Regolamento - 27/04/2016 - n. 679 art. 7 - Condizioni per il consenso

Requisiti di validità del consenso

Giuridicamente il consenso è atto unilaterale recettizio. Quali requisiti essenziali generali, deve essere: informato, libero, specifico, inequivocabile, espresso. Tali principi sono indicati all'art. 4.11), mentre la regola del consenso espresso si trova enunciata al considerando 32: «[...] il consenso dovrebbe essere espresso»; ed è desumibile altresì dall'articolo appena citato, che ritiene soddisfatto il consenso da una «dichiarazione o azione positiva», dunque da un comportamento concludente positivamente manifestato, purché non difetti il requisito dell'«inequivocabilità». In aggiunta alle condizioni di validità menzionate, ma con applicazione circoscritta ad alcuni istituti del GDPR, il consenso deve altresì essere «esplicito», v. infra § 9.

Libertà di forma e di modalità

Vige il principio della libertà di forma e modalità di manifestazione, come è reso chiaro sempre dal considerando 32: «[L]'interessato manifesta l'intenzione [...] di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale». Eccezione parziale riguarda il solo consenso esplicito, per il quale deve essere esclusa la manifestazione per comportamento concludente. Corre comunque l'obbligo di rilevare che basare il trattamento sul comportamento concludente degli interessati può comportare sul versante probatorio difficoltà non sempre facilmente superabili per il titolare (cuius commoda eius et incommoda). Il principio della libertà di forme non rappresenta una novità rispetto alla direttiva 95/46 né, limitatamente ai soli dati comuni, rispetto al cod. privacy pre-GDPR, che tuttavia sul piano probatorio richiedeva la forma scritta ad probationem (cfr. l'abrogato art. 23.3 cod. privacy). Va evidenziato che ai sensi dell'art. 7, par. 2 GDPR, la richiesta di consenso, se effettuata nel contesto di una dichiarazione scritta, deve essere chiaramente distinta da consensi contrattuali e dalle porzioni di testo non riguardanti la protezione dei dati personali (viene qui in considerazione un requisito di chiarezza, accessibiltà e facile comprensione, uso di linguaggio limpido e semplice). Il richiamo a una rigorosa distinguibilità anche visiva della richiesta di consenso acquista pregio anche in contesti informatici e va posta all'attenzione del pratico.

Consenso «informato»

Il consenso si intende “informato” se è preceduto da valida informativa. Il requisito in parola era già previsto dall'art. 2.h) dir. 95/46 e dall'abrogato art. 23.3 cod. privacy. Va tuttavia notato che ai sensi del considerando 42 GDPR, «ai fini di un consenso informato, l'interessato dovrebbe essere posto a conoscenza almeno dell'identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali», cosa che sembrerebbe indicare un contenuto informativo assai ridotto rispetto a quello prescritto dagli artt. 13 e 14 GDPR. La portata giuridica della previsione è tuttavia assai dubbia, poiché sembra collidere con il disposto degli artt. 13 e 14 GDPR, che, in ipotesi di discordanza, prevalgono sui considerando. Ad ogni buon conto, l'EDPB nelle linee guida sul consenso, § 3.3.1 ritiene imprescindibili quantomeno i seguenti ulteriori elementi informativi: tipologia di dati personali che saranno raccolti e utilizzati (a rigore tuttavia richiesti dal solo art. 14 GDPR); esistenza del diritto di revoca; chiarimenti in merito all'esistenza di un eventuale processo decisionale automatizzato ai sensi dell'art. 22 GDPR; informazioni sui possibili rischi di trasferimenti dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate ai sensi dell'art. 46 GDPR.

«Non v'è dubbio, allora, che, nel suo complesso la previsione di un consenso in tal modo “rafforzato” sia dettato dall'esigenza di rimediare alla intrinseca situazione di debolezza dell'interessato, sia sotto il profilo della evidente “asimmetria informativa”, sia dal versante della tutela contro possibili tecniche commerciali aggressive o suggestive. La normativa in questione, dunque, sorge dall'esigenza di affrontare i rischi per la persona posti dal trattamento in massa dei dati personali, così come reso possibile dall'evoluzione tecnologica. Può dunque dirsi che il consenso in questione debba essere ricondotto alla nozione di “consenso informato”, nozione ampiamente impiegata in taluni settori – basti menzionare il campo delle prestazioni sanitarie – in cui è particolarmente avvertita l'esigenza di tutelare la pienezza del consenso, in vista dell'esplicazione del diritto di autodeterminazione dell'interessato, attraverso la previsione di obblighi di informazione contemplati in favore della parte ritenuta più debole» (Cass. n. 17278/2018).

