La nota affronta il tema delle condizioni di validità del consenso raccolto nel vigore del Codice Privacy quale base giuridica del trattamento che perdura oltre il 25 maggio 2018: in pratica, il consenso raccolto correttamente secondo le prescrizioni del Codice Privacy si può considerare valido anche sotto il regime del GDPR, e pertanto costituisce idonea base giuridica del trattamento senza bisogno di raccoglierne uno nuovo?

La “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” pubblicata dal Garante precisa, nelle “Raccomandazioni” in calce alla scheda dedicata al consenso, che:

Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.

In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).”.

Il Garante dunque afferma essenzialmente che il consenso ottenuto prima della data di efficacia del GDPR continua a costituire valida base giuridica del trattamento purché sia stato raccolto con modalità tali per cui risulti “esplicito” (se riferito alla raccolta di dati sensibili e a decisioni basate su trattamenti automatizzati), “libero, specifico, informato” e “manifestato attraverso dichiarazione o azione positiva inequivocabile” (se riferito a dati ordinari).

Il Garante, pur ricordando tra le “caratteristiche sopra individuate” richiamate che il consenso deve essere “libero, specifico, informato”, non chiarisce se tale ultimo requisito deve ritenersi soddisfatto dall’avere fornito una informativa rispettosa dei requisiti di cui al Codice Privacy e non sia dunque necessario avere ottemperato alle richieste del GDPR, le quali – come noto – comportano contenuti in parte nuovi e diversi (ed in sostanza più numerosi e articolati) rispetto a quanto richiesto dalla attuale normativa italiana.

Dunque, dando per assunto che il “vecchio” consenso sia stato raccolto secondo modalità che ne garantiscono libertà, specificità, inequivocabilità o – se del caso – il suo essere “esplicito”, al fine di valutare la sua perdurante validità dal 25 maggio 2018 si pone il quesito: il consenso raccolto correttamente secondo le prescrizioni del Codice Privacy si può considerare valido anche sotto il regime del GDPR, e pertanto costituisce idonea base giuridica del trattamento senza bisogno di raccoglierne uno nuovo?

L’interrogativo è importante, ma credo che il tema di base debba essere un altro, ossia: nell’ottica della continuazione dei trattamenti già in corso alla data di entrata in vigore del GDPR, l’informativa già fornita nel rispetto del Codice Privacy è sufficiente a fondare una consapevolezza dell’interessato, relativamente al trattamento che viene effettuato dei propri dati personali, che risulti adeguata in rapporto alle richieste del GDPR?

In caso di risposta positiva, il consenso “informato” ai sensi del Codice Privacy continuerebbe ad essere tale anche ai sensi del GDPR e pertanto non sarebbe necessario raccoglierlo nuovamente.

Personalmente, considerata la rilevante differenza esistente tra la “vecchia” informativa e quella prescritta dal GDPR, mi pare difficile prospettare la continuazione tout-court dei trattamenti in corso in virtù di una presunzione di uguaglianza delle due informative. Bisogna infatti considerare che i trattamenti che avranno inizio in costanza di GDPR dovranno  necessariamente rispecchiare le nuove norme, con la conseguenza che trattamenti con le medesime caratteristiche quanto a finalità, modalità, tipologia di interessati e di dati trattati, fondati sulla medesima base giuridica – il consenso – basata però su presupposti diversi (le informative “vecchie” e quelle “nuove”), si troverebbero a convivere: ciò comporterebbe una sperequazione difficilmente giustificabile sia con riferimento agli interessati che hanno dato ante GDPR il consenso al trattamento (fornito – per chi riceve la “nuova” informativa – sulla base della conoscenza di maggiori e più approfondite informazioni, alcune delle quali indicate dall’art. 13 comma 2 del GDPR come “necessarie per garantire un trattamento corretto e trasparente“: si pensi ad esempio a quelle sulla logica e le conseguenze della profilazione o sulla durata della conservazione dei dati), sia con riferimento ai titolari post GDPR (che con la  “nuova” informativa dovranno fornire una fotografia del trattamento ben più analitica e complessa).

Probabilmente, una soluzione bilanciata potrebbe essere che i titolari del trattamento che intendessero continuare ad utilizzare i dati degli interessati, di cui hanno (legittimamente) acquisito il consenso ante GDPR, fornissero un supplemento di informativa con le informazioni “nuove” necessarie in base alle norme e alla piena trasparenza (art. 5, comma 1, lett, a) GDPR), offrendo contestualmente agli interessati la possibilità di revocare il consenso originariamente fornito e naturalmente specificando le eventuali conseguenze di tale revoca.

Di seguito, nella tabella, una schematica rappresentazione delle situazioni che si possono creare.

X = Non idoneità Codice Privacy né GDPR

O = Idoneità Codice Privacy – Idoneità GDPR con misure integrative nell’ottica del bilanciamento

 

Una logica analoga dovrebbe essere seguita quando il trattamento in corso – che il titolare intendesse continuare anche in regime di GDPR – fosse fondato su una base giuridica diversa dal consenso: è chiaro che la esplicitazione di tale fondamento (obbligatoria ex artt. 13, co. 1, lett. c) e 14, co. 1, lett. c) GDPR), tanto più in quanto accompagnata dagli altri nuovi contenuti dell’informativa, induce nell’interessato – che in tale caso non è stato chiamato a scegliere, attivandosi per fornire il proprio consenso – una più profonda consapevolezza del trattamento che viene fatto dei propri dati personali e di conseguenza dei propri diritti, compresi quelli di nuova codificazione, in ossequio al principio di trasparenza.

Per concludere, ricordo che nell’approccio del GDPR le scelte di trattamento sono rimesse all’accountability del titolare: anche in assenza di specifiche linee guida, o comunque di specifici supporti approntati dal Garante o da altri organismi a ciò deputati, i titolari del trattamento sono dunque tenuti ad operare secondo proprie valutazioni, nell’ottica del bilanciamento tra i propri diritti e quelli alla protezione dei dati personali degli interessati e nel rispetto del principio di trasparenza:  in questo contesto, il titolare si assume la responsabilità delle scelte fatte ed è in grado dimostrare il percorso (decisionale, organizzativo, tecnico) progettato e attuato.

Ciò vale tanto per le decisioni relative alle circostanze di trattamento sopra considerate, quanto – con riferimento ad un tema affine – per la valutazione della “impossibilità” o dello “sforzo sproporzionato” che ai sensi dell’art. 14, comma 5, lett. b) legittimano il titolare a non fornire alcuna informazione all’interessato i cui dati ha raccolto presso terzi.