Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto civile
Privacy e Cybersecurity

La libertà nel consenso al trattamento dei dati

Avv. Luigi Santoro 16/01/20
Scarica PDF Stampa

Premessa

La Carta dei diritti fondamentali dell’Unione Europea, all’art. 8, comma 2, stabilisce che i dati devono essere trattati, per finalità determinate, in base al consenso della persona interessata o a un altro fondamento previsto dalla legge.

Il consenso, ai sensi dell’art. 6, prg. 1, lett. a), del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio (c.d. General Data Protection Regulation o GDPR), rappresenta una delle condizioni di liceità per il trattamento dei dati personali, a patto che lo stesso sia libero, specifico, informato e inequivocabile[1].

In particolare, la libertà è presupposto imprescindibile del consenso, ne forgia il valore e ammanta di significato giuridico la sua manifestazione all’esterno.

Risulta quindi di fondamentale importanza stabilire quando il consenso possa considerarsi effettivamente libero, di guisa da costituire idonea base giuridica del trattamento dei dati.

Sul punto, sia il GDPR[2] che le linee linee guida del Working Party 29 (c.d. WP29) in materia di consenso, adottate anche dall’European Data Protection Board, considerano l’esistenza di eventuali condizionamenti un indice di carenza di libertà nel consenso.

Tuttavia, la Suprema Corte[3] ha di recente precisato che, in presenza di determinate circostanze, non tutti i condizionamenti inficiano sulla libertà (e quindi sulla validità) del consenso. La sentenza ha suscitato scalpore tra gli addetti ai lavori, in quanto sembra affermare un principio che mal si concilia con il GDPR e con le citate linee guida.

Il presente contributo tenta di ricostruire, attraverso un esame coordinato delle diverse posizioni in campo, lo stato dell’arte in tema di libertà nel consenso al trattamento dei dati, indicando, de jure condito, alcune possibili coordinate ermeneutiche.

Volume consigliato

Marketing e Trattamento Dati

Marketing e Trattamento Dati

L’attività promozionale e commerciale può essere svolta attraverso molteplici strumenti e canali (e-mail, SMS, messaggi diretti sui social o push notification) e mediante diverse iniziative e operazioni (come organizzazione di contest e eventi gratuiti o pubblicazione di immagini e contenuti su blog o su social network) da cui deriva un trattamento di dati personali che obbliga, fin dalla fase di pianificazione e pro- gettazione, a tenere in considerazione le prescrizioni del Regolamento UE 2016/679 (GDPR) e del D.Lgs.n. 196/2003 (Codice privacy), così come modificato dal D.Lgs. n. 101/2018 (decreto di adeguamento dell’ordinamento nazionale al Regolamento UE 2016/679).Il volume si rivolge, pertanto, sia agli operatori commerciali che ai loro consulenti, con l’obiettivo di chiarire le regole da seguire per svolgere attività di marketing nel rispetto della normativa in materia di protezione dei dati personali, indicando i profili di maggior rilievo da dover considerare per non commettere errori e, di conseguenza, per evitare sia il rischio di sanzioni e responsabilità, sia quello – non meno rilevante – di compromettere l’immagine aziendale o professionale.ROBERTA RAPICAVOLIAvvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti.È autrice di libri e si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.

Rapicavoli Roberta | 2019 Maggioli Editore

24.00 €  22.80 €

Scopri di più

La natura del consenso

La parola “consenso” deriva dal latino consensus e indica la conformità di voleri tra due o più parti, l’incontro delle volontà dei paciscenti che, utilizzando una terminologia economica, realizza l’ “ottimo paretiano” delle relazioni negoziali.

Non a caso il nostro ordinamento prevede che il consenso della parti sia idoneo a far nascere il vincolo obbligatorio.

Il valore del consenso è ancor più forte nei contratti ad effetti reali, ovvero quelli che hanno per oggetto il trasferimento della proprietà di una cosa determinata o la costituzione e il trasferimento di un diritto reale o di altro diritto, nei quali, in virtù del principio consensualistico, gli effetti contrattuali si producono a seguito del consenso delle parti legittimamente manifestato (art. 1376 c.c.).

