Il consenso dell’interessato al trattamento dei dati sanitari
Il consenso dell’interessato al trattamento dei dati sanitari
a cura di Dott. Fabrizio Carlino
1. Funzione e natura del consenso
Ai sensi del GDPR 679/2016, affinché i dati personali siano trattati in modo lecito, ogni trattamento deve essere conforme a uno dei legittimi presupposti per il trattamento dei dati, elencati all’articolo 6 per i dati personali “comuni”; all’articolo 9 per le categorie particolari di dati (o dati sensibili).
Il consenso dell’interessato trova nel Regolamento una collocazione diversa rispetto a quella del Codice privacy[1], che faceva del consenso “la” condizione di liceità dei trattamenti, sufficiente per i dati comuni o accompagnata da autorizzazione del Garante per la protezione dei dati personali di natura sensibile.
La dottrina[2] è oramai concorde nell’affermare che il Regolamento abbia parificato il consenso dell’interessato ad ogni altro fondamento legittimo previsto dalla legge: “si tratta di condizioni tra loro equipollenti e pari ordinate, essendo sufficiente che ve ne sia almeno una per poter ritenere superato il primo stadio del processo valutativo in ordine alla liceità del trattamento”.[3]
Nonostante l’avvenuta parificazione alle altre condizioni di liceità, il consenso rappresenta ancora oggi un presupposto di legittimazione del trattamento di particolare rilevanza (come d’altronde dimostra il recentissimo dibattito sulle app di contact tracing nell’ambito della lotta contro l’emergenza Covid-19) , soprattutto in considerazione del fatto che esso costituisce un elemento che si colloca significativamente nella fase di costruzione dell’identità personale[4]e, sotto altro profilo, concorre a determinare, insieme all’informativa, le regole di circolazione dei dati, cumulando in sé una funzione “legittimante” il trattamento e una funzione “regolamentare”[5], generalmente assente qualora operino altre condizioni di liceità del trattamento. Tale funzione regolamentare comporta, in sintesi, che la valutazione in ordine al bilanciamento di interessi di cui sono portatori il titolare del trattamento e l’interessato sia rimessa all’autonomia di quest’ultimo[6].
La natura del consenso è stata variamente ricostruita in dottrina. Il modo di intendere la natura del consenso appare correlato ai modelli di lettura del diritto alla protezione dei dati, per cui può concludersi che a ciascun modello di lettura corrisponde una concezione della natura del consenso.
Lungi dal voler ripercorrere tutte le ricostruzioni avanzate, risulta interessante, tuttavia, riportare alcuni dei modelli di lettura proposti dalla scienza giuridica.
Un tradizionale orientamento dottrinario[7], che si è consolidato sulla base della normativa di recepimento della Direttiva 95/46 – la legge 675/1995, prima, e il d.lgs. 196/2003, poi – partendo dalla preliminare considerazione che il diritto alla protezione dei dati personali sia un diritto fondamentale della persona – in quanto tale assoluto, inalienabile, intrasmissibile, imprescrittibile ecc. – finisce con l’attribuire al consenso natura di atto di autorizzazione, in forza del quale il titolare del trattamento è legittimato a trattare i dati personali dell’interessato. Il consenso dunque non avrebbe alcuna valenza dispositiva né traslativa in ordine ai dati personali, giacché gli stessi afferiscono alla persona in maniera costitutiva e non proprietaria.
Secondo questa ricostruzione, il consenso dell’interessato sarebbe funzionale alla libera costruzione dell’identità personale e costituirebbe un presupposto di legittimazione delle attività di trattamento che altrimenti sarebbero precluse perché illecite[8].
Ad un più attento esame di questa teoria, alcuni sostenitori della natura autorizzatoria del consenso hanno messo in evidenza che il consenso svolge ulteriori funzioni, connesse alla capacità regolativa del medesimo, osservando che “il consenso dell’interessato deve essere distinto in due aspetti o momenti essenziali, che si collocano ognuno a un diverso livello. Infatti, l’autodeterminazione soggettiva nel configurare i caratteri della sfera di identità individuale produce un doppio effetto. Un primo momento è quello in cui il consenso si pone come condizione di accesso nella sfera di intimità personale […]. Un secondo momento, invece, è quello in cui il consenso rappresenta la fonte della regola che conforma la fattispecie regolatoria, determinandone i circuiti concreti”[9].
Alla luce di tale prospettazione, dunque, l’interessato non solo opererebbe, con la propria manifestazione di volontà, le decisioni in ordine alla circolazione o meno dei propri dati (selezionandoli e, quindi, autorizzandone il trattamento, nel senso di legittimarlo), ma interviene – almeno formalmente – anche nel procedimento di regolamentazione della modalità del trattamento.
