Quaderno GDPR -PARTE 2- IL CONSENSO
Iniziamo con una domanda , ” il consenso ha un ruolo centrale ? “, se non volete leggere tutto il post la risposta immediata è NO!!!.
ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
Partendo dal quarto considerando è evidente l’equiparazione della circolazione delle informazioni con la protezione dei dati personali, come gia detto nella parte prima del quaderno intitolato al GDPR il reg. 2016/679 deve essere considerato tutt’uno con il reg. 2014/910 , uniformare le informazioni elettroniche per farle circolare protette.
Alcuni principi sono elevati a “valoriali” , quasi simboli di libertà, ma la liberta deve essere proprozionata e bilanciata , proprio per questo il citato considerando recita che “ll trattamento dei dati personali dovrebbe essere al servizio dell’uomo”.
E’ opportuno osservare che anche l’articolo iniziale del GDPR al par 3 ricorda che
La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali
Il consenso, principio valore e principio da attuare, tra il dire ed il fare c’è di mezzo…
Il principio generale, enunciato dall’articolo 5 recita che i dati deovono essere
trattati in modo lecito corretto e trasparente nei confronti dell’interessato
Ma quando c’è la liceità nel trattamento ? la norma da risposta in senso “esclusivo” e spostandoci dal principio – valore, astrattamente e difficilmente applicabile in un modello organizzativo dei trattament dei dati , ad un modello attuativo occorre utilizzare un processo di controllo bifasico.
Si parte dall’articolo 6 del Regolamento rubricato appunto Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a)
l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b)
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c)
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d)
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e)
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f)
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
E’ chiaro, nella prima fase di accertamento che è condizione necessaria ma non sufficiente che si sia almeno una delle condizioni legittimanti.
Appurato il possesso di una condizione al processo del trattamento dei dati occorre verificare la fase n.2 di valutazione della liceità, ed in aiuto ci viene l’articolo 5
1. I dati personali sono:
a)
trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b)
raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c)
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d)
esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e)
conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f)
trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Pur non volendo approfondire , deve essere chiara una cosa, il consenso è solo una delle condizioni che legittimano il trattamento dei dati, le altre sono , cfr art 6 :
b) |
il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; |
c) |
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; |
d) |
il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; |
e) |
il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; |
f) |
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. |
Il trattamento di particolari categorie di dati personali .
Come per il vecchio codice, anche nel GDPR c’è una forte attenzione ad alcuni particolari dati personali, vediamo l’articolo 9
È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a)
l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
b)
il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;
c)
il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
d)
il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
e)
il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f)
il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g)
il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
h)
il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i)
il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale;
j)
il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
E’ evidente che da un’apertura semanticamente riduttiva del paragrafo 1 si passa ad una copiosa serie di condizioni legittimanti.
Caratteristiche del consenso, la forma dello stesso.
L’articolo 7 del GDPR recita
Condizioni per il consenso
1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
Il consenso è qualsiasi manifestazione di volontà chiara ed incontrovertibile di accettazione delle condizioni di trasparenza ( l’informativa) porposta dal titolare del trattamento dei dati , per meglio capire del consenso e della forma è necessario prendere in esama anche il 32 ° considerando
|
Quindi :
- il consenso è atto di accettazione del trattamento dei dati
- la forma del consenso non deve essere necessariamente scritto, l’importante è la chiara manifestazione di volontà adesiva al trattamento
- il consenso dovrebbe essere inizialmente espresso per ogni finalità di trattamento specifico, con la trasparenza sull’oggetto, le mdalità di trattamento, la circolazione delle informazioni, la durata, etc
Importante è non sottovalutare la disciplina della durata del trattamento nella nota alla trasparenza sul trattamento dei dati, essendo da un punto di vista giuridico, secondo la classificazione del Galgano , un contratto di durata ( atto negoziale recettizio unilaterale). Tuttavia la durata può anche essere sine die .
Forma scritta ab substantiam ? ad probationem ? .NO ! come detto l’importante è la chiarezza della volontà nel formare un atto di autodeterminazione da chi può agire ( con la specialità dell’eta nell’agire dato dall’articolo 8, eccezionalmente 16 anni).
Tuttavia conviene focalizzarci nuovamente sull’articolo 5 par. 2
Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo
e sull’articolo 7 par 1
. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali
da qui si evince che la dimostrazione di un fatto scritto è racomandabile ,
VINCENZO DE PRISCO
Professore a Contratto Università PARTHENOPE di NAPOLI in AGENDA DIGITALE PA
Docente MASTER UNIVERSITA’ della BASILICATA in Contratti PUBBLICI.
Docente MASTER Università PARTHENOPE di NAPOLI in
PROJECT MANAGER DELLA PUBBLICA AMMINISTRAZIONE.
Membro dell’AI PACT dell’UNIONE EUROPEA
PER WORKSHOP, ASSISTENZA,
FORMAZIONE e SUPPORTO
dott.ssa Carotenuto Elisa
elisa@ca-campania.com
cell. 3382797858
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!