Il consenso è alla base dell’accordo delle parti e quest’ultimo, ai sensi dell’art. 1325 c.c., è annoverato tra i requisiti fondamentali del contratto, in linea con la nota definizione di Ulpiano “est pactio duorum pluriumve in idem placitum consensus[4].

La rilevanza del consenso richiede che la volontà ad esso sottesa si formi in piena consapevolezza e libertà. Non a caso e salvo eccezioni, per la stipula di contratti è richiesta sia la capacità giuridica che quella di agire, a pena di annullabilità dell’atto. Inoltre, l’art. 1427 c.c. prevede l’annullamento del contratto nel caso in cui il consenso venga dato per errore, estorto con violenza o carpito con dolo.

La volontà incide sulla stessa natura giuridica del consenso. Ci si interroga, infatti, in dottrina se al consenso possa ascriversi natura di atto giuridico in senso stretto o di negozio giuridico. Come noto, tradizionalmente, per atto giuridico in senso stretto si intende il fatto dell’uomo voluto e consapevole a cui l’ordinamento attribuisce rilevanza giuridica e i cui effetti sono predeterminati dalla legge (in relazione a questi ultimi la volontà dell’uomo è irrilevante)[5]. Nel negozio giuridico, invece, la volontà e la consapevolezza non incidono solo sull’atto in sé, ma involgono anche gli effetti che ne derivano, dando pieno significato al concetto di autonomia negoziale[6].

Invero, a parere di chi scrive, l’esame delle disposizioni del GDPR in materia di consenso al trattamento dei dati personali induce a propendere per la natura negoziale dello stesso.

Infatti, chi intende trattare i dati di un soggetto sulla base del suo consenso deve fornire a questi apposita e specifica informativa contenente, ai sensi degli artt. 13 e 14 del GDPR, una serie di informazioni, tra le quali: l’indicazione del titolare del trattamento, le finalità del trattamento medesimo, l’indicazione dei soggetti a cui i dati verranno comunicati e il periodo di conservazione dei dati medesimi. Il consenso dell’interessato involge tutti gli elementi indicati nell’informativa, sicché la volontà di acconsentire al trattamento si accompagna alla volontà degli effetti che ne derivano e che sono desumibili dall’informativa medesima.

E’ pur vero che la legge prevede quale effetto automatico del consenso la liceità del trattamento (art. 6 prg. 1, lett. a) del GDPR), ma tale effetto è subordinato alla corretta indicazione delle finalità del trattamento e alla concreta libertà di aderirvi attraverso la manifestazione della propria volontà.

A conforto di quanto sostenuto si evidenzia che, fatte salve le eccezioni tassativamente stabilite dalla legge[7], il consenso è valido se rilasciato da soggetti maggiorenni, ovvero soggetti che possiedono la capacità di agire (rectius la capacità negoziale).

Inoltre, la prevista possibilità di revoca del consenso[8], con effetti ex nunc, che fa pendant con la revoca che il codice civile prevede in relazione ad alcuni negozi giuridici[9], sembra avallare la tesi esposta.

Si fa presente che la Corte di Cassazione nel 2016, in una vicenda che riguardava il diritto all’utilizzo dell’immagine di un personaggio pubblico, tematica da sempre connessa al diritto alla riservatezza, ha ribadito attraverso un obiter dictum la natura negoziale del consenso[10].

Ebbene se il consenso ha natura negoziale, ne consegue che il soggetto interessato dal trattamento deve essere libero non solo nel rilasciare o meno il consenso, ma deve anche poter  liberamente valutare quali siano gli effetti che ne conseguono e i trattamenti che ne derivano e, se del caso, scegliere quale acconsentire e quale negare.

Proprio alla libertà del consenso sono dedicate alcune disposizioni del GDPR, nonché le linee guida del WP29.

Il consenso libero secondo la normativa europea

L’art. 7, prg. 4, del GDPR, stabilisce che al fine di valutare la libertà del consenso al trattamento dei dati “si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Inoltre, l’ultimo periodo del considerando n. 42 del GDPR precisa che “[i]l consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.

