Il consenso è importante per la protezione dei dati perché consente alle persone di controllare il modo in cui le loro informazioni personali vengono raccolte, utilizzate e condivise: a nessuno piace l'idea che qualcun altro possa monitorarli o trattare i loro dati personali senza il loro consenso!
Il consenso è essenziale nel GDPR, ed è per questo che ne abbiamo scritto nel nostro blog qualche tempo fa. Nel nostro blog sulle basi giuridiche abbiamo anche spiegato che il consenso non è, in linea di principio, necessario per trattare i dati personali ai sensi del GDPR: nel GDPR esistono altre basi giuridiche1, ognuna con i propri casi d'uso e le proprie limitazioni.
Il consenso è anche facile da abusare: non è difficile costringere o ingannare qualcuno ad accettare qualcosa che non vuole. Per questo motivo la legge sulla protezione dei dati (e la legge in generale) stabilisce requisiti specifici affinché il consenso sia valido.
Il GDPR non fa eccezione. Il consenso ai sensi del GDPR deve essere dato liberamente, specifico, informato e non ambiguo2. Inoltre, deve essere possibile revocare il consenso. Questi requisiti sono molto importanti nella pratica!
Immergiamoci in questa storia!
I requisiti del consenso
Libero consenso
In poche parole, il consenso è dato liberamente quando l'interessato ha una reale possibilità di scelta3. Questo non avviene in genere quando c'è uno squilibrio di potere tra il responsabile del trattamento e l'interessato.
Un rapporto di lavoro è un esempio da manuale di consenso limitato, perché un datore di lavoro può approfittare della sua posizione per fare pressione su un dipendente affinché acconsenta. Come regola generale4, il datore di lavoro non può trattare i dati dei dipendenti sulla base di un falso consenso e deve invece basarsi su un'altra base giuridica.
L'autonomia individuale è un problema antico del diritto: le persone possono essere libere sulla carta ma soggette a pressioni economiche, culturali e sociali. La legge sulla protezione dei dati non fa eccezione, quindi esiste una zona grigia per quanto riguarda il consenso dato liberamente.
Specifico
Il consenso è specifico quando viene dato per uno scopo preciso. Ad esempio, non potete chiedere un'e-mail per fornire al vostro pubblico una newsletter e poi utilizzare i dati per inviare promozioni. In questo caso, è necessario raccogliere due consensi distinti, uno per ogni scopo.
Questo requisito va di pari passo con quello del consenso informato e con il principio della limitazione delle finalità:
- limitazione delle finalità significa che i dati devono essere sempre raccolti e trattati con una finalità specifica, esplicita e legittima
- ilconsenso informato significa che l'interessato deve sapere esattamente a cosa sta acconsentendo, compresa la finalità del trattamento.
Informato
Il consenso è informato quando all'interessato vengono fornite determinate informazioni, tra cui l'identità del responsabile del trattamento, le finalità del trattamento, i tipi di dati trattati, il diritto di revocare il consenso e l'eventuale divulgazione dei dati a terzi5.
Anche l'articolo 13 svolge un ruolo importante. L'articolo è un elenco di informazioni che devono essere fornite dal responsabile del trattamento, indipendentemente dalla base giuridica su cui si basa. L'articolo 13 è il motivo per cui le politiche sulla privacy sono lunghe e noiose.
Non ambiguo
Il consenso è inequivocabile quando viene dato attraverso una chiara azione affermativa. In altre parole, il GDPR non prevede il consenso implicito. Per questo motivo, i sistemi di opt-out o le caselle pre-selezionate6 non possono mai essere utilizzati per raccogliere un consenso valido.
Il GDPR non prescrive le modalità di raccolta del consenso, purché esso sia inequivocabile. L'interessato può firmare un modulo, spuntare una casella di controllo o dare un consenso orale. Tuttavia, come regola generale, il responsabile del trattamento dovrebbe raccogliere il consenso in un modo che possa essere documentato, poiché la prova del consenso è una sua responsabilità7.
Il concetto di consenso non ambiguo si sovrappone a quello di consenso esplicito. Il consenso esplicito può essere considerato una forma "rafforzata" di consenso e funziona come un'esenzione dalle norme specifiche sul trattamento dei dati sensibili, sul processo decisionale automatizzato e sul trasferimento dei dati. Pertanto, tutti i consensi devono essere inequivocabili, ma il fatto che siano anche espliciti conta solo in scenari specifici.
In parole povere, il concetto di consenso esplicito non è chiarissimo. Il consenso implicito non è mai valido, quindi è difficile dire cosa significhi esattamente esplicito e in che modo il consenso esplicito differisca dal consenso non ambiguo. Tuttavia, come regola generale, è probabilmente sicuro pensare al consenso esplicito come a un consenso molto inequivocabile.
Quando il consenso è problematico? Alcuni esempi
Consenso in bundle
Il "consenso vincolato" è una situazione tristemente comune in cui un cliente è costretto ad acconsentire al trattamento dei suoi dati per concludere un contratto, anche se il contratto non richiede realmente il trattamento. In altre parole, il trattamento dei dati viene "accorpato" al contratto, in genere come forma di pagamento.
Per essere chiari, è possibile raccogliere il consenso per il trattamento dei dati come parte di un contratto8, a prescindere dal fatto che il trattamento sia essenziale per il contratto. Il problema sorge quando si ricatta un cliente facendo di questo consenso una rottura del contratto.
