I dati personali rappresentano una delle risorse più preziose, pertanto il consenso informato non è una semplice formalità ma l’espressione concreta della libertà individuale.
Negli ultimi sessant’anni si è imposto in ogni viscera dell’umanità il concetto di libertà: da quella di pensiero a quella politica, sociale, culturale e così via. L’aria di libertà e liberazione che si è respirata dal dopoguerra ai giorni nostri ha garantito quello Stato di Diritto concepito alla fine del feudalesimo e che ha segnato, più o meno ufficialmente, l’avvio di un’era in cui tutto era possibile e tutti avevano uguali diritti e libertà.
Un periodo illuminato, di ricostruzione, che ha portato industrie a prolificare, piccole imprese a realizzarsi e la tecnologia a insorgere e, di fatto, sradicare quel vecchio mondo costruito su élite sparpagliata qui e là che si consideravano intoccabili. Ciò ha portato a credere ad un certo buonismo ed ottimismo dell’impresa senza pensare troppo ai destinatari di quei prodotti e di quei servizi.
Con l’evoluzione digitale e un crocevia di dati come mai prima d’ora, non si può di certo tollerare certo una zona grigia intorno a quelle che sono le libertà ed i diritti dei proprietari di quei dati. Come disse Abraham Lincoln “Nessun uomo è abbastanza buono per governare un altro uomo senza il consenso dell’altro”.
Il tema centrale quando si parla di consenso informato, ovvero uno dei pilastri fondamentali della protezione dei dati personali nell’ordinamento europeo e italiano, è nel bilanciamento tra autodeterminazione dell’individuo e libertà d’iniziativa economica perché (lo vediamo tutti) ormai navighiamo a vista in un contesto digitale caratterizzato da trattamenti massivi, profilazione algoritmica e circolazione globale delle informazioni.
Storia e fondamento normativo del consenso
Il termine deriva dal latino consensus (“conformità dei voleri”). Nel diritto romano, il consensus era fondamentale per la validità dei contratti (i cosiddetti “contratti consensuali”) e per il matrimonio, (sebbene in un contesto patriarcale in cui la capacità di consenso delle donne era spesso limitata).
Nella filosofia moderna (siamo intorno al XVII-XVIII Secolo) John Locke fu fondamentale nel definire la teoria del consenso in senso moderno, distinguendo tra consenso espresso e tacito, applicandolo alla teoria del contratto sociale e all’importanza dell’autodeterminazione individuale.
Il concetto di “consenso informato” (informed consent), invece, nasce giuridicamente in tempi molto più recenti, consolidandosi dopo il processo di Norimberga (1947) e nel corso del XX secolo, per sancire il diritto del paziente a decidere sul proprio corpo, limitando l’azione unilaterale del medico.
In sintesi, se il consenso è presente come concetto giuridico fin dal diritto romano, il suo riconoscimento come diritto fondamentale all’autodeterminazione, specialmente in ambito sessuale e medico, è un’evoluzione prevalentemente degli ultimi due secoli (XIX-XX).
Ma noi siamo qui per definire il consenso in relazione al trattamento dati. Quindi vediamo nello specifico il consenso nelle questioni di privacy:
L’art. 6, par. 1, lett. a) del stabilisce che il trattamento è lecito se “l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.
La definizione è contenuta all’art. 4, n. 11 del GDPR: “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile”.
L’art. 7 disciplina, invece, le condizioni del consenso, imponendo al titolare l’onere della prova e il dovere di garantire che la richiesta sia presentata in forma comprensibile e facilmente accessibile.
Il quadro si completa con l’art. 8, relativo ai minori nell’ambito dei servizi della società dell’informazione, e con l’art. 9 per i dati particolari (ex “sensibili”), per i quali è richiesto un consenso “esplicito”.