«Ai sensi dell'articolo 5 del regolamento, il requisito della trasparenza è uno dei principi fondamentali, strettamente legato ai principi di correttezza e liceità. Fornire informazioni agli interessati prima di ottenerne il consenso è fondamentale per consentire loro di prendere decisioni informate, capire a cosa stanno acconsentendo e, ad esempio, esercitare il diritto di revocare il consenso. Se il titolare del trattamento non fornisce informazioni accessibili, il controllo dell'utente diventa illusorio e il consenso non costituirà una base valida per il trattamento» (EDPB, LG Cons., § 3.3).

«Le informazioni valide possono [...] essere presentate in vari modi, ad esempio sotto forma di dichiarazioni scritte o verbali oppure di messaggi audio o video» (WP29 LG Cons., § 3.3.2).

Consenso «libero»

La libertà è intesa nel doppio senso di consapevolezza degli elementi sui quali il consenso si esercita (di qui il requisito della previa informativa) e di mancanza di condizionamenti. Il Regolamento ha il pregio di formalizzare opportunamente al considerando 43 il criterio dell'«evidente squilibrio tra l'interessato e il titolare del trattamento», a cui attenersi per determinare la validità del consenso. C'è ad esempio evidente squilibrio – così testualmente – nella richiesta di consenso effettuata da una pubblica autorità. In tal caso lo squilibrio deve ritenersi presunto ex lege, ragione per cui, nella normalità dei casi e salvo eccezioni, il consenso non può essere considerato una base valida per le pubbliche amministrazioni. Lo squilibrio evidente può del resto manifestarsi anche sul versante dei rapporti tra privati, ad esempio in materia giuslavoristica.

Sul punto, giova fare riferimento alle precisazioni fornite dall'ex Gruppo di lavoro 29 nell'op. 2/2017, p. 6, v. infra. L'art. 7, par. 4 e il correlato considerando 43 formalizzano inoltre una regola essenziale alla stregua della quale non può essere considerato libero il consenso trasformato in condizione per la fruizione di un servizio, ma ultroneo rispetto ad esso. Non è pertanto libero il consenso quando «l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto». Il criterio rappresentava già da tempo ius receptum in Italia nel vigore del cod. privacy pre-GDPR. In definitiva, la regola può essere schematizzata come segue:

a) dato un contratto/servizio, es.: attivazione di un account di accesso a un social network, e

b) un trattamento di dati personali non necessario al contratto/servizio, es.: trattamento delle coordinate di posta elettronica per ricevere newsletter pubblicitarie;

c) se il trattamento b) è posto quale condizione per dare corso al contratto/servizio a),

d) allora il trattamento b) viola il principio di libertà del consenso.

La regola si applica evidentemente non solo all'esecuzione del contratto ma anche alla sua conclusione, alla sua prosecuzione (es. recesso del titolare da un contratto in essere nel caso in cui non venga espresso il consenso ad altro trattamento non necessario di dati personali) o al rinnovo. Va aggiunto che il consenso è libero quando è liberamente revocabile. Non è libero se la revoca implica un pregiudizio (considerando 42) o un aggravio rispetto alle modalità con cui il consenso è stato prestato (art. 7, par. 3, ult. periodo).

