Che cos’è il consenso dell’interessato
2. Che cos’è il consenso dell’interessato
Il consenso dell’interessato è una delle possibili basi per la liceità del trattamento dei dati personali ma, affinché sia valido, deve soddisfare determinati requisiti, desumibili in prima istanza dall’art. 4, punto 11 del GDPR.
In questa sezione proponiamo una sintesi delle Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679 (wp259 rev.01, 16-04-2018) elaborate dal “Gruppo di lavoro Articolo 29”.
Ricordiamo che AISO e Oral History Society propongono una base legale diversa dal consenso dell’interessato per legittimare la raccolta di interviste (come precisato al punto 1.1. Base giuridica del trattamento)
2.1. Requisiti del consenso
Il GDPR definisce il consenso dell’interessato all’art. 4, punto 11 come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Il consenso deve quindi essere:
a. libero
b. specifico
c. informato
d. manifesto e inequivocabile.
Come applicare in concreto questi principi per fare in modo che le liberatorie risultino valide e conformi ai requisiti indicati nel GDPR generale?
a. Libertà del consenso
Il consenso è considerato libero solo se all’interessato venga offerta l’effettiva possibilità di scegliere se accettare o meno i termini proposti, nonché la possibilità di revocare il consenso, senza subire pregiudizio.
Ciò significa che il titolare del trattamento non deve esercitare alcuna forma di coercizione o pressione, soprattutto nell’ambito di rapporti in cui vi sia un palese squilibrio di potere tra titolare e interessato. Parimenti, i trattamenti finalizzati all’esecuzione di un contratto o alla prestazione di servizi non dovranno mai essere condizionati o subordinati alla richiesta di consenso al trattamento di dati personali non strettamente necessari.
La libertà del consenso, come anche la sua specificità, è inoltre strettamente correlata al requisito della granularità: se il trattamento ha più finalità, occorre richiedere un consenso separato per ciascuna di esse, in modo da non costringere l’interessato ad accettare o rifiutare “in blocco” un insieme di termini, offrendo in tal modo una concreta possibilità di scelta tra più opzioni. Modulando le richieste, anche le eventuali revoche del consenso potranno essere selettive e non interessare la totalità del trattamento.
b. Specificità del consenso
Il requisito della specificità del consenso, intrinsecamente connesso al principio di limitazione delle finalità (v. art. 5, paragrafo 1, lett. b), rappresenta una garanzia contro l’indebita estensione delle funzionalità, ossia contro il progressivo ampliamento, o la commistione, delle finalità iniziali del trattamento dopo che l’interessato ha fornito il consenso alla raccolta dei dati.
Il trattamento deve avere finalità specifiche, chiaramente individuate ed esplicitate nell’informativa al momento della raccolta dei dati. Se, nell’ambito di uno stesso trattamento, si riscontrano più finalità specifiche, l’interessato deve avere la possibilità di scegliere in relazione a ciascuna di esse, in applicazione del criterio della granularità.
Dall’applicazione di questi principi consegue che l’ulteriore trattamento dei dati per finalità diverse da quelle per cui sono stati ottenuti richiede il rilascio di una nuova informativa all’interessato, con le eccezioni già viste. Tra queste, ricordiamo in particolare il caso in cui la comunicazione di tali informazioni risulti impossibile o implicherebbe uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In questi casi, fatte salve le condizioni e le garanzie per la tutela dei diritti e delle libertà dell’interessato di cui all’articolo 89, paragrafo 1, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni relative al trattamento da effettuare.
La specificità del trattamento comporta infine l’applicazione di una chiara separazione delle informazioni sull’ottenimento del consenso per il trattamento dei dati rispetto alle informazioni su altre questioni, affinché l’interessato sia messo in grado di valutare compiutamente l’impatto delle proprie scelte. L’art. 7 comma 2 stabilisce pertanto che la richiesta del consenso deve essere chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato: ciò significa che altre istanze, come ad esempio la cessione dei diritti d’autore o d’immagine, devono essere trattate in modo da distinguersi chiaramente, oppure in un documento distinto.
c. Informazione
In ossequio al principio chiave della trasparenza, il consenso deve contenere tutte le informazioni utili all’assunzione di una decisione consapevole da parte dell’interessato.
Ciò è ottenuto attraverso il rilascio dell’informativa, che deve avere le caratteristiche prima enunciate. In particolare, rispetto ai requisiti di chiarezza e intellegibilità deve esservi una specifica considerazione del tipo di persone cui ci si rivolge. Sul punto, il “Gruppo di lavoro Articolo 29” afferma che “il messaggio dovrebbe essere facilmente comprensibile per una persona media, non solo per un avvocato” (p. 15 delle Linee guida). Il titolare deve pertanto valutare il tipo di pubblico che fornisce i dati personali e stabilire conseguentemente le informazioni da fornire e il modo in cui fornirle.
