Definizione e caratteristiche del consenso
Il consenso non deve essere considerato come una forma di esonero dagli altri principi di protezione dei dati bensì come una salvaguardia dei diritti dell’interessato. E’ una base giuridica sulla quale può essere legittimamente effettuato un trattamento di dati personali senza comportare una rinuncia, da parte del Titolare, all’applicazione degli altri princìpi applicabili al trattamento dei dati personali, di cui all’art. 5 del GDPR.
Il consenso consiste in “qualsiasi manifestazione di volontà libera, specifica, informata, inequivocabile ed esplicita dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Per “libera” si intende che l’interessato deve poter scegliere se accettare o meno un trattamento senza condizionamenti, vincoli o conseguenze negative in caso di rifiuto. Ha il diritto di revocarlo in qualsiasi momento, con la stessa facilità con la quale lo ha accordato.
Per “specifica” si intende che il consenso va raccolto separatamente, in riferimento a ciascuna specifica finalità, descritta con chiarezza nell’informativa. Raggruppare più finalità all’interno di un unico consenso invaliderebbe la libertà di scelta dell’interessato, che sarebbe obbligato ad accettarle o rifiutarle in blocco.
Per “informata” si intende che l’informativa, oltre ai contenuti minimi (cfr pagina Informative) dovrà contenere quanto necessario perché egli sia reso consapevole delle finalità e degli eventuali rischi del trattamento, della modalità di revoca del consenso e delle conseguenze della mancata prestazione, prima di accettare o meno di prestare il consenso.
Per “inequivocabile” si intende che l’interessato deve esprimerlo tramite un comportamento “attivo” e non, ad esempio, con “silenzio assenso” o campi preselezionati. Se il consenso è richiesto nel contesto di una dichiarazione scritta che riguarda anche altre questioni, deve essere presentato in modo chiaramente distinguibile dalle altre materie del trattamento.
Infine il consenso deve essere esplicito, ossia il Titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. E’ pertanto consigliabile registrare il consenso acquisito in forma scritta, in modalità cartacea o digitale; nel secondo caso, in presenza di trattamenti con maggiore rischio per gli interessati, è preferibile l’utilizzo di meccanismi a doppia autenticazione, ossia facendo seguire all’accettazione on line di un trattamento l’inserimento di un codice inviato via email o sms all’interessato.
Quando chiedere il consenso
Il consenso va richiesto per quei trattamenti che non sono derivanti da un obbligo legale né sono necessari: per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, per l’esecuzione di un contratto di cui l’interessato sia parte, per un legittimo interesse dell’Università o per tutelare gli interessi vitali di un soggetto (p.e nei casi di emergenza per evento sismico).
Il consenso va richiesto all’interessato prima dell’inizio del trattamento e deve essere acquisito una volta sola. Se cambiano le finalità del trattamento si dovrà richiedere un nuovo consenso.
Per il consenso nei trattamenti di dati particolari o per scopo di ricerca si rimanda alla pagina “consenso in casi particolari”.
Attenzione: Prima di chiedere il consenso, verificare se una eventuale revoca (vedi ultimo paragrafo) sarebbe compatibile con l’espletamento delle attività complessivamente correlate alle finalità da raggiungere, diversamente l’attività di trattamento potrebbe basarsi su una diversa base di legittimità e il consenso non dovrà essere richiesto.
Come richiedere il consenso
Il consenso deve essere “dimostrabile”: va quindi acquisito in una forma scritta che riporti la data, a partire dalla quale è considerato valido, e il collegamento inequivocabile all’informativa e al contesto in cui è stato prestato.
L’ informativa potrà quindi avere una sezione, separata rispetto agli eventuali trattamenti obbligatori, che specifichi le differenti finalità per cui viene richiesto ogni singolo consenso, le conseguenze dell’eventuale mancata prestazione del consenso, la durata del trattamento, l'esistenza del diritto di revocare il consenso, le modalità e condizioni per esercitare tale diritto, richiedendone la sottoscrizione da parte dell’interessato. Il linguaggio dovrà essere semplice e chiaro per ogni finalità del trattamento, senza ricorrere a formule mirate a forzare la prestazione del consenso ed evidenziando anche eventuali aspetti del trattamento che possano essere in contrasto, p.e., con i valori, le convinzioni personali o i precetti di fede religiosa dell’interessato.
La richiesta non dovrà interferire immotivatamente con il servizio per il quale il consenso viene richiesto, nel caso in cui ciò avvenga attraverso mezzi elettronici.
Nel caso di minori d’età, vedere la pagina “consenso in casi particolari”.
Cosa non è ammesso
Non è ammesso alcun comportamento che violi le caratteristiche del consenso inizialmente elencate. Non è quindi ammesso il consenso tacito o presunto, prestato con l’inattività o la preselezione di caselle. Non è ammesso subordinare l’esecuzione di un servizio principale ad un consenso al trattamento dei dati personali per altri trattamenti. Non è ammesso violare il diritto di revoca del consenso o superare gli eventuali limiti temporali per i quali il consenso è stato prestato.
E’ buona norma prestare particolare attenzione nei casi in cui venga richiesto il consenso per dati ulteriori e non necessari all’esecuzione del contratto (c.d. dati superflui); la mancata prestazione del consenso non potrà impedire, in tal caso, la conclusione del contratto.
Come revocare il consenso
Il consenso deve poter essere revocato in ogni momento, con facilità e gratuitamente, senza impedimenti, utilizzando, se possibile, gli stessi canali con i quali è stato richiesto il consenso.
La revoca del consenso non pregiudica la liceità dei trattamenti basata sul consenso prestato prima della revoca e comporta, per il Titolare, l’impossibilità di continuare ad utilizzare i dati per le finalità per le quali aveva chiesto il consenso.
Il Titolare ha l’obbligo di cancellare i dati richiesti con il consenso e relativi all’interessato, sempre che non siano in corso altri trattamenti fondati su una diversa base giuridica che li richiedano o si pregiudichi la legittimità dei trattamenti effettuati prima della revoca. In entrambi i casi, il Titolare dovrà impedire la prosecuzione dei trattamenti basati sul consenso, ove possibile rendendo anonimi i dati precedentemente acquisiti per quei trattamenti. La risposta, con l’accoglimento dell’istanza e le azioni che ne sono conseguite, dovrà essere data all’interessato entro 30gg solari dal ricevimento della richiesta.
Entro lo stesso termine il Titolare può eventualmente comunicare all’interessato di aver necessità di una proroga, di non oltre due mesi, con le motivazioni per cui ciò si renda indispensabile per la complessità del trattamento.