Sulla validità del “consenso” prestato nella protezione dei dati personali

La corte di giustizia (CG) chiarisce il concetto di <consenso>> ex GDPR art. 4 n° 11 e art. 6.1.a (e pure ex art. 7; nonchè per le corrispondnenti norne della dir. 95/46/CE, che nel caso poteva essere pure applicabile per una sfasatura temporale in fase esecutiva).  Qui ricorderò solo disposizioni del GDPR

Si tratta di CG 11.11.2020, C-61719, OrangeRomani vs  Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) .

Il trattamento consisteva nella raccolta e conservazione di documenti di identità , cheisti per la stipula e gestione dicotnratti di servizi telefonici  da parte di un gestore rumeno.

La Cg ricorda il cons. 32 GDPR sulla preselezione di caselle, pratica mon ammmissibile, e l’art. 7.2 sulla chaira distinguibilità quando il consenso abbia pure altri oggetti.

<<Informato>< poi significa <<in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre  2019, Planet49, C‑673/17, EU:C:2019:801, punto 74).>>, § 40.

Inoltre le clausole non devono  <<indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato>>, § 41.

L’onere della prova del valido consenso spetterebbe al titolare del trattamento, § 42: il giudizio si basa sul disposto dell’art. 7,.1 per cui <<Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali>>. Tale esito interpretativo non è scontato anche se probabilmente corretto: servirebbe riflfessine specifica

Spetta poi al giudice nazionale accertare se il consenso sia stato <specifico>, § 47, e se l’informtiva ex art. 13 sia stata completa, § 48 e infine se sia corretta nel senso di far capire che il contratto poteva essere stipulato anche senza fornire la carta di identità, § 49.

Infine , dice la CG, è dubbia che sia <libero> il cosenso, visto che <<nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare. >>, § 50.