente prestato: sul punto, l’EDPB osserva che, nel contesto digitale, tale verifica può concretizzarsi attraverso la richiesta del consenso in due fasi, al fine di assicurarsi che lo stesso sia esplicito e valido.
Tale operazione può avvenire secondo le seguenti modalità:
- l’interessato riceve una e-mail che lo informa dell’intenzione del titolare di trattare i dati personali;
- se l’interessato acconsente all’utilizzo di tali dati, il titolare gli chiede una risposta via e-mail contenente la dichiarazione “sono d’accordo”;
- in seguito l’interessato riceve un link di verifica, o un messaggio SMS con un codice di verifica, per confermare la propria volontà espressa.
L’EDPB suggerisce inoltre l’ipotesi, nel caso in cui il consenso sia prestato direttamente sulla pagina web, di conservare le informazioni sulla sessione in cui è stato espresso, nonché una copia delle informazioni presentate all’interessato al momento della raccolta del consenso, in quanto non sarebbe sufficiente, per il titolare, limitarsi a fare un mero e generico riferimento alla corretta configurazione del sito web.