La mancanza di condizionamenti, che è requisito di libertà del consenso, è assunta in termini assai più garantisti per l'interessato rispetto alla nozione civilistica di violenza morale e comprende anche situazioni che non avrebbero pregio in quella sede. La libertà va valutata innanzitutto in base alle conseguenze che potrebbero seguire a un rifiuto di conferire i dati. Per questa ragione all'interessato deve essere chiarito «se [...] ha l'obbligo di comunicare i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati», come prescritto all'art. 13.2.e) GDPR. Il condizionamento tuttavia potrebbe dipendere anche da fattori di contesto, pur in assenza di esplicite conseguenze pregiudizievoli. In situazioni di pressione psicologica appare in effetti illusorio parlare di libertà di manifestazione del consenso. Per avere una metrica della particolare sensibilità giuridica applicata in questa materia, si può può ricordare l'esempio dell'installazione di dispositivi di sicurezza per la scansione del corpo (body scanner) in aeroporto. L'ex Gruppo di lavoro 29, nell'op. 15/2011, p. 18 ha in proposito ritenuto che, anche qualora l'utilizzo degli stessi sia rimesso al consenso del passeggero, sorgano dubbi sull'effettiva libertà, in considerazione del condizionamento sociale esistente in un contesto come quello descritto. Osservavano in particolare i Garanti europei che «il rifiuto a sottoporsi alla scansione potrebbe creare sospetti o far scattare controlli supplementari, tra i quali una perquisizione personale. Molti passeggeri acconsentono alla scansione per evitare, così facendo, potenziali problemi o ritardi, laddove la loro massima priorità consiste nel salire a bordo puntualmente. Il consenso così espresso non rappresenta quindi una manifestazione sufficientemente libera di volontà». In tali casi, come in generale nelle situazioni caratterizzate da uno squilibrio evidente di forze, occorre privilegiare soluzioni che pongano la liceità del trattamento su base giuridica diversa dal consenso, quale l'interesse legittimo o il pubblico interesse, a seconda dei casi (e nei limiti in cui tali basi siano invocabili), e preferiscono l'introduzione di procedure stringenti e di oneri a carico del titolare, volti a determinare un maggiore bilanciamento tra le parti.

Un'area di estremo interesse in tema di libertà del consenso riguarda i cd. “dark pattern”, o “percorsi oscuri”, ossia quelle particolari configurazioni, tipicamente nel layout di un'applicazione, studiate per indurre l'utente a privilegiare determinate scelte. Esiste una definizione normativa di dark pattern al cons. 67 DSA (reg. UE 2022/2065): «I percorsi oscuri sulle interfacce online delle piattaforme online sono pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate. Tali pratiche possono essere utilizzate per convincere i destinatari del servizio ad adottare comportamenti indesiderati o decisioni indesiderate che abbiano conseguenze negative per loro. [...] Ciò dovrebbe comprendere, a titolo non esaustivo, le scelte di progettazione a carattere di sfruttamento volte a indirizzare il destinatario verso azioni che apportano benefici al fornitore di piattaforme online, ma che possono non essere nell'interesse dei destinatari, presentando le scelte in maniera non neutrale, ad esempio attribuendo maggiore rilevanza a talune scelte attraverso componenti visive, auditive o di altro tipo nel chiedere al destinatario del servizio di prendere una decisione». I dark pattern, oltre a porsi in violazione dell'art. 25 DSA, collidono quantomeno con gli art. 5.1.a) GDPR, con l'art. 7 e 25 GDPR. Per un'analisi di dettaglio si rimanda alle linee guida EDPB 3/2022.

Altro rilevante tema è quello dei cd. “cookie wall” ossia dei bivi informatici nei quali all'utente è presentata la scelta se accettare i cookie o vedersi rifiutato l'accesso a una determinata risorsa informatica, tipicamente a un sito. Nonostante si siano registrate in proposito opinioni discordanti, appare corretto ritenere la pratica in questione in contrasto con il requisito della libertà del consenso. Non dissimile è lo schema del “paywall”, ove il secondo termine dell'alternativa è sostituito dalla richiesta di corrispondere una determinata somma in denaro. Sembra in proposito che il condizionamento del consenso sia altrettanto intenso, se non addirittura più intenso. In ogni caso, è l'art. 7.4 GDPR a indicare chiaramente il consenso «non liberamente prestato» ove l'erogazione di un determinato servizio sia condizionata all'espressione di un consenso che nulla ha a che vedere («non necessario») con la sua esecuzione, come è appunto l'accettazione di cookie di profilazione. Nel caso del paywall, viene addirittura in considerazione nella grande maggioranza dei casi un consenso al trattamento non revocabile (come tale invalido), dunque un contratto mascherato, posto che la revoca del consenso determina esclusione dal servizio. Va altresì segnalata, tanto per il “cookie wall” quanto per la variante “paywall”, la violazione della data protection by default richiesta dall'art. 25 GDPR. Nulla vieta di offrire un servizio a pagamento, ma l'alternativa in tal caso sarà quella tra corrispondere il prezzo o non fruire del servizio, non quella di fruire del servizio accettando di essere profilati.