La debolezza della ricostruzione testé riferita è stata messa a nudo notando che “nella prassi, la funzione di regolamentazione rimessa all’interessato è piuttosto ridimensionata, se non sterilizzata […]. Il meccanismo delineato in materia di protezione dei dati personali non prevede che l’interessato concorra a determinare le regole e le modalità del trattamento, che in realtà vengono rimesse alla sola valutazione del titolare”[10], soprattutto in considerazione del fatto che il Regolamento assegna al titolare e non all’interessato il compito di determinare le finalità, le caratteristiche e le modalità del trattamento, oltre alle misure di sicurezza da applicare, onerandolo inoltre di informare l’interessando anche al fine di essere in grado di dimostrare che il consenso è stato effettivamente prestato dall’interessato.
Si consideri inoltre che lo stesso Regolamento definisce il consenso come una manifestazione di volontà con la quale l’interessato manifesta il proprio “assenso”, lasciando intravedere la natura di atto di mera adesione, più che di tipo normativo, del consenso.
Sempre nell’ambito di questo grande filone teso ad affermare la natura di diritto fondamentale della persona del diritto alla protezione dei dati personali, un orientamento dottrinale tende a fare ricorso alla nozione del consenso dell’avente diritto con valore di scriminante, riconducibile, per quanto riguarda l’ordinamento giuridico italiano, al modello delineato dall’articolo 50 del codice penale.
La manifestazione di consenso costituirebbe l’atto con il quale l’interessato rimuove l’antigiuridicità del trattamento, rendendo lecita l’attività di trattamento che altrimenti sarebbe vietata[11].
È stato notato che la figura del consenso dell’avente diritto avrebbe il pregio di non contraddire il carattere di irrinunciabilità e di indisponibilità tipicamente attribuito alla categoria dei diritti della personalità, nella quale viene inscritto il diritto alla protezione dei dati personali: quando si consente alla lesione di un diritto, tale consenso si emette di fronte a una o più determinate persone, le quali, uniche, saranno legittimate a compiere la lesione, senza che per questo si voglia produrre, con portata generale, l’estinzione del diritto; non potrebbe quindi individuarsi né una rinuncia né un atto di disposizione, potendo parlarsi tutt’al più di una parziale disponibilità dei diritti della personalità[12].
In realtà, tutte le posizioni dottrinarie finora riportate – e che, si ripete, sono state formulate con riferimento alla normativa, nazionale ed europea, precedente – partono da un assunto che non può più dirsi attuale: tutte ritengono che il trattamento di dati personali sia un’attività intrinsecamente illecita.
A tal proposito, non bisogna dimenticare che dall’impianto normativo del Regolamento 2016/679 emerge in maniera non più discutibile la configurabilità di un vero e proprio diritto al trattamento dei dati personali in capo al titolare del trattamento, qualora le attività in cui consta il trattamento siano lecite ai sensi dell’articolo 5 del Regolamento.
La visione secondo cui il trattamento è illecito se non vi è il consenso dell’avente diritto non tiene conto, inoltre, della presenza di ulteriori presupposti che legittimano il trattamento e che lo rendono conforme al diritto a prescindere da una causa di giustificazione.
In dottrina sono state sostenute le più disparate tesi circa la natura del consenso, che vanno dalla configurazione di questo come atto autorizzatorio non negoziale[13]; ovvero un atto di disposizione negoziale[14]; ovvero uno degli elementi di una fattispecie legale vista in chiave procedimentale; ovvero ancora come atto di rinuncia anticipata alla tutela.
Degna di essere presa in considerazione, quanto meno con riferimento ai dati personali “comuni”, appare la ricostruzione di chi, enfatizzando la natura dell’atto di disposizione del consenso, insiste sul concetto di “reificazione” dei dati personali, che divengono “beni”[15] suscettibili di autonoma considerazione economica e, in quanto tali, destinati a circolare sul mercato, senza che con ciò si contraddica il carattere indisponibile riconosciuto ai diritti della personalità[16].
A fronte della complessità e della varietà delle tesi prospettate, è stato suggerito di abbandonare del tutto “l’ansia catalogatoria”. La soluzione preferibile sarebbe quella di intervenire sotto il profilo metodologico: “alla domanda se sia possibile ricostruire un “sistema” della privacy e del consenso al trattamento dei dati, la risposta è nel senso che il sistema, se c’è, è instabile per definizione e non presenta i caratteri tradizionali della compiutezza e della necessaria correlazione di ciascun elemento […]. Se proprio si dovesse scegliere un nomen iuris, il consenso in questione potrebbe essere definito elemento di una fattispecie legale a contenuto e disciplina composita: ergo, non “il” ma “i” consensi. Bisogna rassegnarsi all’idea che siamo di fronte a “materiali” nuovi, né soltanto italiani, né esclusivamente stranieri, bensì europei e sovranazionali”[17].
2. I requisiti di un consenso valido per il trattamento di categorie particolari di dati
Il consenso è espressamente definito come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”[18]. Con specifico riferimento ai dati sensibili, l’art. 9 richiede che il consenso sia (anche) esplicito.
