Il consenso degli interessati costituisce una delle basi giuridiche per il trattamento dei dati personali, sia nel caso di dati comuni (art. 6 lett. a) GDPR), sia nel caso di dati sensibili (art. 9 GDPR), e presenta dei requisiti ben delineati. Il consenso, infatti, ai sensi dell’art. 7 GDPR dev’essere:
- libero: il consenso è valido solo se è espresso liberamente. La libertà del consenso esclude che la volontà dell’interessato possa essere viziata, ovvero manifestata in presenza di errore, volenza, dolo o incapacità naturale di intendere e di volere, anche solo temporanea;
- espresso: il consenso non può presumersi anche solo da un comportamento concludente da parte dell’interessato;
- informato: il consenso deve essere prestato prima dell’inizio del trattamento e comunque dopo aver avuto conoscenza dell’informativa;
- specifico: oggetto del consenso deve essere ogni specifica finalità del trattamento;
- non condizionato: ai fini della valutazione sulla libertà del consenso si va a considerare se questo sia stato prestato quale condizione per l’esecuzione di un contratto di cui è parte l’interessato per il quale il consenso al trattamento dei dati personali non sia in realtà necessario a tal fine.
Sull’istituto del consenso, poi, vige il principio della libertà delle forme, fermo restando che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
Quanto al regime di revocabilità, invece, vi è da dire che il consenso è sempre revocabile. Cioè, l’interessato ha sempre il diritto di conoscere dell’esistenza della facoltà di poter revocare il proprio consenso nel momento in cui gli viene consegnata l’informativa di cui all’art. 13 GDPR, e ha comunque diritto di ricevere tale informazione in ogni momento ai sensi dell’art. 15 GDPR.
La revoca del consenso, in ogni caso, non fa venir meno il precedente trattamento effettuato nella vigenza del consenso stesso.
Va detto, poi, che naturalmente se esistono altre basi legali per il trattamento dei dati personali, come ad esempio l’adempimento di un contratto o obblighi legali, la revoca non può ottenere l’effetto di far cessare il trattamento. Il titolare, infatti, può continuare a trattare i dati anche dopo la revoca del consenso.
La revoca del consenso può essere espressa in vari modi, senza formalità eccessive, e può essere comunicata anche tramite un legale di fiducia. Questo aspetto è stato chiarito dalla giurisprudenza, che ha sottolineato la necessità di una comunicazione chiara e inequivocabile della volontà dell’interessato di revocare il consenso, senza imporre requisiti formali rigidi che potrebbero ostacolare l’esercizio di tale diritto.
Per approfondire:
- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;
- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;
- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019;
- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019;
- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024