Il concetto di consenso al trattamento dei dati personali secondo la Corte di giustizia
di Mirko Forti
Il concetto di consenso al trattamento dei dati personali secondo la Corte di giustizia
La Corte di giustizia dell’Unione europea si è espressa in merito alla legittimità della raccolta del consenso al trattamento dei propri dati personali attraverso moduli predefiniti. L’utilizzo di tali documenti non deve pregiudicare infatti i diritti dei soggetti interessati previsti dalle normative dell’Unione europea.
Le modalità di raccolta del consenso utilizzate nei confronti di una pluralità di soggetti
Le aziende che si rivolgono a un pubblico non preventivamente determinato di potenziali clienti possono impiegare moduli predefiniti per procedere alla raccolta del consenso dei soggetti interessati in merito al trattamento dei loro dati personali. Questa prassi si rivela necessaria per avere un risparmio di tempo, e quindi di denaro, evitando un dialogo individuale con ogni singolo individuo coinvolto. L’utilizzo di questi documenti non deve però pregiudicare le prerogative stabilite a tutela della privacy. La Corte di giustizia dell’Unione europea si è recentemente trovata a doversi pronunciare in merito alla legittimità di tali procedure di raccolta del consenso nella causa Orange România SA[1]. Sono conformi alla normativa rilevante in tema di data protection? Quali accorgimenti devono adottare le società intenzionate ad avvalersi di tali procedure nei rapporti con i propri clienti? Per rispondere a queste domande occorre però introdurre brevemente i fatti da cui ha avuto origine la causa in questione.
I fatti di causa
L’Autorità Garante in materia di trattamento dei dati personali della Romania (ANSPDCP) ha inflitto alla Orange România, una compagnia telefonica, una multa per aver raccolto e archiviato le copie dei documenti di identità dei propri clienti senza un loro previo consenso. Il Garante ha affermato che la Orange România ha fornito servizi di telefonia mobile, nel periodo compreso tra il 1° e il 26 Marzo 2018, sulla base di contratti che contenevano una clausola che specificava che i clienti acconsentivano all’archiviazione di copie dei propri documenti identificativi e che erano stati informati in merito a questa procedura. La ANSPDCP ha però osservato che tale clausola era stata precedentemente selezionata dal responsabile del trattamento e non dai singoli clienti.
Il Tribunale di Bucarest, investito della questione in sede giudiziale, ha ritenuto necessario chiedere chiarimenti alla Corte di giustizia dell’Unione europea in merito alle condizioni in base alle quali può ritenersi valido il consenso dei soggetti interessati al trattamento dei dati personali che li riguardano.
La decisione della Corte di giustizia dell’Unione europea
La Corte, chiamata a decidere in sede di rinvio pregiudiziale, ha indicato le caratteristiche principali che il consenso prestato deve avere. Secondo la Direttiva 95/46[2], ancora applicabile ai fatti in questione poiché avvenuti prima dell’entrata in vigore del Regolamento (UE) 2016/679[3] (GDPR), il consenso deve essere una manifestazione inequivocabile (art.7a) della volontà libera, specifica e informata della persona che acconsente alla condivisione e al trattamento dei propri dati (art.2h). Queste disposizioni richiedono quindi un’espressione attiva e consapevole del soggetto interessato a tal proposito. Il GDPR si esprime sulla stessa lunghezza d’onda, richiedendo una dichiarazione o un’azione positiva inequivocabile per rappresentare il consenso (art.4.11).
La giurisprudenza della Corte, basandosi su questi presupposti normativi, si è sempre espressa in maniera costante per un consenso attivo da parte dell’interessato[4]. I giudici del Lussemburgo, pronunciandosi su simili circostanze, hanno avuto modo di chiarire che non è possibile valutare se il soggetto interessato ha espresso in maniera informata l’approvazione al trattamento dei propri dati non deselezionando una casella precedentemente riempita da un individuo terzo[5].
La Corte, analizzando i fatti in questione, ha ritenuto che non si può avere un valido consenso in caso di silenzio o inattività da parte dell’interessato. Quest’ultimo deve inoltre essere informato in maniera chiara, comprensibile e accessibile sulle modalità attraverso le quali verranno raccolte e processate le informazioni che lo riguardano, specificando le finalità ultime del trattamento dei dati. Deve essere poi specificata la possibilità per l’interessato di concludere ugualmente il contratto anche in caso di rifiuto alla condivisione dei dati, qualora questo sia tecnicamente possibile.
I giudici hanno concluso quindi che la semplice mancata spunta di una casella precompilata non è un’attività idonea a rappresentare un consenso legittimamente prestato secondo la normativa dell’Unione europea. Hanno inoltre osservato che la Orange România, in caso di rifiuto da parte dei clienti all’archiviazione delle copie dei documenti di identità, richiedeva la compilazione di un’ulteriore dichiarazione per iscritto in cui si specificava tale decisione. La Corte ha ritenuto che questo adempimento aggiuntivo rappresentasse un’ingiustificata ingerenza alla libertà di scelta contrattuale dei consumatori.
Caselle di spunta preselezionate, cookie e regolamento ePrivacy: le possibili conseguenze della pronuncia Orange România
La pronuncia in commento è significativa per diversi motivi. Evidenzia un problema di asimmetria informativa tra produttore e consumatore che può minare la fiducia tra queste due categorie di soggetti, specialmente in ambito digitale. Gli utenti informatici sono spesso chiamati a cliccare su moduli standard per poter accedere a determinate pagine Internet. Spesso questo avviene senza che vi sia un’effettiva contezza del contenuto di tali moduli. La sentenza Orange România può spingere i gestori di servizi Internet a riformulare le proprie policies nei confronti dei clienti, specialmente per quanto riguarda l’accettazione al tracciamento della propria attività online tramite cookie.
La decisione in questione può inoltre andare a influenzare i negoziati che si stanno attualmente svolgendo in merito alla proposta di Regolamento ePrivacy[6] in materia di comunicazioni elettroniche. La Corte ha infatti ricordato ancora una volta che il consenso al trattamento dei dati personali deve essere libero, univoco, informato e specifico. Questi sono dei capisaldi a salvaguardia dell’integrità individuale e non possono venire meno in nessun caso, indipendentemente dal progresso tecnologico o dalle circostanze contrattuali.
[1] Corte di Giustizia dell’Unione europea, sentenza dell’11 Novembre 2020, Caso C-61/19, Orange România SA. Il testo della sentenza è disponibile al seguente link http://curia.europa.eu/juris/document/document.jsf?text=&docid=233544&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=12662923 (ultimo accesso il 7 Gennaio 2021).
[2] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, OJ 281, 23 Novembre 1995, p. 355-374.
[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, GU L 119, 4 Maggio 2016, p.1-88.
[4] Corte di giustizia dell’Unione europea, sentenza del 1° Ottobre 2019, Caso C-673/17, Planet 49, punti 61-63.
[5] Ibid., punti 55-57.
[6] Proposta di Regolamento riguardante la tutela della vita privata e dei dati personali nelle comunicazioni elettroniche, COM/2017/010 final – 2017/03 (COD), 10 Gennaio 2017.
Autore