«[... I]l consenso in discorso, alla luce del dato normativo, è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto dell'intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento. In tal senso va inteso il dato normativo alla luce del quale deve trattarsi di un consenso libero, ossia pienamente consapevole ed informato e non già frutto di alcun condizionamento, e specifico, ossia inequivocabilmente riferito a ciascun particolare effetto del trattamento» (Cass. n. 17278/2018).

«Affinché il consenso sia prestato liberamente, l'accesso ai servizi e alle funzionalità non deve essere subordinato al consenso dell'utente alla memorizzazione di informazioni o all'ottenimento dell'accesso a informazioni già memorizzate nell'apparecchiatura terminale dell'utente (i cosiddetti “cookie wall”)» (EDPB, LG 5/2020, § 39).

«Per la maggior parte delle attività di trattamento svolte sul posto di lavoro, la base giuridica non può e non dovrebbe essere il consenso dei dipendenti [...] in considerazione della natura del rapporto tra datore di lavoro e dipendente» (WP29, op. 2/2017, 6).

«[...] Il consenso può essere ritenuto effettivamente libero solo se si presenta come manifestazione del diritto all'autodeterminazione informativa, e dunque al riparo da qualsiasi pressione, e se non viene condizionato all'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto» (GPDP, 28 maggio 1997 [40425]).

Consenso «specifico»

Il consenso specifico risponde alla regola: tanti consensi quante sono le finalità di trattamento. Sul punto il considerando 32 precisa: «Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste» (ovviamente, l'ipotesi presuppone che esso costituisca la base giuridica appropriata per tutte le finalità considerate). Ai sensi del considerando 43, tale obbligo di specificità del consenso va considerato una particolare applicazione del requisito di libertà. Se infatti si vincolano a un solo consenso due (o più) finalità distinte, si priva l'interessato della possibilità di scegliere quale consentire e quale no, gli si impone cioè di accettarle tutte in blocco oppure di rifiutarle, e questa è un'evidente violazione del principio di libertà. La specificità costituiva un requisito del consenso anche rispetto alla disciplina pregressa, si confrontino gli artt. 2.h) dir. e l'abrogato 23.3 cod. privacy. Per calare il principio di specificità in un contesto concreto, possono essere utili esempi applicativi in materia di marketing per posta elettronica. L'attività di marketing in proprio e la comunicazione a terzi dei dati personali dell'interessato per finalità di marketing di costoro rispondono a due finalità diverse, come tali saranno necessarie due distinte e indipendenti manifestazioni di consenso. Ugualmente la profilazione è considerata nella prassi applicativa del Garante come ulteriore finalità distinta rispetto a quella di marketing, dunque richiede a sua volta uno specifico consenso (salvi i casi, assai limitati, in cui possa essere costruita su altra base giuridica). Giova evidenziare anche situazioni opposte: es., più operazioni che costituiscono momenti o declinazioni di un medesimo trattamento unitariamente inteso si intendono avvinte in un'unica finalità, dunque non necessitano di più consensi specifici. È, sempre in ambito di marketing, il caso dell'invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale: pur nelle differenze specifiche, tali attività sono considerate come declinazioni di una medesima finalità, quella appunto racchiusa dal termine “marketing” (cfr. art. 130 cod. priv.), di conseguenza è sufficiente un unico consenso per effettuarle. Per le precisazioni sopra riportate, cfr. GPDP, 15 maggio 2013 [2543820].

«Un servizio può comportare trattamenti multipli per più finalità. In tal caso, l'interessato dovrebbe essere libero di scegliere quale finalità accettare anziché dover acconsentire a un insieme di finalità. [...] Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c'è libertà. La granularità è strettamente correlata alla necessità che il consenso sia specifico» (EDPB, LG Cons., § 3.1.3).

