Abstract
Il consenso è una tra le basi giuridiche elencate agli artt. 6 e 9 del Regolamento UE 2016/679 che legittimano il trattamento di dati personali. A seconda del contesto in cui viene richiesto e delle finalità del trattamento che coinvolgono i dati in questione, cambia la gestione organizzative del consenso e l’età minima necessaria per prestarlo.
Le caratteristiche del consenso
Prima dell’avvento del GDPR la possibilità di utilizzare il consenso come legittimazione ad un trattamento di dati personali era regolamentata all’art. 23 del D.Lgs. 196/03 e la sua gestione non ha subito cambiamenti macroscopici a seguito del cambio di paradigma.
La scelta di utilizzarlo comporta, oggi come ieri, la valutazione di alcune variabili intrinseche alla corretta gestione del consenso stesso.
In primo luogo, la norma impone che il consenso debba avere alcune caratteristiche tra cui volontarietà, libertà e dimostrabilità.
Esso è valido solo se è informato, ossia preceduto dall’informativa di cui all’art. 13, ed espresso liberamente ed in maniera specifica con riferimento ad un trattamento chiaramente individuato. A quest’ultimo proposito, il Garante ha precisato che non è libero né specifico, il consenso che venga richiesto congiuntamente per più trattamenti, in particolare se l’uno finalizzato all’esecuzione delle obbligazioni contrattuali e l’altro all’invio di comunicazioni commerciali. Infatti, l’interessato si trova in condizioni di non poter negare il consenso al secondo trattamento, se non vuole automaticamente precludersi la possibilità di ricevere l’esecuzione del contratto; inoltre, non è specifico, perché il principio di specificità richiede che il consenso sia richiesto disgiuntamente per ciascun tipo di trattamento.
In seconda battuta, consenso deve essere esplicito ovvero è necessaria un’esplicita manifestazione di volontà dell’interessato per rendere lecito il trattamento. Esclusi i casi in cui siano coinvolte categorie particolari di dati, l’espressione del consenso non deve per forza essere scritta ma sono utilizzabili anche modalità alternative come la selezione di una apposita casella su una pagina web od il consenso comportamentale, ad esempio entrare consapevolmente in una zona delimitata in cui si avvisa vengono effettuate foto o riprese per un evento.
La questione critica è che il consenso deve essere dimostrabile, ovvero chi lo richiede deve avere una gestione organizzata del momento in cui è stato prestato e/o eventualmente revocato. Che sia un documento recante una firma o la registrazione su di un software del momento in cui si pone un flag, è imperativo avere la “prova provata” che il consenso è stato ottenuto ed è lecito.
Il consenso prestato è valido fino a revoca, ad esempio l’utilizzo di una fotografia a fini promozionali è possibile fin quando la persona ritratta non revoca la sua autorizzazione.
L’età per prestare il consenso
Prestare il proprio consenso al trattamento dati è paragonabile ad un atto giuridico, pertanto è soggetto ad una soglia minima di età anagrafica che cambia a seconda dei contesti nazionali; in Italia è fissata a 18 anni, quindi ad esempio, per l’utilizzo delle immagini per fini promozionali se la foto ritrae un minore è necessario il consenso di entrambi i genitori o del genitore convivente con il minore se separati.
In ambito sanitario, invece, la soglia di età minima per prestare il consenso all’utilizzo dei propri dati è 16 anni.
Nel campo dei servizi digitali (iscrizione ai social network e ai servizi di messagistica), il nuovo Regolamento europeo (GDPR) ha fissato all’articolo 8 una regolamentazione specifica, che però non tocca la capacità di agire del minore, la quale rimane fissata dall’ordinamento civile nazionale.
La norma non riguarda genericamente tutti i trattamenti di dati di minori, ma per la sua applicabilità richiede due requisiti:
– che vi sia un’offerta diretta di servizi della società dell’informazione a soggetti minori di 16 anni;
– che il trattamento dei dati dei minori sia basato sul consenso.
In presenza di questi due requisiti, l’articolo 8 prevede il divieto di offerta diretta di servizi digitali, ai minori di 16 anni, a meno che non sia raccolto il consenso dei genitori o di chi ne fa le veci. In sostanza il GDPR introduce una deroga per i casi specifici indicati (i requisiti) alla regola generale fissata dall’ordinamento, abbassando il limite dei 18 anni (per l’Italia), quindi una sorta di maggiore età digitale raggiunta la quale è ammesso il consenso al trattamento dei propri dati personali anche con riferimento a profilazione.
Dato che lo stesso articolo permette modifiche a tale limite da parte degli Stati Membri, l’Italia ha fissato in 14 anni la soglia minima per prestare il consenso digitale.
