Consenso Trattamento Dati [spiegato velocemente]
Un argomento su cui in questi anni si dibatte fortemente è sicuramente il consenso al trattamento dei dati personali.
Occupandomi di contenuti per siti web, mi sono confrontato più volte con questo argomento. Ho notato che l’approccio a questa tematica viene fatto troppo spesso in “burocratese”, citando con vari copia e incolla quello che prevede il GDPR (link all’altra ns articolo), senza mai spiegare in parole semplici di cosa si tratta e le sue applicazioni pratiche.
Ho quindi deciso di realizzare questa guida, disseminando qua e là una serie di esempi pratici, che possono rendere più comprensibile tutte le casistiche in cui noi utenti dobbiamo fornire (o no) il consenso al trattamento dei dati personali.
Cos’è il consenso al trattamento dei dati?
Volendo partire da quella che è la semplice definizione, così come indicato anche all’interno dell’articolo 4 del General Data Protection Regulation (meglio noto con l’acronimo GDPR, appunto): il consenso al trattamento dei dati personali è una chiara manifestazione della volontà di un utente di acconsentire al fatto che i suoi dati personali (nome, cognome, indirizzo, ecc.) possano essere gestiti e mantenuti dal fornitore del servizio o anche divulgati a terzi.
Nell’ambito del GDPR e di tutto quello che concerne le normative in materia di privacy, il consenso al trattamento dei dati personali è proprio uno dei cardini su cui poggiano le interazioni fra azienda e/o sito web, che fornisce un bene o un servizio, e consumatore finale.
Affinché il consenso al trattamento dei dati possa definirsi valido, occorre che siano rispettati 6 punti specifici:
- nequivocabilità
- Libertà
- Specificità
- Informazione
- Verificabilità
- Revocabilità
Si tratta di sei semplici parole, ma che nascondono una marea di informazioni.
Quando parliamo di inequivocabilità, ad esempio, significa sicuramente che quanto riportato nel testo del consenso al trattamento dei dati personali non deve essere ambiguo o soggetto a interpretazioni .
Questo però non significa che il consenso debba essere necessariamente esplicito, potrebbe anche essere fornito in maniera implicita. Per chiarire quest’ultimo concetto, ti faccio un esempio pratico: hai presente quando, compilando un qualsiasi form online contenente i tuoi dati, a un certo punto la procedura non ti fa andare avanti se non selezioni la casella relativa al consenso del trattamento dei dati personali?
Ecco, quando tu poni il segno del flag su quella casella esprimi il tuo consenso, ma lo fai in forma implicita, con un gesto tanto semplice quanto inequivocabile. Pur essendo obbligatorio spuntarle per andare avanti nella procedura, infatti, quelle caselle non le trovi mai spuntate di default: occorre sempre la tua azione, proprio come stabilito dal GDPR.
Il consenso al trattamento dei dati deve inoltre essere libero, ovvero deve essere fornito liberamente e senza alcun tipo di costrizione.
Dietro questa semplice frase, in realtà, si nasconde un mondo di contraddizioni. Fare una dissertazione generale finirebbe solo per confonderti le idee, quindi anche in questo caso mi affiderò a un esempio pratico per dimostrarti che spesso il consenso al trattamento dei dati non è libero, e il GDPR non può farci niente al riguardo.
Immagina di scaricare una qualsiasi app sul tuo smartphone, magari una banalissima, che ti permette di aggiungere delle emoji alle tue foto. Quando scarichi un’app del genere sul tuo device, prima di poterla utilizzare avrai notato che devi fornire una serie di consensi, come quello per la geolocalizzazione, per l’accesso alla galleria delle tue foto, alla rubrica e molti altri.
In realtà, per aggiungere un paio di emoji a una foto non occorre il permesso della geolocalizzazione o per la rubrica del tuo smartphone, ma all’azienda che ha sviluppato l’app questi dati servono per motivi commerciali, quindi se non acconsenti non puoi usare l’applicazione.
Questo è un classico caso (e se ne contano a centinaia) in cui il consenso è sostanzialmente obbligato, e non libero. Si può definire quindi illegale? In realtà no, perché secondo una recente sentenza della Corte di Cassazione Italiana (numero 17278/2018) [1] [link al pdf], un'app che fornisce un servizio rinunciabile, può negare l’accesso agli utenti che non forniscono il consenso per fini commerciali.