Di seguito, un’analisi dei caratteri del consenso.
L’elemento della manifestazione di volontà “libera” implica che l’interessato abbia una scelta effettiva, che consenta il controllo sui propri dati[19]. Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva, si sente obbligato ad acconsentire o subirà conseguenze negative se non acconsente, il consenso non sarà valido[20].
L’art. 7 par.4 dispone a tal proposito che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”[21].
Il considerando 43 aggiunge che “per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”.
In altre parole, il considerando 43 indica chiaramente che è improbabile che le autorità pubbliche possano basarsi sul consenso per effettuare il trattamento, poiché in questo caso sussiste un evidente squilibrio di potere nella relazione tra il titolare e la persona fisica interessata.
Il Regolamento però non esclude tout court il ricorso al consenso come base legittima per il trattamento dei dati da parte delle autorità pubbliche: si pensi, ad esempio, al caso di una scuola che chiede agli studenti il consenso ad utilizzare le loro fotografie in una rivista studentesca in formato cartaceo; qui il consenso costituisce una scelta vera e propria a condizione che agli studenti non vengano negati l’istruzione o altri servizi e che gli studenti possano rifiutare il consenso senza subire pregiudizio.
Lo squilibrio di potere esiste, ovviamente, anche nel rapporto tra lavoratore e datore di lavoro[22]. Il Gruppo di lavoro ritiene problematico per il datore di lavoro trattare i dati personali dei dipendenti attuali o futuri sulla base del consenso, in quanto è improbabile che questo venga prestato liberamente.
In considerazione di tale squilibrio, il trattamento dei dati, anche sensibili, è lecito quando sia necessario, ad esempio, per finalità di medicina del lavoro o di valutazione della capacità lavorative del dipendente (v. articolo 9 par.1 lett. h): in tal caso, l’assenza di un consenso espresso del lavoratore viene bilanciato con un importante strumento di garanzia, ossia l’obbligo di segretezza professionale in capo al medico del lavoro o altro soggetto tenuto al segreto professionale.
Sempre il considerando 43 inoltre conclude che “si presume che il consenso non sia stata liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato, nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”[23].
In un ultimo, un’ulteriore indicazione utile ai fini di un esatto intendimento di libertà del consenso è fornita da considerando 42, a mente del quale “il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio”[24].
Il requisito secondo il quale il consenso deve essere specifico mira a garantire un certo grado di controllo da parte dell’utente.
La specificità del consenso deve innanzitutto essere letta in relazione alle finalità per le quali è avviato il trattamento: è specifico il consenso se la manifestazione di volontà ha ad oggetto un trattamento di dati personali che avviene per una o più finalità specifiche.
Nonostante le disposizioni in materia di compatibilità delle finalità[25], il consenso deve essere specifico per finalità. L’interessato presterà il consenso nella convinzione di avere il controllo sui suoi dati e nella convinzione che questi saranno trattati esclusivamente per finalità specificate. Se tratta i dati basandosi sul presupposto del consenso e intende trattarli per un’altra finalità, il titolare del trattamento deve richiedere un ulteriore consenso per tale finalità a meno che non possa basarsi su un’altra base legittima che risponda meglio alla situazione.
Secondo alcuni autori[26]la specificità va considerata una “particolare applicazione” del requisito di libertà: “se infatti si vincolano a un solo consenso due (o più) finalità distinte, si priva l’interessato della possibilità di scegliere quale consentire e quale no, gli si impone cioè di accettarle tutte in blocco oppure di rifiutarle, e questa è un’evidente violazione del principio di libertà”.
Il requisito del consenso informato è strettamente connesso con il principio di trasparenza e con gli obblighi di chiarezza, semplicità, sinteticità delle informazioni gravanti sul titolare del trattamento.
Come illustrato dal Gruppo di lavoro articolo 29[27], il consenso deve essere basato su un apprezzamento e sulla comprensione dei fatti e delle implicazioni dell’azione della persona interessata per il consenso al trattamento. In altri termini, affinché il consenso sia prestato con cognizione di causa, le persone devono altresì essere consapevoli delle conseguenze del mancato consenso al trattamento.
Fornire informazioni agli interessati prima di ottenerne il consenso è fondamentale per consentire loro di prendere decisioni informate, capire a cosa stanno consentendo e, ad esempio, esercitare il diritto di revoca del consenso. Se il titolare del trattamento non fornisce informazioni accessibili, in forma comprensibile e in un linguaggio semplice e chiaro, il consenso non può considerarsi “informato” e quindi non costituirà una valida base per il trattamento.
