Molto frequentemente, ci viene chiesto di apporre una firma o flaggare una casella di un sito internet vicino ad una frase dal seguente tenore : “do consenso all’informativa privacy”.
Cosa ci stanno effettivamente chiedendo e soprattutto, questa richiesta, è giuridicamente corretta?
Sicuramente molte volte ci è stato richiesto, ad esempio in occasione della conclusione di un contratto, di apporre una firma per dare il “consenso alla privacy”. Ma cosa significa questa espressione? Stiamo veramente prestando un consenso, e a cosa?
Partiamo da un presupposto: per trattare i dati personali serve una base giuridica che ne giustifichi, appunto, il trattamento. Per quanto interessa, va ricordato che tra le basi giuridiche del trattamento vi sono ad esempio il contratto, il consenso, oltre alla legge e al legittimo interesse.
Ad ogni base giuridica del trattamento seguono regole diverse. Ad esempio, il consenso, inteso come base giuridica di un trattamento, è sempre libero e revocabile. Invece, quando il trattamento è fondato sul contratto, solitamente segue le sue sorti, che non sono subordinate di default al libero recesso di una delle parti.
L’individuazione della base giuridica del trattamento rappresenta un momento decisivo per la predisposizione dell’informativa privacy. L’informativa, deve appunto informarci anche su altri elementi strettamente correlati alla base giuridica del trattamento, quali, ad esempio, la sua finalità e la durata.
Ad esempio, nei rapporti contrattuali, la base giuridica è il contratto.
Se la mia controparte volesse usare i miei dati personali per proprie finalità – ulteriori e diverse da quelle contrattuali (es: inviarmi comunicazioni di marketing) dovrebbe essere autorizzata a questo ulteriore trattamento, dal mio espresso consenso. Quindi, in un medesimo rapporto, possono convivere diverse basi giuridiche del trattamento.
E allora, quando ho concluso un contratto, a cosa serve la mia firma per dare «il consenso alla privacy»? Di regola, a nulla. L’espressione è utilizzata in modo non corretto e fuorviante. A ben vedere, dietro (l’errata) prassi di chiedere di firmare per «dare il consenso alla privacy», vi è probabilmente una diversa finalità perseguita dal Titolare del trattamento: poter provare di avere sottoposto l’informativa all’interessato.
Il Titolare del trattamento, infatti, per legge, deve documentare di aver reso l’informativa sul trattamento dei dati personali all’interessato. A tal punto, la prassi di far apporre una firma «per presa visione» è una soluzione ragionevole. Appare ora chiaro che il frequente richiamo al «consenso alla privacy» al posto della «presa visione dell’informativa privacy» è del tutto errato.
L’uso improprio di espressioni che hanno un preciso significato giuridico, ha certamente delle conseguenze, anche in tema di GDPR. È sono comunque sintomatiche di un approccio al trattamento dei dati, anacronistico nonché superficiale.