La richiesta di consensi inutili compromette la compliance al GDPR

Purtroppo, quella di fare richiesta di consensi privacy superflui o inutili per svolgere delle attività di trattamento di dati personali è una pratica tutt’ora fin troppo diffusa, facendo ricorso a copia-incolla poco o per nulla ragionati. Tutto questo ha però l’effetto di realizzare un duplice impatto negativo nei confronti sia degli interessati sia della capacità dell’organizzazione di essere e dimostrarsi conforme al GDPR.

Un consenso superfluo o inutile è infatti sostanzialmente invalido in quanto privo degli elementi costitutivi e caratterizzanti di quella manifestazione di volontà libera, specifica, informata ed inequivocabile che consente lo svolgimento dell'attività di trattamento che l’organizzazione del titolare propone all’interessato con il tramite dell'informativa. Infatti, nel momento in cui l’attività di trattamento fonda già la propria liceità su una differente base giuridica, richiedere un consenso e acquisirlo diventa un elemento di confusione o di inganno nei confronti delle aspettative dell’interessato di esercitare in modo concreto ed efficace i propri diritti.

Ad esempio, questi può erroneamente ritenere di avere la possibilità di controllare il trattamento dei propri dati personali attraverso la revoca del consenso prestato che invece lascia impregiudicata ogni attività svolta.

Non solo: anche l’ipotesi di richiesta di cancellazione dei dati può incontrare dei limiti totalmente inaspettati qualora il trattamento sia stato presentato come fondato sul consenso mentre invece si svolge sulla base di un obbligo legale.

È chiaro che nel momento in cui chiede ed acquisisce consensi invalidi l’organizzazione non è – né tantomeno può essere - in grado di rendicontare i propri adempimenti in modo coerente, innanzitutto con riferimento alle misure per garantire l’efficace attuazione dei principi di liceità e correttezza.

I rischi per la trasparenza informativa

Anche la trasparenza informativa viene conseguentemente meno, dal momento che gli interessati o non ricevono informazioni esatte e complete per individuare la base giuridica o altrimenti ricevono – come nella maggior parte dei casi – informazioni contraddittorie soprattutto con riguardo della libertà del consenso prestato.

Libertà che, si ricorda, deve corrispondere alla garanzia di un esercizio di scelta effettiva da parte dell’interessato, senza pregiudizio alcuno sia nell’ipotesi di mancato conferimento che in quella di revoca successiva.

In tal senso, giova la lettura del considerando n. 42 GDPR: “Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”.

Invece, si incontrano formule del tipo: “Il consenso è libero ma in caso di mancata prestazione dello stesso si comporta l’impossibilità di…” in tutte quelle ipotesi in cui viene richiesto un consenso inutile per attività che sono fondate su base contrattuale (o addirittura per la gestione dei rapporti di lavoro) in cui il conferimento dei dati è peraltro necessario.

(Articolo di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer. Privacy Officer certificato TÜV Italia)