Il Gruppo di lavoro[28]ha sostenuto che per ottenere un consenso valido siano necessarie almeno le seguenti informazioni: l’identità del titolare del trattamento; la finalità di ciascuno dei trattamenti per i quali è richiesto il consenso; quali (tipi di) dati saranno raccolti e utilizzati; l’esistenza del diritto di revocare il consenso; informazioni sull’uso dei dati per un processo decisionale automatizzato ai sensi dell’articolo 22, par.22, lett. c), se del caso; informazioni sui possibili rischi di trasferimenti di dati dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate[29].
Il regolamento prevede una serie di prescrizioni in merito al consenso informato, per garantire un maggiore livello di chiarezza e accessibilità delle informazioni.
L’art.7 par.2 dispone che “se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante”.
Il Regolamento non prescrive alcuna forma o alcun formato per la c.d. informativa di trattamento affinché sia soddisfatto il requisito del consenso informato; tuttavia, come appena visto, il titolare del trattamento dovrebbe assicurarsi di usare sempre un linguaggio chiaro e semplice[30].
In relazione ai servizi offerti dalla società dell’informazione – a comprova dell’adeguatamente della legislazione europea al progresso tecnologico – il considerando 32 inoltre chiarisce che “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di imposizioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto […]. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Con tale previsione, il legislatore europeo affronta anche l’ardua tematica circa la modalità di estrinsecazione del consenso.
Il consenso non deve essere necessariamente prestato in forma scritta, giacché, come visto, il considerando 32 specifica che può essere manifestato anche in forma orale. Tuttavia, è intuibile che per il titolare del trattamento, su cui grava l’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali (ex art.7) dovrebbe essere preferibile ottenere un consenso in forma scritta.
A tal proposito, è già stato ricordato che l’art.4 n.11 definisce il consenso come una manifestazione di volontà espressa “mediante dichiarazione o azione positiva inequivocabile”, con tale espressione intendendosi che l’interessato deve aver intrapreso un’azione deliberata per acconsentire al trattamento specifico, non essendo sufficiente a configurare consenso il silenzio, l’inattività o la preselezione di caselle[31].
Nei casi in cui possano emergere gravi rischi per la protezione dei dati e si ritiene quindi appropriato un livello elevato di controllo individuale sui dati personali, il Regolamento richiede un consenso “esplicito” da parte dell’interessato[32].
Il Gruppo di lavoro Articolo 29 ha precisato che “il termine esplicito si riferisce al modo in cui il consenso è espresso dall’interessato e significa che l’interessato deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi che il consenso sia esplicito consisterebbe nel confermare espressamente il consenso in una dichiarazione scritta. Se del caso, il titolare del trattamento potrebbe assicurarsi che la dichiarazione scritta sia firmata, al fine di dissipare tutti i possibili dubbi e la potenziale mancanza di prove in futuro”[33].
Si consideri il caso di una clinica per chirurgia estetica che chieda il consenso esplicito di un paziente al trasferimento della cartella clinica ad un esperto, per un secondo parere sulla condizione del paziente. Data la natura specifica delle informazioni in questioni, non viola il Regolamento la clinica che chiede la firma elettronica dell’interessato per ottenere – ed essere in grado di dimostrare – un consenso specifico valido.
È stato opportunamente considerato, inoltre, che “ragionando in termini semantici, pare corretto ritenere che mentre il reciproco del consenso espresso è il consenso tacito, non ammissibile, il reciproco del consenso esplicito deve essere il consenso implicito. In altri termini, deve considerarsi “esplicito” il consenso non desumibile da comportamento concludente, posto che in tali casi il consenso sarebbe desunto implicitamente dalla condotta” [34].
Secondo il Gruppo di lavoro, inoltre, “anche la verifica in due fasi del consenso può essere un modo per assicurarsi che il consenso esplicito sia valido”[35].
A conclusione di quest’ampia panoramica sul consenso quale condizione di liceità che, pur parificato agli ulteriori presupposti di legittimazione del trattamento, riveste un ruolo di notevole interesse pratico-applicativo, considerando che il bilanciamento di interessi tra titolare del trattamento ed interessato è rimesso all’autonomia di quest’ultimo, è ora opportuno dedicare una breve riflessione circa il principio di responsabilizzazione in relazione alla prova, da parte del titolare del trattamento, del consenso prestato dall’interessato.
L’art.7 par. 3 prescrive che “qualora il trattamento sia basato sul consenso, il Titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.
Nelle già citate Linee-guida il Gruppo di lavoro ha chiarito che “il titolare del trattamento è libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sua attività quotidiane […], dovrebbe disporre di dati sufficienti per mostrare un collegamento al trattamento (ossia per fornire la prova che è stato ottenuto il consenso)”.
Il Regolamento, pur attribuendo l’onere della prova in capo al titolare del trattamento, non chiarisce come ed in che termini tale onere possa essere soddisfatto.
Secondo il Gruppo di lavoro il titolare del trattamento potrebbe tenere una registrazione delle dichiarazioni di consenso ricevute onde poter dimostrare come e quando è stato ottenuto il consenso, oltre a rendere dimostrabili le informazioni fornite all’interessato al momento dell’espressione del consenso, per dare prova dell’effettività dello stesso[36].