L'articolo 7 afferma che il consenso abbinato è problematico per quanto riguarda il consenso. Sfortunatamente, l'articolo non vieta del tutto la pratica del consenso abbinato, ma dà piuttosto un avvertimento o una sorta di "cartellino giallo". Il margine di manovra lasciato dall'articolo consente alle aziende di sfruttare alcune aree grigie. Di conseguenza, alcuni servizi Internet utilizzano ancora il consenso abbinato per estrarre i dati come pagamento, soprattutto quando godono di una posizione di monopolio e hanno poche o nessuna alternativa. D'altro canto, le autorità di protezione dei dati e i tribunali possono applicare l'articolo 7 in modo rigoroso, e speriamo che lo facciano.
Muri di cookie
I "muri di cookie" sono dei pop-up implementati dai siti web (in genere i notiziari) per impedire all'utente di accedere a determinati contenuti a meno che non acconsenta all'uso dei cookie.
Spesso ai visitatori viene data la possibilità di rifiutare l'elaborazione in cambio di un abbonamento a pagamento, con tre alternative: pagare con denaro, pagare con dati o non poter accedere ai contenuti.
I "cookie wall" sono simili al consenso vincolato, in quanto consentono a un responsabile del trattamento di raccogliere dati come pagamento per i contenuti. Questa pratica è comprensibile da un punto di vista economico: molti utenti non sono disposti a pagare ma sono disposti a consentire i cookie e gli editori hanno bisogno di entrate pubblicitarie per fornire contenuti. Tuttavia, i dati non sono una merce ai sensi del GDPR e si può affermare che il consenso raccolto dai muri di cookie non è dato liberamente.
Inoltre, l'editore può anche generare entrate da pubblicità non personalizzate basate sul contenuto delle notizie, il che non richiede affatto il trattamento di dati personali.
Design ingannevole
Il "design ingannevole" o "dark patterns" è la pratica di progettare UI poco chiare o ingannevoli per spingere l'utente a compiere un'azione desiderata, come l'acquisto di un prodotto, il download di un software, l'iscrizione a un servizio o il consenso al trattamento dei dati personali.
Il design ingannevole è un problema particolarmente grave per quanto riguarda i banner dei cookie. I banner di cookie spesso spingono gli utenti ad accettare i cookie sul loro browser o dispositivo. Alcuni rendono l'opzione "accetta" facilmente accessibile, mentre l'opzione "rifiuta" è meno visibile sullo schermo, ad esempio utilizzando un carattere più piccolo o un colore che non spicca sullo sfondo. Altri banner presentano all'utente scelte confuse come "accetta/gestione delle preferenze" o "accetta/apprendi di più". L'utente può rifiutare l'elaborazione solo facendo clic sulla seconda opzione e disattivando manualmente l'opzione di elaborazione di tutti i cookie non essenziali.
Al visitatore medio di Internet vengono presentati innumerevoli banner di questo tipo durante la navigazione. A un certo punto, molti utenti rinunciano semplicemente a cliccare sulla fatica e ad accettare tutti i cookie. Si può affermare che il consenso raccolto tramite banner ingannevoli non è dato liberamente. A parte il consenso, si può anche affermare che il trattamento non è né corretto né trasparente9.
L'anno scorso il Comitato europeo per la protezione dei dati ha istituito una task force sui cookie banner, in risposta alle numerose denunce contro i cookie banner ingannevoli presentate dalla ONG noyb. L'ultima volta che è stata istituita una task force di questo tipo, Google Analytics ha finito per essere vietato in diversi Stati membri dell'UE (ne abbiamo scritto qui), quindi c'è speranza per un giro di vite sui banner ingannevoli in futuro.
Conclusione
I requisiti per il consenso hanno lo scopo di garantire che l'utente abbia il controllo dei propri dati. Purtroppo, spesso non è così. Molte aziende vogliono raccogliere il maggior numero di dati possibile e spesso ignorano le norme sulla protezione dei dati o trovano modi intelligenti per aggirarle. Giorno dopo giorno, questa mentalità accaparratrice e avida di dati sta trasformando Internet in una macchina di sorveglianza.
Ma non deve essere così. Noi di Simple Analytics crediamo in un World Wide Web facile da usare e rispettoso della privacy. Per questo motivo lavoriamo per fornire ai nostri clienti preziose informazioni analitiche senza raccogliere alcun dato personale dall'utente finale. Questo alleggerisce il carico di conformità del cliente, semplifica la governance dei dati e contribuisce a rendere Internet un posto migliore. Se tutto questo vi colpisce, non esitate a provarci.
#1 Art. 6 GDPR. 6 GDPR. [^2]: Art. 4 (11) Gdpr. 4 (11) GDPR. [^3]: Linee guida EDPB 05/2020 sul consenso ai sensi del Regolamento 2016/679, par. 13. [^4]: Le eccezioni sono molto limitate. Si vedano le Linee guida EDPB 05/2020 sul consenso ai sensi del Regolamento 2016/679, par. 22. [^5]: Linee guida del WP29 sul consenso ai sensi del Regolamento 2016/679, par. 3.3.1. [^6]: Cfr. CGUE - C-673/17 - Planet49. [^7]: Artt. 5(2) e 24 GDPR. [^8]: Per essere chiari: in questo scenario il consenso è la base giuridica del trattamento, non il contratto. Il consenso al contratto non equivale al consenso al trattamento dei dati. Si noti inoltre che in questo scenario si applicano regole formali specifiche: si veda l'art. 7(2) del Gdpr. 7(2) GDPR. [^9]: Art. 5(1)(a) GDPR.