In aggiunta a quanto indicato nel paragrafo precedente, si evidenzia che qualora esistano più titolari (congiunti) del trattamento oppure qualora i dati debbano essere trasferiti o trattati da altri titolari che intendono basarsi sul consenso iniziale (ad esempio in caso di trasferimento di un archivio a un diverso soggetto conservatore), tutti questi titolari devono essere indicati. Non è necessario fornire i nomi dei responsabili del trattamento, ma occorrerà per lo meno un elenco completo delle categorie dei destinatari dei dati.
d. Manifestazione inequivocabile
Il consenso richiede una dichiarazione o un’azione positiva inequivocabile
Deve quindi essere sempre espresso in modo attivo (ad esempio con l’apposizione di una firma, barrando una casella o rilasciando una dichiarazione verbale), in quanto non è ammessa alcuna forma di consenso tacito o presunto. In talune circostanze, il Regolamento prescrive che il consenso debba anche essere esplicito: ad esempio per il trattamento di categorie particolari di dati si deve prevedere l’acquisizione del consenso su una apposita clausola che espliciti che il trattamento andrà ad interessare anche categorie particolari di dati.
L’articolo 9 del GDPR richiede il consenso esplicito per il trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché per il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
La forma scritta non è obbligatoria ma è comunque preferibile, perché il titolare del trattamento deve poter dimostrare in ogni momento di aver ottenuto un consenso valido dall’interessato. L’obbligo di dimostrare l’esistenza e la validità del consenso, posto in capo al titolare del trattamento, sussiste infatti per tutta la durata del trattamento stesso. Al termine del trattamento, la prova del consenso deve essere conservata per il solo tempo necessario per adempiere a obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (articolo 17, paragrafo 3, lettere b) ed e) del GDPR).
Sono ammesse dichiarazioni verbali registrate, ma in questo caso è più difficile per il titolare dimostrare di aver soddisfatto tutte le condizioni per la validità del consenso.
In ogni caso, il consenso deve sempre essere ottenuto prima dell’inizio del trattamento dei dati, quindi prima di iniziarne la raccolta.
2.2. Durata del consenso e diritto di revoca
Il Regolamento non specifica alcun termine per la durata del consenso che dipenderà dal caso concreto, in particolare dalle finalità e modalità in relazione alle quali è stato prestato.
Si ricorda che qualora questi aspetti dovessero mutare in maniera considerevole, il consenso originale non sarà più valido e occorrerà raccoglierne uno nuovo. Si ricorda inoltre che all’interessato deve essere garantito il diritto di revocare il consenso in qualsiasi momento, con la stessa facilità con cui lo ha espresso. In caso di revoca del consenso, il titolare deve prontamente interrompere ogni attività di trattamento e cancellare tutti i dati raccolti, a meno che non sussista un’altra base legittima per proseguire il trattamento, come ad esempio l’ulteriore archiviazione. Tutti i trattamenti effettuati prima della revoca rimangono leciti.
GDPR
Articolo 17
Diritto alla cancellazione («diritto all'oblio»)
1. L'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l'obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
a. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
b. l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a), o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c. l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2;
d. i dati personali sono stati trattati illecitamente;
e. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f. i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.
2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:
a. per l'esercizio del diritto alla libertà di espressione e di informazione;
b. per l'adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c. per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell'articolo 9, paragrafo 2, lettere h) e i), e dell'articolo 9, paragrafo 3;
d. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
e. per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Al ricorrere delle condizioni indicate all’art. 17, par. 1 del GDPR, la cancellazione dei dati può essere richiesta anche per trattamenti effettuati su basi legali diverse dal consenso. È tuttavia importante sottolineare che, in ogni caso, i dati - se raccolti lecitamente e conservati con adeguate misure a garanzia dei diritti e delle libertà dell’interessato - non potranno essere cancellati qualora vi sia pregiudizio all'esercizio del diritto alla libertà di espressione e di informazione o se i dati siano necessari per finalità di ricerca scientifica o storica (art. 17, par. 3, lett. a) e d). Inoltre, la cancellazione delle informazioni non potrà in alcun caso riguardare gli archivi rientranti nell’ambito di tutela del Codice dei beni culturali, rispetto ai quali qualsiasi alterazione o distruzione della documentazione si configura come illecito amministrativo e penale (D.Lgs. 42/2004, art. 20 co. 1, art. 160, co. 1 e art. 169, co. 1).
L’articolo 8 delle Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica richiede che “In caso di trattamento di fonti orali, è necessario che gli intervistati abbiano espresso il proprio consenso in modo esplicito, eventualmente in forma verbale”, ciò a prescindere dalla base legale del trattamento. Quindi anche per i trattamenti effettuati per legittimo interesse il ricercatore dovrà acquisire una autorizzazione all’intervista.
Il consenso richiesto dalle Regole deontologiche differisce rispetto al consenso richiesto dal GDPR in quanto:
− non costituisce base legale del trattamento;
− pur dovendo essere esplicito, può più facilmente consistere in una registrazione verbale, in quanto legalmente non richiede tutte le formalità previste nel caso in cui il consenso sia la base legale del trattamento
− è richiesto ai soli intervistati (con l’esclusione di terze persone citate).
Oltre che un necessario requisito legale, l’acquisizione del consenso all’intervista rappresenta comunque un obbligo deontologico del ricercatore.