“La logica alla base di tale obbligo è che il titolare del trattamento deve essere responsabilizzato in relazione all’ottenimento di un consenso valido dell’interessato e ai meccanismi di consenso che ha messo in atto”.
3. Revoca del consenso
L’art.7 par. 3 prescrive che “l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato”.
Secondo le Linee-guida del Gruppo di lavoro, il requisito della facilità della revoca è un elemento necessario del consenso valido: se il diritto di revoca non soddisfa i requisiti del regolamento, il meccanismo di consenso del titolare del trattamento non è conforme al regolamento.
La revoca, così come delineata dal Regolamento, ha efficacia ex nunc ed è esercitabile ad nutum – in quanto non è richiesto che l’interessato fornisca alcuna giustificazione – e sine die – giacché può essere esercitata in qualsiasi momento. Essa rimuove a monte, ma senza alcun effetto retroattivo, la condizione di liceità del trattamento, sicché a partire da tale momento il trattamento di dati personali – a meno che non sussista una ulteriore condizione di liceità – è vietato e i dati precedentemente raccolti e legittimamente trattati dovrebbero essere cancellati.
Un profilo molto interessante, e che ha già formato oggetto di analisi da parte di attenta dottrina[37]è rappresentato dall’interazione tra il diritto di revoca, esercitabile sine die dall’interessato, e la condizioni di liceità di cui all’art. 6 par. 1 lett. f) corrispondente alla necessità del trattamenti ai fine del perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali.
Era stata ipotizzata in dottrina la necessità di apporre un termine per l’esercizio del diritto di revoca da parte dell’interessato. Tuttavia non solo la lettere della legge è chiara nel precisare che la revoca può essere esercitata “in qualsiasi momento”, ma appare chiaro da una lettura combinata del complessivo sistema delle condizioni di liceità che se a fronte della revoca del consenso da parte dell’interessato e del successivo venir meno del presupposto di legittimità del trattamento, il trattamento dei dati personali si renda necessario per la tutela di un interesse del titolare o di terzi, e questo sia di un rango sovraordinato agli interessi o ai diritti e libertà fondamentali dell’interessato, il titolare del trattamento è comunque legittimato a (continuare a) trattare i dati, questa volta non più in forza del consenso dell’interessato, bensì di una diversa condizione di liceità.
Infine, in caso di revoca del consenso, il titolare del trattamento, se vuole continuare a trattare i dati personali in base a un’altra base legittima, non può passare tacitamente dal consenso (che è stato revocato) all’altra base giuridica; qualsiasi modifica della base legittima del trattamento deve essere notificata all’interessato in conformità ai requisiti di informazione di cui agli articoli 13 e 14, nonché al principio generale di trasparenza.
4. Alcune considerazioni conclusive
Quando il trattamento riguarda categorie particolari di dati personali, l’articolo 9, paragrafo 2, non riconosce il trattamento “necessario all’esecuzione di un contratto” come un’eccezione al divieto generale di trattare categorie particolari di dati, a differenza della previsione corrispondente all’articolo 6 paragrafo 1 lett. b). Di conseguenza, i titolari del trattamento dovrebbero rinvenire la condizione di liceità in una delle eccezioni di cui all’articolo 9, paragrafo 2, da b) a j), e qualora ciò non risulti possibile, chiedere ed ottenere il consenso esplicito dell’interessato, come unica eccezione lecita possibile per trattare tali dati.
Alla fattispecie di liceità del trattamento basata sul consenso può forse avvicinarsi quella di cui alla lettera e), relativa al trattamento di dati personali (sensibili) che siano stati resi manifestamente pubblici dall’interessato[38].
È stato osservato che la disposizione richiamata “non introduce una presunzione di liceità, ma una vera e propria causa legittima di trattamento, sicché farebbe capo all’interessato l’onere di dimostrare che il dato trattato ad esso riferibile non è stato reso manifestamente pubblico ovvero che ciò sia avvenuto senza il consenso o comunque non per il fatto di esso interessato”[39].
È auspicabile che la valutazione del titolare circa la sussistenza di tale presupposto avvenga in maniera rigorosa, tenendo conto che si tratta di un’eccezione al divieto generale di cui all’articolo 9 paragrafo 1, e come tale, presuppone un’interpretazione restrittiva, sempre a favore della persona alla quale i dati si riferiscono.