Le suddette disposizioni individuano due indicatori della probabile assenza di libertà nel consenso: (i) la richiesta, per l’erogazione di una prestazione a cui si ha interesse, di un consenso al trattamento di dati non necessari, senza il quale la prestazione medesima non viene effettuata; (ii) la possibilità che dal rifiuto del rilascio del consenso derivino pregiudizi all’interessato.

Il contenuto delle citate norme regolamentari  viene esplicitato nelle “Linee guida sul consenso ai sensi del regolamento (UE) 2016/679[11], approvate anche dall’European Data Board, organismo a cui è affidato il compito, tra gli altri, di garantire l’applicazione coerente nell’Unione europea del Regolamento UE 2016/679. Infatti, nelle predette linee guida si legge che “[d]i norma, il consenso può costituire la base legittima appropriata solo se all’interessato vengono offerti il controllo e l’effettiva possibilità di scegliere se accettare o meno i termini proposti o rifiutarli senza subire pregiudizio[12].

Il condizionamento, secondo il WP29, sarebbe ancora più evidente nel caso di trattamento di dati non necessari al servizio richiesto, infatti in tal caso il consenso eventualmente prestato non legittimerebbe comunque il trattamento, quest’ultimo da considerarsi iniquo[13].

Le linee guida precisano che qualsiasi forma di condizionamento del consenso, azione di pressione o influenza inappropriata sull’esercizio della volontà dell’interessato, compresa anche l’eventualità che il consenso sia parte non negoziabile delle condizioni generali di contratto/servizio, rende il consenso invalido. A titolo esemplificativo, il WP29 riporta l’esempio di una società che mette a disposizione degli utenti un’applicazione per il fotoritocco, condizionando l’utilizzo della stessa al trattamento di dati non necessari all’applicazione in sé. In tale caso, il consenso non può essere considerato liberamente espresso[14].

Lo stesso legislatore europeo, nel considerando n. 43 del Regolamento de quo, individua una presunzione relativa[15] di consenso “non libero” nei casi in cui “non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Secondo il WP29, il Regolamento europeo mirerebbe a evitare che il trattamento dei dati personali possa trasformarsi indirettamente in una controprestazione contrattuale. L’obbligo di acconsentire al trattamento non necessario di dati personali per poter usufruire di un determinato servizio assume la natura di un vero e proprio corrispettivo obbligatorio, idoneo a privare l’interessato del necessario controllo dei propri dati personali. Naturalmente, non rientrano in tali casistiche le fattispecie in cui il trattamento dei dati è necessario per l’esecuzione di un contratto, ipotesi quest’ultima che configura una distinta condizione di liceità ai sensi dell’art. 6 del GDPR.

A fronte della richiesta di un prestatore di servizi di acconsentire al trattamento di dati non necessari al fine di ottenere la prestazione a cui si ha interesse, l’interessato potrebbe benissimo rifiutarsi e cercare un altro fornitore. Ebbene, tale possibilità non fa venir meno, secondo il WP29, il condizionamento nel consenso. Si legge nelle linee guida, infatti che “il consenso non possa considerarsi prestato liberamente se il titolare del trattamento sostiene che esiste una scelta tra il suo servizio che prevede il consenso all’uso dei dati personali per finalità supplementari, da un lato, e un servizio equivalente offerto da un altro titolare del trattamento, dall’altro. In tal caso la libertà di scelta dipenderebbe dagli altri operatori del mercato e dal fatto che l’interessato ritenga che i servizi offerti dall’altro titolare del trattamento siano effettivamente equivalenti. Ciò implicherebbe inoltre l’obbligo per il titolare del trattamento di monitorare gli sviluppi del mercato per garantire la continuità della validità del consenso per le sue attività di trattamento dei dati, in quanto un concorrente potrebbe modificare il suo servizio in un momento successivo. Di conseguenza il consenso ottenuto con questa argomentazione non rispetta il regolamento generale sulla protezione dei dati[16].

Le linee guida in esame, quindi, sembrano non lasciar spazio a dubbi riguardo alle caratteristiche che un consenso libero dovrebbe avere.