«Oltre che libero, il consenso [...] deve essere specifico: ed è manifesto che il requisito della specificità si pone, nel disegno normativo, in stretto collegamento con quello della libertà del consenso, così da risolversi in un'endiadi, giacché la libertà della determinazione volitiva in ordine al trattamento dei dati personali non sarebbe neppure astrattamente configurabile, nel suo atteggiarsi quale consenso informato, se non fosse univocamente indirizzata alla produzione di effetti che l'utente abbia preventivamente avuto modo di rappresentarsi, singolarmente, con esattezza.» (Cass. n. 17278/2018).

«[...] Il consenso a ricevere cookie in massa, espresso mediante le impostazioni del browser, implica che l'utente accetti qualsiasi trattamento futuro, eventualmente senza conoscere le finalità o gli usi dei cookie. Il consenso in massa a qualsiasi trattamento futuro senza conoscere le circostanze del trattamento non può essere considerato un consenso valido» (WP29, op. 2/2010, 16)

Consenso «inequivocabile»

L'inequivocabilità va intesa come certezza del consenso, sia per quanto attiene alla circostanza che esso sia stato effettivamente prestato sia per quanto attiene al suo contenuto. Precisa il considerando 32: «Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle». L'inequivocabilità acquista particolare rilievo in combinazione con il principio della libertà di forme, alla cui stregua è valido anche un consenso manifestato attraverso un'azione positiva. Ai fini della corretta sussistenza del requisito in esame, occorre una ricognizione concreta del contesto che permetta distinguibilità e limpidezza.

Per un utile chiarimento applicativo, giova riportare un esempio tratto dalla casistica dell'ex Gruppo di Lavoro 29, oggi EDPB, cfr. op. 15/2011, pp. 13-14, quello di pannelli pubblicitari dotati di funzionalità bluetooth in grado di trasmettere promozioni commerciali ai telefoni cellulari di passanti casuali. Il ricevimento dei messaggi da parte di questi ultimi è ovviamente condizionato all'effettiva attivazione del bluetooth sui dispositivi mobili, ma ciò costituisce mera circostanza di fatto dalla quale non è possibile desumere nessuna intenzionalità. In altre parole, difetta il requisito dell'inequivocabilità. Il Gruppo di lavoro riteneva tuttavia che questo potesse essere integrato dal compimento di un'azione specifica e non casuale, quale per esempio l'accostamento del dispositivo al pannello pubblicitario, ove ciò sia espressamente richiesto per l'ottenimento della promozione e non costituisca condotta altrimenti posta in essere casualmente, nelle circostanze di specie. Un altro esempio può essere quello del tocco (tap) di una determinata porzione dello schermo di un telefono mobile, preceduto da una chiara informazione sul suo significato e in un contesto nel quale il tap non possa essere effettuato per qualsiasi altra ragione, anche casuale. L'onere della prova è interamente a carico, come di regola, del titolare del trattamento. In generale, qualsiasi consenso ottenuto traendo vantaggio da comportamenti che l'utente ponga in essere automaticamente o per ragioni potenzialmente diverse da quelle per cui il consenso è richiesto si pone ovviamente al di fuori del perimetro dell'inequivocabilità, in tal senso possono altresì essere richiamate le considerazioni già fatte a proposito dei dark pattern.

Consenso «espresso»

Anche ove sia manifestato per comportamento concludente, il consenso deve essere «espresso» (considerando 32). Come chiaramente indica il considerando richiamato, la mera inazione e il mero silenzio non hanno pregio ai fini della materia de qua. In tali ultime ipotesi appare perciò irrilevante qualsiasi considerazione relativa alle particolari caratteristiche del contesto di trattamento. Sul punto vi è continuità con il cod. privacyante riforma, cfr. l'abrogato art. 23.3 d.lgs. 196/03.

Consenso «esplicito»

Il generale principio della validità del comportamento concludente incontra un parziale limite in sole tre ipotesi nelle quali si richiede che il consenso sia «esplicito»: trattamento di dati sensibili, art. 9.2.a) GDPR; decisione unicamente basata su trattamento automatizzato, art. 22, par. 2, lett. c) GDPR; trasferimento in deroga di dati personali verso Paese terzo od organizzazione internazionale «non adeguati» ai sensi dell'art. 49, par. 1, lett. a) GDPR. Per la verità, il Regolamento non chiarisce il significato del termine «esplicito». Un corretto approccio ermeneutico deve innanzitutto evitare di farne un ridondante sinonimo di «espresso», non solo perché sarebbe duplicazione irragionevole, ma anche e soprattutto perché mentre il consenso espresso vale come regola generale, quello esplicito è richiesto soltanto nelle tre ipotesi ricordate, particolarmente invasive per la vita privata. Semanticamente, il reciproco del consenso espresso è il consenso tacito, il reciproco del consenso esplicito è il consenso implicito, ossia il comportamento concludente, nel quale il consenso è meramente inferito, tenuto sempre fermo che il contesto nel quale è espresso tale comportamento concludente deve essere inequivocabile.