Il Garante, inoltre, ha formulato una serie di ipotesi in cui non sussiste una legittimazione del trattamento dei dati riconducibile alle lettere da b) a j) del paragrafo 2 dell’articolo 9, ma è invece necessario il consenso dell’interessato per ritenere lecito il trattamento. Si tratta, evidentemente, di un elenco meramente esemplificativo[40], all’interno del quale il Garante annovera: i trattamenti connessi all’utilizzo di APP mediche (quando i dati relativi alla salute sono raccolti dal professionista sanitario attraverso la APP per finalità diverse dalla cura oppure altri soggetti, che non sono tenuti al segreto professionale, possono accedere a detti dati qualunque sia la finalità della loro raccolta); i trattamenti preordinati alla fidelizzazione della clientela (quali, per esempio, le raccolte punti promosse da farmacie per far ottenere al cliente dei prodotti o dei servizi gratuiti o scontati); i trattamenti effettuati in ambito sanitario da persone giuridiche private per finalità promozionali o commerciali; i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali; i trattamenti effettuati attraverso il fascicolo sanitario elettronico (in questo caso, infatti, il consenso dell’interessato è necessario in quanto è specificamente richiesto dalla normativa che disciplina il fascicolo sanitario elettronico); i trattamenti effettuati per la refertazione on-line (anche in questo caso, infatti, il consenso dell’interessato è espressamente richiesto dalla normativa che disciplina la consegna del referto).
[1] Nella originaria versione del d.lgs. 196/2003 (Codice privacy) il ruolo del consenso ruotava intorno alla natura del soggetto titolare del trattamento, tenendosi tuttavia conto anche della natura dei dati: i dati personali “comuni”, trattati da un soggetto pubblico potevano essere trattati senza alcun consenso, ma nei soli limiti delle finalità istituzionali dell’ente previsti dalla norma istitutiva; i dati sensibili potevano essere trattati solo se il trattamento fosse previsto da una specifica disposizione di legge, senza alcun bisogno di consenso dell’interessato né dell’autorizzazione del Garante, salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici. Il consenso dell’interessato era invece richiesto se il titolare fosse un privato, salvo particolari ipotesi normative.
[2] Cfr. L. Lipari, Privacy: dal Regolamento (UE) 2016/679 al d.lgs. n.101/2018, in Diritto civile e commerciale: “il venir meno dell’obbligo di consenso quando i dati sono trattati per finalità di diagnosi e cura (art. 2-septies del Codice privacy emendato dal d.lgs. 101/2018 in combinata lettura con l’art.9 GDPR) “ rappresenterebbe il passaggio “da un sistema consensocentrico ad un sistema in cui occorre prima chiedersi e capire quali siano le ragioni per cui i dati sono trattati, per poi valutare, alla luce della finalità identificata, il fondamento di liceità di tale trattamento”. Disponibile sul sito internet https://www.diritto.it/privacy-dal-regolamento-ue-2016-679-al-d-lgs-n-101-2018/. Sul punto, cfr. anche G. Finocchiaro, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p.101 e ss.; nonché L. Bolognini – E. Pelino – C. Bistolfi, Il Regolamento privacy europeo: commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, p.277 e ss.
[3] G. Finocchiaro, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p.126.
[4] Cfr. S. Mazzamuto, Il principio del consenso e il problema della revoca, in R.Panetta (a cura di), Libera circolazione, p. 994, secondo cui il consenso assurge “al rango di una delle prerogative principali della libertà riconosciuta ai privati […] di conformare, attraverso libere determinazioni, la propria identità personale”.
[5] Di funzione regolamentare del consenso discorre altresì S. Mazzamuto, secondo il quale il consenso “assolve non solo ad una funzione per lo più definita in termini di autorizzazione all’espletamento del trattamento, ma anche ad una funzione squisitamente regolamentare”. Cfr. S. Mazzamuto, op. loc. cit.
[6] Cfr. L. Chieffi, La tutela della riservatezza dei dati sensibili: le nuove frontiere europee, in Federalismi.it, 14 febbraio 2018, p.25: “Il diritto all’autodeterminazione informativa esige che qualunque trattamento dei dati sensibili, appartenenti alla sfera più intima dell’individuo, sia preceduta dalla manifestazione da parte dello stesso di un valido consenso informato, libero da qualsivoglia condizionamento esterno”.
[7] Tale orientamento è riconducibile, ex multis, ad A. De Cupis, I diritti della personalità, in Tratt. Cicu-Messineo, IV, 2° ed., Milano, 1982, p.93 e ss; A. Ondei, Le persone fisiche e i diritti della personalità, Torino, 1965, p. 234; C.M. Bianca, Diritto civile, 1, La norma giuridica, i soggetti, Milano, 1978, p.147.
[8] Sul punto, cfr. D. Messinetti, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, in Riv. crit. di dir. Priv., 1998, p.350 e ss.
[9] Così D. Messinetti, op. loc. cit., p.352 e ss.
[10] Cfr. G. Finocchiaro, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p.145.
[11] Sulla illiceità ex ante del trattamento, v. Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018: “Come affermato nel parere 15/2011 sulla definizione di consenso, l’invito ad accettare il trattamento dei dati dovrebbe essere soggetto a criteri rigorosi, poiché sono in gioco diritti fondamentali dell’interessato e il titolare del trattamento intende svolgere un trattamento che senza il consenso sarebbe illecito”.