I 4 requisiti del consenso
- Libertà
Il consenso deve essere libero, ossia non condizionato da uno squilibrio di potere tra le parti. Il Considerando 43 del GDPR chiarisce che il consenso non è valido se l’interessato non dispone di una reale libertà di scelta. La giurisprudenza europea, in tal senso, ha affrontato il tema nella sentenza Planet49 della Corte di Giustizia dell’Unione Europea (1° ottobre 2019), che ha stabilito l’invalidità delle caselle preselezionate per l’accettazione dei cookie: il silenzio o l’inattività non costituiscono consenso valido. La Corte ha ribadito che il consenso deve derivare da un comportamento attivo. Questa affermazione si fonda sull’idea che il silenzio, l’inattività o formule generiche non siano sufficienti a dimostrare una reale volontà di aderire a una determinata richiesta. - Specificità
Il consenso deve riferirsi a finalità determinate e distinte. Non è ammissibile un consenso “onnicomprensivo” per trattamenti eterogenei. Ad esempio, il consenso per finalità contrattuali non può automaticamente estendersi a finalità di marketing o profilazione. La sentenza Fashion ID della Corte di Giustizia dell’Unione Europea (29 luglio 2019) ha sottolineato che il titolare deve garantire una chiara distinzione tra le diverse finalità del trattamento, anche nel contesto dell’integrazione di plug-in social. - Informazione
Il consenso è valido solo se preceduto da un’informativa conforme agli artt. 13 e 14 del Regolamento (UE) 2016/679. L’interessato deve conoscere identità del titolare, finalità, base giuridica, periodo di conservazione, diritti esercitabili, eventuali trasferimenti verso Paesi terzi. La trasparenza costituisce un principio generale (art. 5 GDPR) e consiste essenzialmente in questo: l’informativa deve essere redatta con linguaggio chiaro e semplice, soprattutto se rivolta a minori. La giurisprudenza nazionale ha più volte sanzionato informative generiche o oscure. Il Garante per la protezione dei dati personali ha inflitto sanzioni milionarie a grandi operatori digitali per carenze informative e consenso non adeguatamente documentato. - Inequivocabilità
L’inequivocabilità implica un atto positivo chiaro: selezionare una casella, firmare un modulo, cliccare su un pulsante “Accetto”. Non è sufficiente la mera prosecuzione della navigazione. La Corte di Giustizia, nel già citato caso Planet49, ha escluso che una casella preselezionata possa integrare una manifestazione inequivoca di volontà.
L’onere della prova e la revoca del consenso
L’art. 7, par. 1 del Regolamento (UE) 2016/679 pone a carico del titolare l’onere di dimostrare che l’interessato ha prestato il consenso. Ciò implica l’adozione di sistemi di tracciamento e archiviazione delle dichiarazioni di volontà (log informatici, timestamp, conservazione dei moduli firmati).
Il consenso deve inoltre essere revocabile in qualsiasi momento con la stessa facilità con cui è stato prestato. La revoca non pregiudica la liceità del trattamento basata sul consenso prima della revoca stessa.
La giurisprudenza amministrativa italiana ha ribadito che l’assenza di adeguati sistemi di prova comporta l’illiceità del trattamento e legittima l’irrogazione di sanzioni ai sensi dell’art. 83 GDPR.
Consenso e categorie particolari di dati
Per i dati di cui all’art. 9 del Regolamento (UE) 2016/679 (origine razziale, opinioni politiche, dati sanitari, biometrici, genetici), è richiesto un consenso “esplicito”. Tale requisito implica una dichiarazione espressa, non desumibile implicitamente da comportamenti concludenti.
In ambito sanitario, il consenso al trattamento dei dati deve essere distinto dal consenso informato all’atto medico, pur potendo essere raccolto contestualmente. La Corte di Cassazione ha addirittura evidenziato come il diritto alla protezione dei dati personali si affianchi al diritto alla salute e all’autodeterminazione terapeutica.
Il consenso nel contesto digitale: cookie, marketing e profilazione
Il consenso assume particolare rilevanza nel marketing diretto e nella profilazione. L’art. 130 del D.lgs. 196/2003 disciplina l’uso di strumenti automatizzati (email, SMS, telefonate preregistrate), richiedendo il consenso preventivo dell’interessato, salvo il c.d. “soft spam”.
In materia di cookie, le Linee guida del Garante per la protezione dei dati personali del 10 giugno 2021 hanno ribadito che:
- è necessario un banner chiaro;
- non sono ammessi cookie tecnici equiparati a quelli di profilazione;
- deve essere possibile rifiutare con la stessa facilità con cui si accetta.
Infine, il consenso per finalità di profilazione richiede un’informativa dettagliata sulle logiche utilizzate e sulle conseguenze previste, in conformità all’art. 22 GDPR sulle decisioni automatizzate.
Profili sanzionatori e responsabilità
Proprio perché il consenso informato non è una formalità burocratica, ma uno strumento di garanzia dell’autodeterminazione digitale la violazione delle sue regole può comportare sanzioni amministrative fino a 20 milioni di euro o al 4% del fatturato annuo mondiale, ai sensi dell’art. 83 del Regolamento (UE) 2016/679.
In conclusione ogni volta che firmiamo un consenso informato, esercitiamo un diritto fondamentale: quello di decidere su ciò che ci riguarda. Senza informazione non c’è scelta; senza scelta non c’è libertà.
Per questo il consenso informato non è un ostacolo al progresso tecnologico, ma la sua condizione etica essenziale: perché innovazione e libertà possono coesistere solo quando la persona resta al centro.
© RIPRODUZIONE RISERVATA