Tuttavia, di recente, la Corte di Cassazione ha assunto una decisione che sembra porsi in contrasto con le indicazioni fornite dal Working Party 29.

La sentenza della Corte di Cassazione

La prima Sezione civile della Suprema Corte, con la sentenza  n. 17278 del 2 luglio 2018, è intervenuta in una vicenda che vedeva una società offrire un servizio di newsletter su argomenti attinenti alla finanza, al fisco, al diritto e al lavoro, a condizione che l’utente acconsentisse al trattamento dei dati per l’invio alla propria casella di posta di comunicazioni promozionali e informazioni commerciali, anche da parte di terzi.

E’ opportuno premettere che, sebbene la vicenda prendeva le mosse in un periodo antecedente all’entrata in vigore del Regolamento UE 2016/679, il principio sancito dagli Ermellini è valido anche nella vigenza dell’attuale normativa europea. Infatti, l’art. 23 del D.Lgs. n. 196/03 (articolo successivamente abrogato dal D.Lgs. n. 101/2018), già richiedeva un consenso libero che, in base anche alle indicazioni fornite dal Garante per la protezione dei dati personali, si declinava nell’assenza di condizionamenti da parte del titolare del trattamento. Quindi, il GDPR e le linee guida del WP29 si pongono in continuità con principi consolidati in tema di consenso libero. Non a caso la stessa Corte di legittimità, nella sentenza in commento, richiama il GDPR (seppur successivo alla vicenda sottoposta al suo vaglio) per meglio definire la portata dell’art. 23 citato.

Entrando nel merito della pronuncia, occorre innanzitutto rilevare che la Cassazione tenta di delineare i contorni della nozione di consenso ai fini della normativa sulla protezione dei dati personali, precisando che ad essa non può essere attribuita semplicemente lo stesso significato che assume il consenso nella disciplina negoziale del codice civile. Infatti, ai fini privacy, è richiesto che il consenso venga prestato da un soggetto informato, ovvero un soggetto a cui vengano fornite tutta una serie di informazioni che oggi sono indicate negli artt. 13 e 14 del GDPR.

Quindi non solo il consenso non deve essere viziato, circostanza per la quale l’ordinamento appronta i rimedi di cui agli artt. 1428, 1435 e 1439 c.c., ma deve essere un “consenso informato”, analogamente a quanto previsto in campo medico per l’erogazione di prestazioni sanitarie.

Di conseguenza, precisa la Corte, il consenso “è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l’intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento. In tal senso va inteso il dato normativo alla luce del quale deve trattarsi di un consenso libero, ossia pienamente consapevole ed informato e non già frutto di alcun condizionamento, e specifico, ossia inequivocabilmente riferito a ciascun particolare effetto del trattamento”.

Sin qui il pensiero dei giudici di legittimità sembra essere in linea con la posizione del WP29.

Tuttavia, la Cassazione aggiunge che l’esistenza di un condizionamento non possa essere presunta a priori, ma la stessa deve essere valutata tenendo conto della fungibilità e dell’irrinunciabilità del servizio richiesto.

Nel caso sottoposto al loro vaglio, i giudici di legittimità hanno considerato fungibile il servizio informativo derivante dalla newsletter di cui sopra, in quanto è possibile ottenere agevolmente le informazioni a cui servizio mira per altra via, anche a pagamento. L’eventuale rinuncia a tale servizio, secondo la Cassazione, non comporterebbe un gravoso sacrificio.

La Suprema Corte, inoltre, evidenzia che se si avallasse la tesi del Garante della privacy, secondo la quale il gestore del portale informativo non potrebbe subordinare l’erogazione della prestazione al consenso al trattamento dei dati per fini commerciali, “si finirebbe per «delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente»: e, in buona sostanza, per obbligare così il gestore del portale a rinunciare al tornaconto economico dell’operazione che egli compie, proveniente dall’attività pubblicitaria realizzata tramite l’impiego dei dati personali acquisiti. Prosegue la Corte precisando che “l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato”.