Riprendendo l’esempio che ti ho fatto, dato che l’app per mettere le emoji simpatiche alle tue foto non te l’ha prescritta il medico, se vuoi usarla devi obbligatoriamente fornire il consenso per fini commerciali, che ti piaccia o meno. Si tratta quindi di un evidente corto circuito normativo, che a oggi non sembra avere soluzione.
Il concetto di specificità, invece, prevede che il consenso deve essere espresso per ogni finalità per cui vengono raccolti i dati.
Hai presente quando prima, a proposito dell’app per applicare emoji alle foto, ti parlavo di vari consensi distinti (geolocalizzazione, galleria foto, rubrica, ecc.)? Ecco, proprio per rispettare il principio di specificità deve prestare il consenso per ognuna di queste finalità, e non un unico “macro consenso”.
È altrettanto vero che, prendendo invece in esempio i cookie dei siti web, spesso le varie finalità sono tutte racchiuse in un unica comunicazione.
Okkio: i siti web la cui raccolta dei dati ha un’unica finalità nella barra dei cookie ha il tasto “accetta”, quelli che invece hanno più finalità hanno il tasto “accetta tutti”. Si tratta di una “finezza” che poggia sulla nostra tipica fretta di accedere ai portali web, dove cliccheremmo “la qualunque” pur di andare dritti e spediti al sodo.
Per quel che riguarda l’aspetto dell’informazione, invece, questa viene esplicitata attraverso uno specifico documento, denominato appunto informativa sulla privacy [link all’altro articolo].
Tieni conto che l’informativa sulla privacy deve essere fornita all’utente finale in tempi non sospetti, quindi ben prima che questi possa decidere di fornire i propri dati per ottenere un determinato bene o servizio
.
Anche per questo concetto ci può venire in soccorso un esempio pratico: quando ti colleghi a un qualsiasi sito web, il più delle volte il primo contenuto che vedi è quello inserito in una finestra di pop-up, dove per lo più tu clicchi “accetta” relativamente ai cookie.
Se per una volta ti soffermi qualche secondo in più su quella finestra di pop-up, noterai che c’è sempre un link che rimanda alle famose Privacy Policy, quelle che per l’appunto costituiscono l’informativa sulla privacy.
Anche in questo caso c’è un corto circuito, perché sappiamo bene che nessuno di noi legge le Privacy Policy, e ci affrettiamo ad andare direttamente al contenuto a cui siamo interessati. In questo caso, tuttavia, si tratta di un nostro mal costume, su cui il legislatore non può ovviamente far nulla.
Altro aspetto interessante è quello della verificabilità. Con questo termine, a dispetto di quanto tu possa pensare, non si indica il fatto che l’azienda deve mostrare il consenso per iscritto, ma deve semplicemente dimostrarlo. In questo caso il GDPR prevede che la ditta o il sito web deve avere uno specifico registro in cui sia riportato il come e/o il quando il soggetto ha fornito il suo consenso al trattamento dei dati personali.
Il consenso al trattamento dei dati sensibili deve anche essere revocabile, senza fra l’altro fornire alcuna motivazione. Questo significa che puoi in qualunque momento decidere di revocare il tuo consenso, e non solo ne hai diritto, ma devi poterlo fare con una procedura molto semplice.
Di norma, la revoca del consenso dovrebbe poter seguire lo stesso iter di quanto il medesimo è stato fornito: riprendendo uno degli esempi che ti ho fatto prima, se per esprimere il consenso ti è bastato mettere un flag su una casella, alla stessa maniera il sito web ti deve fornire il percorso per togliere quel flag. In alternativa, si può ricorrere a uno specifico form o a una richiesta via mail. Ricorda che per tutti quei casi in cui ti viene resa impossibile la revoca del consenso al trattamento dei dati puoi rivolgerti al Garante della Privacy [2].
Quando si deve dare il consenso al trattamento dei dati?
Il consenso al trattamento dei dati va dato tutte quelle volte che il medesimo ha finalità commerciali; inoltre, è da richiedere per di più in forma scritta, quando sono in gioco i dati sensibili, ovvero tutte quelle informazioni che permettono a terzi di risalire a tue informazioni “più intime”, quali convinzioni religiose, politiche e filosofiche, nonché gusti sessuali e stato di salute.
In realtà, come poi ti mostrerò nel paragrafo successivo, ci sono casi in cui il consenso non è richiesto.
Quando non serve il consenso al trattamento dei dati?
