Definizione e caratteristiche del consenso
Il consenso è una delle basi giuridiche previste all'art. 6 par. 1 GDPR che legittima un trattamento di dati personali.
Esso consiste in “qualsiasi manifestazione di volontà libera, specifica, informata, inequivocabile ed esplicita dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Per “libera” si intende che l’interessato deve poter scegliere se accettare o meno un trattamento senza condizionamenti, vincoli o conseguenze negative in caso di rifiuto. Ha inoltre il diritto di revocare il consenso in qualsiasi momento, con la stessa facilità con la quale lo ha prestato.
Per “specifica” si intende che il consenso va raccolto in riferimento a ciascuna specifica finalità, descritta con chiarezza nell’informativa, separatamente. Raggruppare più finalità all’interno di un unico consenso invaliderebbe la libertà di scelta dell’interessato, che sarebbe obbligato ad accettarle o rifiutarle in blocco.
Per “informata” si intende che l’informativa, oltre ai contenuti minimi (cfr pagina Informative) dovrà contenere ogni elemento utile affinché l'interessato sia consapevole delle finalità e degli eventuali rischi del trattamento per cui è richiesto il consenso, delle modalità con cui può revocarlo e delle conseguenze della mancata prestazione. Le informazioni devono essere disponibili prima di decidere se prestare il consenso.
Per “inequivocabile” si intende che l’interessato deve esprimerlo tramite un comportamento “attivo” e non, ad esempio, con “silenzio assenso” o campi preselezionati. Se il consenso è richiesto nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere presentato in modo chiaramente distinguibile dalle altre materie del trattamento.
Infine il consenso deve essere esplicito, ossia il Titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali ovviamente nei casi in cui sia necessario richiederlo. E’ pertanto consigliabile registrare il consenso acquisito in forma scritta, in modalità cartacea o digitale, conservando la prova dell'acquisizione del consenso per tutta la durata del trattamento. In presenza di trattamenti con maggiore rischio per gli interessati, è preferibile l’utilizzo di meccanismi a doppia autenticazione, ossia facendo seguire all’accettazione on line di un trattamento l’inserimento di un codice inviato via email o sms all’interessato.
Quando chiedere il consenso
E' difficile, in una pubblica amministrazione qual'è l'Università, dover chiedere in consenso al trattamento dei dati. Le attività di trattamento sono solitamente riconducibili ad altre basi giuridiche di cui all'art. 6 par. 1 GDPR quali: l'esistenza di un obbligo legale, l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri dell'Università, l’esecuzione di un contratto di cui l’interessato è parte o la tutela degli interessi vitali di una persona (p.e per contattarlo nei casi di emergenza per evento sismico).
Prima di chiedere il consenso, che non sottrae l'Università dall’obbligo di rispettare gli altri princìpi di cui all’art. 5 del GDPR, si consiglia quindi di verificare se una eventuale revoca del consenso prestato (vedi ultimo paragrafo) sarebbe compatibile con l’espletamento delle attività complessivamente correlate alle finalità da raggiungere. Se la revoca del consenso impedirebbe una o più attività che l'Università è necessariamente tenuta a svolgere, è bene individuare una diversa base di legittimità del trattamento ed evitare la richiesta del consenso.
In assenza di una diversa base giuridica che legittimi il trattamento, il consenso va richiesto all’interessato prima dell’inizio del trattamento. Andrà richiesto un nuovo consenso in caso di ulteriore e diversità finalità del trattamento, non già espressa nella richiesta iniziale.
Per il consenso nei trattamenti di dati particolari o per scopo di ricerca si rimanda alla pagina “consenso in casi particolari”.
Come richiedere il consenso
Il consenso deve essere “dimostrabile”: va quindi acquisito in una forma scritta che riporti la data, a partire dalla quale è considerato valido, e il collegamento inequivocabile all’informativa e al contesto in cui è stato prestato.
L’ informativa potrà quindi avere una sezione, separata rispetto agli eventuali trattamenti obbligatori, che specifichi le differenti finalità per cui viene richiesto ogni singolo consenso, le conseguenze dell’eventuale mancata prestazione del consenso, la durata del trattamento, l'esistenza del diritto di revocare il consenso, le modalità e condizioni per esercitare tale diritto, richiedendone la sottoscrizione da parte dell’interessato. Il linguaggio dovrà essere semplice e chiaro per ogni finalità del trattamento, senza ricorrere a formule mirate a forzare la prestazione del consenso ed evidenziando anche eventuali aspetti del trattamento che possano essere in contrasto, p.e., con i valori, le convinzioni personali o i precetti di fede religiosa dell’interessato.
La richiesta non dovrà interferire immotivatamente con il servizio per il quale il consenso viene richiesto, nel caso in cui ciò avvenga attraverso mezzi elettronici.
Nel caso di minori d’età, vedere la pagina “consenso in casi particolari”.
Cosa non è ammesso
Non è ammesso alcun comportamento che violi le caratteristiche del consenso inizialmente elencate. Non è quindi ammesso il consenso tacito o presunto, prestato con l’inattività o la preselezione di caselle. Non è ammesso subordinare l’esecuzione di un servizio principale ad un consenso al trattamento dei dati personali per altri trattamenti. Non è ammesso violare il diritto di revoca del consenso o superare gli eventuali limiti temporali per i quali il consenso è stato prestato.Non è ammesso chiedere il consenso per trattare dati necessari alla prestazione di un servizio che l'Università è tenuta ad offrire.
E’ buona norma prestare particolare attenzione nei casi in cui venga richiesto il consenso per dati ulteriori e non necessari all’esecuzione del contratto (c.d. dati superflui); la mancata prestazione del consenso non potrà impedire, in tal caso, la conclusione del contratto.
Come revocare il consenso
Il consenso deve poter essere revocato: in ogni momento, con facilità e gratuitamente, senza impedimenti e utilizzando, se possibile, gli stessi canali con i quali è stato richiesto.
La revoca del consenso non pregiudica la liceità dei trattamenti basata sul consenso prestato prima della revoca e comporta, per il Titolare, l’impossibilità di continuare ad utilizzare i dati per le finalità per le quali aveva chiesto il consenso.
Il Titolare ha l’obbligo di cancellare i dati, richiesti con il consenso e relativi all’interessato, sempre che non siano in corso altri trattamenti fondati su una diversa base giuridica che li richiedano o si pregiudichi la legittimità dei trattamenti effettuati prima della revoca. In entrambi i casi, il Titolare dovrà impedire la prosecuzione dei trattamenti basati sul consenso, ove possibile rendendo anonimi i dati precedentemente acquisiti per quei trattamenti. La risposta, con l’accoglimento dell’istanza e le azioni che ne sono conseguite, dovrà essere data all’interessato entro 30gg solari dal ricevimento della richiesta.
Entro lo stesso termine il Titolare può eventualmente comunicare all’interessato di aver necessità di una proroga, di non oltre due mesi, con le motivazioni per cui ciò si renda indispensabile per la complessità del trattamento.