La sentenza appena illustrata fissa quindi alcuni principi in tema di consenso al trattamento dei dati, che possono essere così compendiati: (i) non è necessariamente condizionato il consenso al trattamento dei dati non necessari ad un servizio fungibile e rinunciabile di cui si chiede la prestazione, anche se il consenso è condizione per poter usufruire del servizio medesimo; (ii) è ammissibile lo scambio dei dati personali quale “corrispettivo” al servizio (fungibile o rinunciabile) ricevuto, purché esso derivi da un consenso pieno e in alcun modo “coartato”.

La Cassazione sembra, quindi, porsi in contrasto con le indicazioni contenute nelle citate linee guida, nelle quali si legge che la richiesta di un consenso al trattamento di dati personali non necessari al servizio richiesto, quale conditio sine qua non per l’erogazione del servizio medesimo, è indice di un consenso non libero, anche nel caso in cui tale servizio potrebbe essere richiesto altrove.

L’apparente contrasto tra i principi sanciti dalla Suprema Corte e le indicazioni delle citate linee guida ha generato una situazione di incertezza tra gli addetti ai lavori che può essere superata attraverso una lettura coordinata di entrambe le posizioni.

La lettura coordinata delle posizioni in campo

L’art. 7, prg. 4, del GDPR, come sopra illustrato, dispone che nel valutare la libertà del consenso si tiene in massima considerazione l’eventualità che l’esecuzione di un contratto o la prestazione di un servizio siano condizionate alla prestazione del consenso al trattamento di dati personali non necessario.

Il legislatore europeo, quindi, ha introdotto un criterio di valutazione della libertà di consenso che, seppur abbia un peso notevole nel processo valutativo, non è di per sé decisivo. Infatti la norma non introduce una presunzione assoluta, ma demanda comunque all’operatore la valutazione in concreto della fattispecie.

La valutazione in concreto implica che l’interprete debba soppesare tutti gli elementi del caso, senza aprioristiche e astratte considerazioni. Sicché, la previsione di una prestazione condizionata al consenso al trattamento di dati non necessari o comunque trattati per finalità diverse, seppur debba essere presa in massima considerazione (utilizzando la terminologia del Regolamento), non è necessariamente decisiva per ritenere scalfita la libertà nel consenso.

A tal proposito, la Suprema Corte, individua un criterio per individuare i casi in cui il procedimento volitivo dell’interessato viene effettivamente condizionato: tali sono le fattispecie in cui il servizio richiesto sia al contempo infungibile e irrinunciabile.

Gli Ermellini non specificano cosa si intenda per fungibilità e irrinunciabilità, né se tali caratteristiche debbano sussistere congiuntamente o meno, ma dall’esame della sentenza suddetta si inferisce che tali non sono i servizi che possono acquisirsi per altra via senza gravoso sacrificio.

A parere di chi scrive, alla luce del ragionamento della Cassazione nel casus decisus, appare ragionevole ritenere che la fungibilità non vada intesa in senso letterale e oggettivo, quale insostituibilità assoluta del servizio con un altro, ma vada definita tenendo conto del carattere rinunciabile o meno del servizio in quanto sostituibile con altro senza un gravoso sacrificio per l’interessato.

In altre parole, la valutazione circa la libertà del consenso deve tenere in considerazione, in maniera congiunta, i caratteri di infungibilità e irrinunciabilità della prestazione, accedendo ad una interpretazione soggettiva delle stesse, scevra da presunzioni assolute.

Un servizio soggettivamente infungibile e irrinunciabile è in grado di perturbare il procedimento volitivo dell’interessato condizionandone il consenso.

In presenza di tali circostanze, il consenso preteso per l’erogazione della prestazione e afferente a dati non necessari non può essere considerato libero, ma diventa uno strumento di pressione lesivo dell’autodeterminazione dell’interessato.

Il principio sancito dalla Corte di legittimità, pur del tutto compatibile con il tenore letterale dell’art. 7, prg. 4, del GDPR, sembra porsi in contrasto con il considerando n. 43 e con le linee guida del WP29, i quali, come già illustrato, ravvisano nell’ipotesi di consenso al trattamento di dati personali non necessari quale condizione per l’erogazione di una prestazione richiesta, un esempio di consenso non liberamente prestato.