Come ti accennavo in precedenza, ci sono alcuni casi particolari in cui non è necessario fornire il consenso al trattamento dei dati personali. In questo caso, però, anziché affidarmi a una definizione generale, preferisco prendere fare ancora una volta degli esempi pratici.
Il mutuo
Quanto si sottoscrive un mutuo tutti i dati personali forniti sono funzionali all’erogazione del servizio. Una banca che eroga il mutuo, infatti, non vuole sapere “chi sei” per offrirti proposte commerciali (o quantomeno non è il suo primo obiettivo), bensì desidera conoscere i tuoi dati personali (soprattutto reddituali), per capire se sei in grado di pagare mensilmente le rate per l’acquisto della casa.
Affinché la banca ti conceda il mutuo, è prima tuo interesse fornirle i tuoi dati personali e dimostrare che sei un cliente affidabile. Pertanto, alla luce di questa particolare casistica, non è richiesto il consenso al trattamento dei dati.
Le carte fedeltà
Le carte fedeltà sono il perfetto strumento di marketing. Infatti, hanno finalità che avvantaggiano l’utente finale: hai diritto a sconti, ti permettono di accedere a raccolte punti, puoi vincere premi e quant’altro.
Alla luce di queste finalità, la normativa non prevede il consenso al trattamento dei dati personali.
Che poi in realtà la sottoscrizione di carte fedeltà può prevedere l’integrazione di campagne marketing più aggressive, di cui l’utente spesso è ignaro, è una storia purtroppo vecchia come il mondo.
Pubblica sicurezza
Se quando sei al volante vieni fermato a un posto di blocco per un controllo, l’agente di polizia ti fa firmare qualche modulo per il consenso al trattamento dei dati prima di chiederti la patente? No, appunto, perché tutte i controlli effettuati per motivi di pubblica sicurezza da agenti di polizia e pubblici ufficiali in generale non prevedono tale consenso.
Pubblico Registro Automobilistico
Per chi non lo conoscesse, il Pubblico Registro Automobilistico (meglio noto con l’acronimo PRA) è l’archivio ufficiale delle automobili che circolano in Italia.
È un po’ come un ufficio anagrafe, ma delle due e quattro ruote, in cui sono riportati tutti i dati di ogni singola vettura immatricolata in Italia. Per attingere al PRA e fornire dati meramente informativi, come il promemoria per la scadenza della revisione, non occorre prestare il consenso al trattamento dei dati.
Come esprimere [o revocare] il consenso
Esprimere o revocare il consenso al trattamento dei dati deve essere fatto, secondo il GDPR, con una procedura chiara e inequivocabile.
Un ennesimo esempio pratico per chiarirti il tutto.
Pensa a un qualsiasi processo di registrazione che hai dovuto effettuare su qualsiasi sito web. Hai inserito tutti i dati richiesti e, una volta riempito l’intero form, hai cliccato sul tasto “avanti” senza però ottenere risultati. Cos’è successo? A guardare con attenzione, il sito web ti indica in rosso un quadratino da selezionare obbligatoriamente, senza il quale è impossibile andare avanti. Quella casella da selezionare, in realtà, rappresenta il famoso “consenso inequivocabile” al trattamento dei dati personali.
La casella da selezionare rappresenta il metodo più usato dai portali online per richiedere il consenso al trattamento dei dati personali.
E per la revoca, invece?
Secondo quanto previsto dal GDPR, anche per la revoca la procedura dovrebbe essere altrettanto semplice, ma nelle ricerche che ho fatto le stesse caselle da deselezionare non le ho mai trovate. Le aziende ovviamente hanno tutto l’interesse affinché l’utente finale non revochi il consenso al trattamento dei dati personali, e quindi fanno tutto quello che è in loro potere per “disincentivare” questa operazione.
Tuttavia, anche se non è altrettanto semplice come la richiesta di consenso, la revoca si può ottenere anche solo compilando specifici moduli e/o contattando direttamente i responsabili del sito web via mail o chat.
Il caso Google
Google è uno dei più importanti colossi del web, e ormai manco ci facciamo più caso quando viene messo nel mirino dell’Antitrust e sanzionato per qualche attività che trae giovamento dalla sua posizione di monopolio.
Certo, il più delle volte le sanzioni sono ridicole, ma questa è un’altra storia.
In realtà Google sulla procedura di revoca consenso è molto più avanti rispetto ad altri portali: grazie all’indirizzo myactivity.google.com [2], puoi accedere alla configurazione del tuo Account Google e cancellare tutte le attività che hai fatto online, eliminando di fatto i vari consensi che hai prestato.
