GESTIRE IL CONSENSO AI TEMPI DEL GDPR: COSA CAMBIA?

GESTIRE IL CONSENSO AI TEMPI DEL GDPR
Il GDPR elenca 6 basi giuridiche, fra cui il consenso, ma le pone tutte sullo stesso piano. Eppure, la prassi insegna che sono molte le imprese e professionisti che abusano del consenso, anche quando non è necessario richiederlo, con perdita di tempo e costi.

Per questo trattamento devo richiedere il consenso?
Nel dubbio, faccio apporre una firma ai clienti.

Sembra questa la prassi più ricorrente quando un imprenditore o un libero professionista si trova di fronte al dilemma se chiedere o meno il consenso a clienti o dipendenti, rispetto ad attività di trattamento per le quali vi sono dubbi sulla base giuridica da applicare.
Come noto, la base giuridica è il fondamento di liceità del trattamento; in difetto, i dati personali non sono trattati in modo lecito, con il rischio concreto, per il titolare, di incorrere in sanzioni.

IL CONSENSO COME UN PORTO SICURO IN CUI RIFUGIARSI.

Fra le basi giuridiche, il consenso è la più nota, perché, all’atto pratico, è quella che incide maggiormente sui modelli organizzativi dell’imprenditore, che, dovendo dimostrare di averlo raccolto, spesso ottempera a questo obbligo, richiedendo la sottoscrizione dell’interessato in calce all’informativa.
Il consenso, però, non è l’unica base giuridica applicabile alle varie attività di trattamento: il GDPR ne contempla sei (6) e l’elenco sostanzialmente coincide con quello del Codice Privacy – d.lgs. 196/2003.

Eppure, per molti operatori, la base giuridica del consenso sembra rappresentrare quel porto sicuro in cui rifugiarsi quando il mare è in tempesta, cioè nei momenti in cui non è ben chiaro quale sia il fondamento che legittima l’attività di trattamento in corso: come a dire che forse il consenso non è la base giuridica idonea a quel tipo di trattamento, ma, poco importa, dal momento che, una volta acquisito il consenso, l’attività di trattamento è comunque legittima.

Questo ragionamento, tutt’altro che infrequente, sembrerebbe condurre alla scelta più facile ed immediata, ma in realtà, come avremo modo di spegare più avanti, è una scelta infruttosa e controproducente, sia in termini di tempo che di costi.
E’ giunto il momento di abbandonare definitivamente quel porto, che vuol dire prima di tutto abbandonare un utilizzo ridondante e quasi ossessivo del consenso, perchè il GDPR esige un altro approccio, anche alla luce dei principi di trasparenza e semplificazione in esso previsti.
Proviamo duque a fare chiarezza su questo tema.

LA BASE GIURIDICA DEL CONSENSO SECONDO IL GDPR: UNA FRA LE TANTE.

Si è già detto che vi sono altre basi giuridiche oltre al consenso.
Talvolta il trattamento dei dati personali trova fondamento nell’esistenza di un contratto, per cui quel tipo di trattamento è necessario per portare ad esecuzione le prestazioni pattuite fra le parti.
ESEMPIO 1: pensate al caso in cui inserite il vostro nome ed altri dettagli di contatto in una procedura guidata di un sito e-commerce, che vi consente di acquistare il prodotto desiderato; in quel caso il trattamento dei dati è necessario per l’esecuzione del contratto di vendita, altrimenti il gestore del sito, nella sua veste di titolare del trattamento, non sarebbe in grado di inviare l’ordine di acquisto alla destinazione da voi indicata, pregiudicando il buon esito del suo servizio.
ESEMPIO 2: Lo stesso sito, potrebbe anche trattare i dati di contatto che gli avete fornito sulla base di un obbligo di legge, quando è chiamato ad assolvere ad alcuni adempimenti contabili e fiscali.
Dunque, gli stessi dati sono stati trattati sulla base di due basi giuridiche diverse (contratto e obbligo di legge); il che determina, per entrambi i casi, la liceità del trattamento, senza dover ricorrere al consenso del cliente.

Ovviamente non è questa la sede per approfondire ognuna delle sei basi giuridiche elencate dal Regolamento Europeo, ma questi esempi sono utili per focalizzare un concetto chiave, che vale la pena definire in modo chiaro e netto: l’art. 6 del GDPR offre un elenco delle basi giuridiche che consentono al titolare di trattare i dati in modo lecito; nel farlo, decide di porre tutte le basi giuridiche sullo stesso piano.

Prima del 25 Maggio 2018, data di applicazione del GDPR, lo scenario era ben diverso: il consenso aveva un ruolo di preminenza rispetto a tutte le altre basi giuriche che, quindi, costituivano una sorta di eccezione rispetto alla regola generale, che era, appunto, il consenso.
Non a caso l‘art. 24 del Codice Privacy – d.lgs. 196/2003 porta con sé un titolo emblematico: “Casi nei quali può essere effettuato il trattamento senza consenso”.
La norma, da intendersi oggi abrogata perchè incompatibile con le nuove disposizioni del GDPR, esplicita in modo chiaro quanto si è appena detto: cioè che in epoca anteriore al Regolamento Europeo, i trattamenti leciti venivano suddivisi, a norma di Codice, fra quelli effettuati con o senza consenso dell’interessato, e questa distinzione, basata sulla ricorrenza o meno di una sola base giuridica, gioco forza poneva tutte le altre basi giuridiche su un piano diverso, o comunque aveva l’effetto di qualificarle in termini di eccezione rispetto al consenso.

Il GDPR, invece, su questo punto vuole trasmettere un altro messaggio, muovendo dal presupposto che vi sono trattamenti per i quali non occorre richiedere il consenso e che questi trattamenti non vanno intese come eccezioni.
Sembra un formalismo, un cambiamento per i soli addetti ai lavori, ma non è così.

Chi fa impresa, sa bene che raccogliere il consenso è una pratica che neccessita di tempi e costi; basti pensare ai costi di formazione del personale che va istruito sulle corrette modalità di raccolta e conservazione dei dati consensati. In questo senso il GDPR offre un assist meraviglioso ad imprese e professionisti per liberarsi dai vincoli, anche economici, del consenso. E’ richiesto, però, uno sforzo di lungimiranza, volto a riesaminare la liceità di ogni attività di trattamento dei dati, abbandonando una visione  rigida e “consenso-centrica”, in favore di una gestione più flessibile di tutte le basi giuridiche.

Per fare questo, occorre dare inizio ad un lavoro di indagine accurato, allo scopo di accertare il fondamento di tutte le attività di trattamento poste in essere dal titolare: in molti casi, si scopriranno pratiche superflue di raccolta del consenso in ragione del tipo di dato trattato (ad esempio, si chiede il consenso, pensando erroneamente di trattare dati sensibili) oppure dell’attività di trattamento (che, se correttamente valutata, non avrebbe richiesto il consenso)

Il consiglio è quello di affidarvi a consulenti esperti, che siano in grado di “bonificare” la vostra attività di impresa da procedure di raccolta del consenso ridondanti e/o inutili, aiutandovi ad evitare altrettanto inutili spese di tempo e di denaro.