Invero, come noto, i considerando delle norme europee non hanno efficacia normativa o vincolante, ma rappresentano un ausilio per l’interpretazione delle norme a cui si riferiscono. Pertanto, un considerando non può divergere dal contenuto della norma o aggiungere elementi che la norma non contempla.

Nel caso di specie, l’art. 7, prg. 4, indica di tenere nella massima considerazione le fattispecie come quella in esame, senza introdurre una presunzione legale. Pertanto il considerando n. 43 va interpretato in modo conforme alla disposizione regolamentare e deve essere inteso nel senso che determinate circostanze rappresentano un indice di assenza di libertà che tuttavia deve essere comunque vagliata nel caso concreto.

Allo stesso modo, le linee guida del WP29 (ora dell’ European Data Board) non possono contrastare con il dettato normativo del GDPR, introducendo una presunzione che il Regolamento non prevede, ma possono esplicitarne il contenuto facilitandone la comprensione e l’applicazione, anche attraverso l’indicazione di indici che in base all’id quod plerumque accidit rivelano un possibile condizionamento del consenso.

Prendendo le mosse dalle considerazioni appena svolte, si evince che in realtà il contrasto tra i principi sanciti dalla giurisprudenza di legittimità e quelli ricavabili dalle citate linee guida è solo apparente, ma entrambi sono volti a garantire la piena libertà nel consenso, in assenza di effettivi e concreti condizionamenti.

Nel valutare ciò, non bisogna stigmatizzare le condotte di quei soggetti che offrono servizi gratuiti a fronte del consenso a trattare i dati personali per finalità di comunicazione e promozione, anche attraverso trasferimento a terzi, per i quali quindi l’utilizzo dei dati rappresenta nella sostanza un corrispettivo.

Tali servizi accedono alla categoria delle prestazioni gratuite economicamente interessate, sicché i soggetti che le erogano ricevono un vantaggio economico diretto o indiretto dal trattamento dei dati. Se non vi fosse alcun interesse economico, ci troveremmo nel campo delle liberalità e risponderebbero a una causa donandi.

L’ordinamento non vieta l’utilizzo dei dati quale prestazione corrispettiva all’utilizzo di un determinato servizio e sono frequentissimi i casi di imprese che offrono diversi servizi gratuiti in cambio del consenso a trattare i dati per varie finalità.

Molti dei servizi offerti gratuitamente si possono acquistare da altri fornitori, per cui l’interessato è spesso libero di scegliere se acconsentire all’utilizzo dei propri dati per usufruire gratuitamente delle prestazioni offerte, oppure rivolgersi altrove pagando un corrispettivo economico.

In tali ipotesi non si ravvisa alcun condizionamento, infatti nessuno può pretendere l’erogazione gratuita di un servizio. Conseguentemente, la rinuncia ad un servizio gratuito non costituisce un “gravoso sacrificio” idoneo a condizionare il consenso dell’interessato.

Naturalmente la libertà nel consenso implica che l’interessato sia in grado di conoscere tutte le finalità e le modalità del trattamento, al fine di valutarne l’adesione o meno.

E’ chiaro che il titolare del trattamento si trova in una posizione di forza rispetto al soggetto a cui si riferiscono i dati, determinata da un gap informativo simile a quello che si viene a creare nel cosiddetto “secondo contratto” (business to consumer). Proprio per tale motivo, il GDPR impone una serie di obblighi informativi (artt. 13 e 14) il cui scopo è rendere l’interessato consapevole e adeguatamente informato delle conseguenze del suo consenso.

La corretta informazione, unitamente agli indici indicati dalla Cassazione e alle indicazioni delle linee guida del WP29, rilette in una chiave soggettiva e priva di automatismi, consentono di prevenire abusi e pressioni illecite sulla volontà dell’interessato.