[12] Sul punto, cfr. A. De Cupis, I diritti della personalità, in Tratt. Cicu-Messineo, IV, 2° ed., Milano, 1982, p.93 e ss.
[13] Cfr. S. Mazzamuto, Il principio del consenso e il problema della revoca, in R. Panetta (a cura di), Libera circolazione, p.1029: “La conclusione cui approda la tesi dell’autorizzazione è di ravvisare nel consenso un atto a struttura unilaterale di natura di natura non negoziale in quanto teso a consentire all’interessato l’edificazione della propria sfera personale di intimità”.
[14] Tale ricostruzione ravvede nel consenso un atto di autonomia negoziale con cui si dispone dei dati personali riferibili all’interessato medesimo, ma senza effettuare alcun atto di tipo traslativo: la disposizione coinciderebbe con l’ammettere altri nella propria sfera personale, instaurando un rapporto di durata, sicché il consenso non spiega un effetto una tantum, definitivo e irrevocabile, ma porta all’instaurazione di un rapporto continuativo, di durata, che viene a crearsi inter partes, e ciò sarebbe confermato dai poteri attribuiti all’interessato successivamente alla prestazione del consenso. Per un’analisi più approfondita, cfr. G. Oppo, Sul consenso dell’interessato, in Cuffaro, Ricciuto, Zeno-Zencovich (a cura di), Trattamento dei dati e tutela della persona, 1999, p.125
[15] La configurabilità del dato personale quale bene, in quanto tale suscettibile di formare oggetto di diritti, rientra nel tema più complesso relativo all’informazione come bene giuridico. Sul punto cfr. P. Perlingieri, L’informazione come bene giuridico, in Rassegna di diritto civile, 1990, p.326 e ss.
[16] Cfr. V. Cuffaro, A proposito del ruolo del consenso, in ID., Ricciuto, Zeno-Zencovich (a cura di), op. cit. p.121: “il consenso, più che costituire una sorta di rinuncia dell’avente diritto alla propria privacy, esprime invece la condizione soggettiva per la reificazione dei dati personali, che per suo tramite entrano per così dire sul mercato in quanto beni suscettibili di autonoma considerazione economica”.
[17] Così S. Sica, Il consenso al trattamento dei dati, Padova, 2001, p.90.
[18] Articolo 4 n. 11 del Regolamento.
[19] Nel quadro del CdE, ai sensi della Convenzione n. 108 modernizzata, il consenso dell’interessato deve «rappresentare la libera espressione di una scelta intenzionale». Sul punto, cfr. Relazione esplicativa della Convenzione n. 108 modernizzata, punto 42.
[20] Cfr. parere 15/2011 sulla definizione di consenso (WP 187), p.13.
[21] Esempio: un’applicazione mobile per il fotoritocco chiede agli utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’applicazione comunica agli utenti che utilizzerà i dati raccolti per finalità di pubblicità comportamentale. Né la geolocalizzazione né la pubblicità comportamentale online sono necessarie per la prestazione del servizio di fotoritocco e vanno oltre la fornitura del servizio principale. Poiché gli utenti non possono utilizzare l’applicazione senza acconsentire a tali finalità, il consenso non può essere considerato liberamente espresso. Esempio tratto da Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018.
[22]V. Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018: “è improbabile che il dipendente sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni, alla richiesta del datore di lavoro di acconsentire, ad esempio, all’attivazione di sistemi di monitoraggio, quali la sorveglianza con telecamere sul posto di lavoro, o alla compilazione di moduli di valutazione”.
[23] A tale riguardo “Il Gruppo di lavoro ritiene che il consenso non possa considerarsi prestato liberamente se il titolare del trattamento sostiene che esiste una scelta tra il suo servizio che prevede il consenso all’uso dei dati personali per finalità supplementari, da un lato, e un servizio equivalente offerto da un altro titolare del trattamento, dall’altro. In tal caso la libertà di scelta dipenderebbe dagli altri operatori del mercato e dal fatto che l’interessato ritenga che i servizi offerti dall’altro titolare del trattamento siano effettivamente equivalenti. Ciò implicherebbe inoltre l’obbligo per il titolare del trattamento di monitorare gli sviluppi del mercato per garantire la continuità della validità del consenso per le sue attività di trattamento, in quanto un concorrente potrebbe modificare il servizio in un momento successivo. Di conseguenza il consenso ottenuto con questa argomentazione non rispetta il regolamento generale sulla protezione dei dati”. Cfr. Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018.
[24] A tal proposito, si richiama una delle primissime decisioni del Garante, in cui è stato affermato che “il consenso può essere ritenuto effettivamente libero solo se si presenta come manifestazione del diritto all’autodeterminazione informativa e, dunque al riparo da qualsiasi pressione, e se non viene condizionato all’accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto”. Sul punto, cfr. GPDP, 28 maggio 1997 [40425].