Possiamo quindi dire bravo a Google?
Ni.
Se è vero che da Mountain View ti permettono di gestire con la massima libertà tutti quelli che sono i tuoi percorsi online fatti attraverso l’account Google, è anche vero che collegandoti a myactvity.google.com non troverai da nessuna parte un tasto con una dicitura chiara che reciti “revoca consenso” o cose del genere, ma un menù talmente ampio che può paradossalmente scoraggiare l’utente medio.
Offrirti apparentemente la massima libertà scoraggiandoti però implicitamente: ricorda questa frase perché rappresenta il “mantra” di sempre più siti web.
Il diritto alla cancellazione
Il diritto alla cancellazione, o diritto all’oblio, è previsto dall’articolo 17 del GDPR ed è strettamente correlato alla revoca del consenso del trattamento dei dati personali.
Se chiedi infatti la semplice revoca, il sito web di turno è ovviamente obbligato a esaudire la tua richiesta, ma questo non significa che i dati, eventualmente ceduti a terzi, siano rimossi.
Per far si che tutto quello che riguarda i tuoi dati personali sia cancellato dalla rete, devi effettuare una specifica richiesta di cancellazione. A differenza però della revoca, la richiesta di cancellazione deve essere necessariamente motivata. Fra le motivazioni che puoi usare per il diritto all’oblio troviamo:
- I dati personali non sono più necessari rispetto alle finalità per cui sono stati raccolti;
- Ti opponi al trattamento e non ci sono motivi legittimi per continuare ad avere i dati online;
- I tuoi dati sono stati trattati in maniera illecita.
Tutto semplice?
Mica tanto.
Ci sono una valanga di motivi per cui il diritto all’oblio potrebbe non esserti concesso.
In linea generale, i tuoi dati personali e le informazioni che ti riguardano potrebbero non essere cancellate nei casi in cui la rimozione contrasti con libertà di espressione e informazione, e/o per motivi di interesse pubblico.
Cosa intendo?
Te lo spiego subito.
Se sei un tipo come me, che non mi conoscono manco nel condominio dove abito, non avrai alcun problema. Se però godi di una certa fama per un qualche motivo, non tutto quello che fai purtroppo fa parte della tua sfera privata.
Poniamo tu riesca, chissà come, a invitare a cena una modella o un attore famoso. Se il tuo invito è legato a qualche interesse amoroso, probabilmente vorrai un minimo di privacy, e invece il tuo bel faccino potrebbe quasi sicuramente finire su qualche giornale di gossip fotografato dai paparazzi.
Il primo pensiero è ovviamente quello di opporti, ma il fatto che tu abbia invitato a cena un personaggio famoso ti getta automaticamente nel tritacarne del gossip, dove il diritto di cronaca ti sbatte in prima pagina sulle riviste specializzate, che a te piaccia o meno.
Qual è la differenza fra dati personali e dati sensibili?
Uno degli equivoci più comuni in cui puoi cadere, quando si parla del consenso al trattamento, è quello di confondere dati personali e dati sensibili. Io stesso agli inizi confondevo le due cose, ma oggi fortunatamente ho le idee più chiare.
I dati personali sono quelle informazioni che possono immediatamente ricondurre a una persona fisica, quali ad esempio nome, cognome, indirizzo, codice fiscale e numero di telefono. Rientrano nei dati personali anche quelle informazioni che permettono di individuare un utente sul web, come ad esempio la mail.
I dati sensibili sono invece quelli che riguardano la sfera intima e privata di un soggetto, come l’orientamento sessuale, l’etnia, le opinioni politiche, il credo religioso e perfino l’eventuale appartenenza sindacale.
Conclusione
Come ho avuto più volte modo di mostrarti in questa guida, il consenso al trattamento dei dati personali è una tematica tanto noiosa quanto importante.
In un mondo, come quello del web, dove i contenuti devono essere fruiti “tutti e subito”, non mi illudo che, dopo aver letto questa guida, tu ti prenda del tempo per leggere un’informativa sulla privacy, prima di prestare il tuo consenso al trattamento dei dati personali.
Tuttavia, se dopo aver letto queste righe, hai capito quanto siano importanti i tuoi dati personali e che solo tu puoi preservarli da “occhi indiscreti”, vorrà dire che le mie parole hanno fatto centro!
Qualora invece tu voglia dire la tua sull’argomento, rispondi pure nella sezione commenti che trovi qui sul fondo.