D’altronde, se è vero che, come affermava Socrate, “il sapere rende liberi, è l’ignoranza che rende prigionieri”, si può concludere che il consenso al trattamento dei dati deve ritenersi libero se frutto della piena conoscenza da parte dell’interessato, ovvero se informato, consapevole e non condizionato dalla prospettiva che, negando lo stesso, si vada incontro a un pregiudizio ravvisabile in un gravoso sacrificio.

Volume consigliato

Marketing e Trattamento Dati

Marketing e Trattamento Dati

L’attività promozionale e commerciale può essere svolta attraverso molteplici strumenti e canali (e-mail, SMS, messaggi diretti sui social o push notification) e mediante diverse iniziative e operazioni (come organizzazione di contest e eventi gratuiti o pubblicazione di immagini e contenuti su blog o su social network) da cui deriva un trattamento di dati personali che obbliga, fin dalla fase di pianificazione e pro- gettazione, a tenere in considerazione le prescrizioni del Regolamento UE 2016/679 (GDPR) e del D.Lgs.n. 196/2003 (Codice privacy), così come modificato dal D.Lgs. n. 101/2018 (decreto di adeguamento dell’ordinamento nazionale al Regolamento UE 2016/679).Il volume si rivolge, pertanto, sia agli operatori commerciali che ai loro consulenti, con l’obiettivo di chiarire le regole da seguire per svolgere attività di marketing nel rispetto della normativa in materia di protezione dei dati personali, indicando i profili di maggior rilievo da dover considerare per non commettere errori e, di conseguenza, per evitare sia il rischio di sanzioni e responsabilità, sia quello – non meno rilevante – di compromettere l’immagine aziendale o professionale.ROBERTA RAPICAVOLIAvvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti.È autrice di libri e si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.

Rapicavoli Roberta | 2019 Maggioli Editore

24.00 €  22.80 €

Scopri di più

 

 

Note

[1] Art. 4, prg. 1, n. 11, Regolamento UE 2016/679.

[2] Art. 7, prg. 4, Regolamento UE 2016/679.

[3] Cass. civ., Sez. I, sentenza 2 luglio 2018, n. 17278.

[4] “Patto è l’accordo consensuale di due o più persone su uno stesso oggetto contrattuale”.

[5] Cfr. F. GAZZONI, Manuale di diritto privato, ESI, Napoli, 2010, p. 83.

[6] Cfr. F. GAZZONI, Manuale di diritto privato, ESI, Napoli, 2010, p. 86.

[7] L’art. 6, prg. 1, del GDPR stabilisce che “[…]per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni. In ragione di tale disposizione, l’art. 2-quinquies del D.Lgs. n. 196/03, comma 1, stabilisce che “In attuazione dell’articolo 8, paragrafo 1, del Regolamento, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società  dell’informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di età inferiore a quattordici anni, fondato sull’articolo 6, paragrafo 1, lettera a), del Regolamento, è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”.

[8] Art. 7, prg. 3, GDPR.

[9] A titolo esemplificativo, si veda la revoca della procura (art. 1396 c.c.) e la revoca del mandato (art. 1723 c.c.).

[10] Cass. civ., Sez. I, sentenza 29 gennaio 2016, n. 1748.

[11] La cui ultima versione risale al 10 aprile 2018.

[12] Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, pag. 3.

[13] Ibidem, pag. 4.

[14] Ibidem, pag. 6.

[15] Secondo il WP29, infatti, incomberebbe su titolare del trattamento l’onere di provare che il consenso sia stato liberamente prestato nonostante il condizionamento, anche se tali ipotesi sarebbero comunque eccezionali.

[16] Ibidem, pag. 11.

Avv. Luigi Santoro

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche

diritto europeo e internazionale
Privacy e Cybersecurity
Trattamento illecito dei dati: CGUE sul risarcimento danno
Luisa Di Giacomo 26/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Diritto civile
Locazioni
Locazioni commerciali: contenimento della spesa pubblica e recesso dal contratto
Giuseppe Bordolli 26/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Diritto civile
Condominio
Compenso amministratore di condominio: deve essere specificato nella nomina
Valerio De Cataldis 25/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Smarrimento esame istologico della paziente: sanzione del Garante privacy
Pier Paolo Muià 25/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;