L'interpretazione trova conforto già nell'opinione 15/2011 dei Garanti europei, cfr. p. 43: «Il Gruppo di lavoro “Articolo 29” non è convinto della necessità di introdurre [...] il concetto di “consenso esplicito” come regola generale per tutte le operazioni di trattamento [...]. Esso è del parere, infatti, che il consenso inequivocabile, che comprende il consenso esplicito ma anche il consenso derivante da azioni inequivocabili, dovrebbe rimanere la norma. Tale scelta offre maggiore flessibilità ai titolari del trattamento nella raccolta del consenso e la procedura generale potrebbe essere più rapida e di più agevole applicazione». È importante notare che il consenso esplicito può ben essere verbale, il che determina una rilevante difformità rispetto al codice privacy pre-GDPR, che per i dati sensibili richiedeva, ante riforma, il più rigoroso consenso scritto, cfr. l'abrogato art. 23.4 cod. privacy. Nelle linee guida LG Cons., punto 98 è suggerita quale possibile modalità di consenso esplicito la verifica in due fasi, o “a due fattori” (es. tramite email ed sms). «In teoria, anche l'uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un consenso esplicito valido, tuttavia può essere difficile per il titolare del trattamento dimostrare che tutte le condizioni per la validità del consenso esplicito siano state soddisfatte quando la dichiarazione è stata registrata. Un'organizzazione può anche ottenere il consenso esplicito tramite una conversazione telefonica, a condizione che le informazioni sulla scelta siano corrette, intelligibili e chiare e che venga richiesta una conferma specifica da parte dell'interessato (ad esempio premendo un pulsante o fornendo una conferma verbale)» (EDPB, LG Cons., § 4).

Data protection by design e by default

In applicazione del principio di libertà del consenso e di quelli generali di data protection by design e by default di cui all'art. 25 GDPR, l'espressione o il rifiuto del consenso devono essere collocate, ove possibile e non confusionario, al medesimo livello di rilievo e di accessibilità e soprattutto evitando di ricorrere a soluzioni che, pur nel rispetto dei principi di chiarezza delle diciture e della formulazione, rechino tuttavia caselle già marcate con il segno di spunta positiva, ancorché questo sia rimovibile dall'interessato. In situazioni siffatte, e in altre analoghe (es. toggle da spostare per negare un consenso preimpostato), la manifestazione del consenso non deriverebbe infatti dall'apposizione della spunta ma dalla sua rimozione ed è tecnicamente assimilabile a una forma di opt-out. In questi casi, vi è contrasto infatti con il requisito dell'inequivocabilità, perché la mancata rimozione della spunta può derivare da semplice negligenza o distrazione, inoltre risulta suggestiva (dark pattern) potendo indurre l'interessato a supporre come doverosa la scelta pre-impostata e richiedendo, comunque, un comportamento positivo non altrimenti dovuto. In ogni caso tale soluzione contrasta con il considerando 32: «Non dovrebbe [...] configurare consenso il silenzio, l'inattività o la preselezione di caselle».

Si tratta della formalizzazione di un indirizzo che appariva già maturo a livello europeo anche prima dell'introduzione del Regolamento. Ad esempio l'ex Gruppo di lavoro 29 ha ritenuto ambigua la scelta di un social network di permettere di default agli amici degli amici di un utente di accedere a tutte le sue informazioni personali, a meno di espressa azione positiva di rifiuto (cfr. WP29, op. 15/2011, 28).

«[...] Non è corretta la predisposizione di moduli in cui la casella (c.d. ‘check-box') di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag)» (GPDP, 4 luglio 2013 [2542348], § 2.6).