[25] V. infra pag. 63 e ss.
[26] Cfr. L. Bolognini – E. Pelino – C. Bistolfi, Il Regolamento privacy europeo: commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, p.215 e ss.
[27] Cfr. Gruppo di lavoro articolo 29 (2007), Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (CCE), WP 131, Bruxelles, 15 febbraio 2007.
[28] Cfr. Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018.
[29] Sulla informativa di trattamento v. articoli 12 e 13 del Regolamento.
[30] Cfr. Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018: “ciò significa che il messaggio dovrebbe essere facilmente comprensibile per una persona media, non solo per un avvocato. Il titolare del trattamento non può usare lunghe politiche sulla tutela della vita privata difficili da comprendere oppure informative piene di gergo giuridico. Il consenso deve essere chiaro e distinguibile dalle altre questioni, e deve essere presentato in una formale intelligibile e facilmente accessibile”.
[31] Cfr. Documento di lavoro dei servizi della Commissione, Valutazione d’impatto, allegato 2, pag.20: “Come sottolineato anche nel parere adottato dal Gruppo di lavoro Articolo 29 in materia di consenso, sembra fondamentale chiarire che affinché un consenso sia valido è necessario ricorrere a meccanismi che non lascino dubbi circa l’intenzione dell’interessato di acconsentire, per chiarendo che, nel contesto dell’ambiente online, l’uso di opzioni predefinite che l’interessato è tenuto a modificare per rifiutare il trattamento (“consenso basato sul silenzio”) non costituisce di per sé un consenso inequivocabile. Ciò darebbe alle persone un controllo maggiore sui propri dati, qualora il trattamento si basi sul loro consenso”.
[32] Oltre all’articolo 9 con riferimento alle categorie particolari di dati personali, il Regolamento prescrive un consenso specifico all’art.49 per i trasferimenti di dati verso paesi terzi od organizzazioni internazionali in assenza di garanzie adeguate, nonché all’art.22 per i processi decisionali automatizzati relativi alle persone fisiche, compresa la profilazione. Nella seguente trattazione, si avrà specifico riguardo al consenso esplicito prestato per il trattamento di dati sensibili.
[33] Cfr. Gruppo di lavoro Articolo 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, come modificate e adottate da ultimo il 10 aprile 2018.
[34] Cfr. L. Bolognini – E. Pelino – C. Bistolfi, Il Regolamento privacy europeo: commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, p.223.
[35] Nelle già citate Linee-guida, il Gruppo di lavoro esamina il caso dell’interessato che riceve un’e-mail che gli notifica l’intenzione del titolare del trattamento di trattare una cartella contenente dati medici. Il titolare del trattamento spiega nell’e-mail che chiede il consenso all’uso di un insieme specifico di informazioni per una finalità specifica. Se l’interessato acconsente all’utilizzo dei dati, il titolare del trattamento gli chiede una risposta via e-mail contenente la dichiarazione “Acconsento”. Dopo l’invio della risposta, l’interessato riceve un link di verificare da cliccare oppure un messaggio SMS con un codice di verifica, in maniera da confermare il consenso.
[36] Si consideri il caso di un ospedale che istituisce un programma di ricerca scientifica per il quale sono necessarie le cartelle cliniche odontoiatriche di pazienti. I partecipanti sono selezionati tramite telefonate a pazienti che hanno volontariamente accettato di essere inseriti in un elenco di candidati che possono essere contattati a tal fine. Il titolare del trattamento chiede il consenso esplicito degli interessati all’uso della loro cartella clinica odontoiatrica. Il consenso viene ottenuto durante una telefonata, registrando una dichiarazione verbale dell’interessato nella quale quest’ultimo conferma di acconsentire all’uso dei suoi dati per le finalità del programma”.
[37] Sul punto, v. G. Finocchiaro, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, p.161 e ss.
[38] In realtà sembra problematico determinare quando un dato possa dirsi “reso pubblico dall’interessato”. Si consideri il caso, emblematico, di una donna morta suicida dopo che un suo video a sfondo sessuale sia stato diffuso in rete da amici ai quali pare che fosse stato trasmesso dalla stessa vittima. La vera questio facti pertiene al tipo di circolazione delle informazioni (il video, nell’esempio considerato) che viene abilitata quando il trasferimento dell’informazione non è dichiaratamente a favore del pubblico dominio, né tuttavia può intendersi come assolutamente confidenziale.
[39] V. M. Granieri, Il trattamento di categorie particolari di dati personali nel reg. UE 2016/679, in NLCC 1/2017, p. 171.
[40] Sul punto, cfr. P. P. Muià, I chiarimenti del Garante privacy sulla legittimazione dei trattamenti di dati in materia sanitaria e sul consenso dell’interessato, in Diritto civile e commerciale, 7 marzo 2019.