Principio del minimo intralcio

Il principio del minimo intralcio nella raccolta del consenso è formulato al considerando 32, in base al quale la richiesta non deve «interferire immotivatamente con il servizio per il quale il consenso è espresso». La sua portata è limitata all'utilizzo di mezzi elettronici. Si presta anche ad applicazioni più generali nella misura in cui sia coerente con i principi di semplicità, chiarezza e trasparenza più volte richiamati nel Regolamento (cfr. art. 12 e considerando 39).

Prova del consenso

La prova del consenso va assolta dal titolare del trattamento ai sensi dell'art. 7, par. 1 GDPR (e del connesso considerando 42): «Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali»; e più in generale ai sensi dell'art. 24, par. 1 GDPR: «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento». Il codice privacy ante riforma prevedeva all'art. 23.3 che il consenso dovesse essere documentabile per iscritto. Non si trova analoga previsione nel Regolamento.

Durata del trattamento

Il tempo di conservazione dei dati personali dipende dalle specifiche finalità per il quale il consenso è stato richiesto in conformità con il contesto del trattamento e con le aspettative dell'interessato, dunque, ferme tali aspettative, la sussistenza del trattamento è legata alla permanenza di una volontà esterna al titolare, la cui durata non può da questi, evidentemente, essere definita a priori. Resta fermo che il titolare potrà sua sponte decidere di fissare un termine, in tal modo condizionando a esso le aspettative dell'interessato, e altresì cessare prima del termine il trattamento.

È discusso in dottrina e nella prassi se il trattamento costruito sul consenso debba avere un termine preciso di durata da indicare nell'informativa, o se la durata, in mancanza di termini massimi fissati dal titolare, dal legislatore o comunque desumibili dal contesto, sia unicamente parametrata al permanere della volontà dell'interessato, e dunque cessi alla revoca del consenso o all'opposizione al trattamento, ove possibile. La prima posizione (termine temporale necessariamente definito) è stata sostenuta dal Garante ad esempio nel provv. 18 luglio 2023 [9920942], ove è stata ritenuta «non congrua la conservazione dei dati relativi al marketing fino alla data della revoca del consenso al trattamento, ai sensi dell'art. 7 del GDPR, anche considerato che l'interessato potrebbe anche non mutare mai la propria volontà o mantenerla invariata per anni». Come rilevato tuttavia da autorevole dottrina (Bolognini), in tal modo si arreca pregiudizio all'autodeterminazione informativa dell'interessato (già pienamente riconosciuta peraltro in GPDP 15 ottobre 2020 [9486485]), essendo del tutto legittimo e non opponibile dall'autorità di controllo che questi, dominus sui, non muti mai la propria volontà o la mantenga invariata per anni. Del resto, come evidenziato dall'Autore, l'art. 5.1.e) GDPR non prescrive la previa determinazione numerica di un parametro temporale, ma, diversamente, che la conservazione dei dati personali rispetti «un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati», sia cioè ricondotta a un parametro funzionale. Orbene, in un trattamento di durata, in cui non sia ravvisabile od oggetto di aspettativa un momento naturale ultimo di conseguimento della finalità (si pensi appunto all'iscrizione a una newsletter commerciale a cadenza periodica), tale momento necessariamente coincide con la cessazione della base giuridica da parte dell'interessato o con la decisione, sempre possibile, del titolare di terminare a un certo momento il trattamento. Come evidenziato dall'EDPB nelle linee guida cit., §§ 110-111: «Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell'interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso. Come migliore prassi il Comitato raccomanda di aggiornare il consenso a intervalli appropriati. Fornire nuovamente tutte le informazioni contribuisce a garantire che l'interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti». Deve inoltre osservarsi che, a opinione di chi scrive, non appare conforme alla disciplina unionale la determinazione da parte del Garante, in sostituzione del titolare, di termini di durata massima del trattamento, essendo l'autorità priva di tale potere. In particolare, nel citato provv. 18 luglio 2023 [9920942] sono richiamati termini di conservazione dei dati personali di 24 e 12 mesi, rispettivamente per marketing e profilazione, ai sensi del provvedimento generale dell'autorità risalente al 24 febbraio 2005 [1103045], emanato, allora, sulla base dell'art. 154.1.c) cod. priv.. Osservato, tuttavia, che la disposizione richiamata consentiva al Garante non già poteri normativi erga omnes ma solo poteri decisori nei confronti delle specifiche parti di un procedimento di reclamo, dunque idonei, al più, a creare una prassi applicativa dell'autorità, non una regola di diritto, è comunque fermo che il Regolamento abbia irrobustito e ampliato, rispetto alla direttiva 95/46, il principio di accountability, alla cui stregua unico soggetto competente (e responsabile) a individuare appropriate finalità, basi giuridiche e tempi di conservazione è il titolare del trattamento, per il combinato disposto degli artt. 5.1.e) e 5.2 (cfr. anche commento all'art. 4.7, § 6), osservato quanto eventualmente prescritto dal legislatore in determinate materie.

Consensi antecedenti al GDPR

Il consenso raccolto ai sensi della disciplina ante Regolamento continua a essere valido, se lo era all'origine, in virtù del disposto del considerando 171: «Qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l'interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento». Il ragionamento va comunque condotto caso per caso e con molta prudenza, anche in considerazione che sostenere trattamenti su consensi assai remoti nel tempo senza averne più verificata la fondatezza appare difficilmente compatibile con il principio di accountability. Il principio di conservazione del consenso non implica in nessun modo che le acquisizioni di consenso dal 25 maggio 2018 in avanti possano restare conformi a procedure studiate sulla base della precedente disciplina e, in ipotesi, non più adeguate. Le linee guida cit. precisano, punto 16, che «se le procedure esistenti per l'ottenimento e la gestione del consenso non soddisfano i livelli previsti dal regolamento, il titolare del trattamento dovrà ottenere un nuovo consenso conforme al regolamento».

«Qualora ritenga che il consenso ottenuto in base alla vecchia normativa non rispetti le norme per il consenso fissate dal regolamento, il titolare del trattamento deve agire per conformarvisi, ad esempio mediante il rinnovo del consenso in maniera conforme al regolamento. Ai sensi del regolamento non è possibile passare da una base legittima a un'altra. Se il titolare del trattamento non è in grado di rinnovare il consenso in maniera conforme né è in grado, come circostanza una tantum, di conformarsi al regolamento basando il trattamento dei dati su una base legittima diversa garantendo nel contempo che la prosecuzione del trattamento corrisponda ai principi di correttezza e responsabilizzazione, le attività di trattamento devono essere interrotte. In ogni caso, il titolare del trattamento deve rispettare i principi di un trattamento lecito, corretto e trasparente» (EDPB, LG Cons., punto 170).

Revoca del consenso

La revoca è un atto recettizio unilaterale a forma libera con il quale si fa venire meno il consenso precedentemente prestato. La sussistenza di un diritto di revoca, come già notato, è condizione stessa della validità del consenso precedentemente espresso, cfr. considerando 42: «[...] il consenso non dovrebbe essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pregiudizio». In definitiva, la prestazione del consenso non fuoriesce mai veramente dalla sfera di controllo dell'interessato, che è libero in qualsiasi momento di effettuarla, con ciò ponendo la base del trattamento, ma anche di farne cessare l'efficacia, travolgendo la validità di quella base giuridica. Prestazione del consenso e revoca del medesimo costituiscono cioè due espressioni dello stesso diritto riconosciuto innanzitutto ai sensi dell'art. 8, par. 2 Carta UE. Prima del Regolamento, l'istituto della revoca, ancorché desumibile da principi generali, non era espressamente contemplato nella dir. 95/46/CE né nel cod. privacy pre-GDPR che l'ha trasposta, ad eccezione dell'isolata menzione in alcuni istituti di parte speciale in materia di servizi di comunicazione elettronica accessibili al pubblico. Era inoltre prevista nel contesto di alcuni provvedimenti di applicazione generale del Garante. Tuttavia, non si è mai seriamente dubitato della generale revocabilità del consenso sia a livello europeo sia in ambito nazionale. Effetto della revoca è quello di caducare il trattamento senza bisogno di ulteriori attività da parte dell'interessato. I dati devono essere conseguentemente cancellati dal titolare, ai sensi dell'art. 17, par. 1, lett. b) GDPR. Notevole la previsione del paragrafo terzo dell'art. 7, che, in caso di revoca, assicura salvezza del pregresso: «La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca».