Probabilmente si tratta di una singolare coincidenza, ma a molti non è sfuggito che sia ai sensi del D. Lgs. 196/2003 che per il GDPR, l’informativa ai fini della prestazione del consenso, è prevista dall’art. 13. Ecco quindi che troviamo sia in rete, sia nei modelli che molte aziende usano, formule in base alle quali il consenso al trattamento dei dati viene prestato sulla base di entrambe le normative. Meglio abbondare, dice un vecchio adagio.

Il problema è che attualmente circolano, non solo in rete, informative del tutto errate, in quanto l’art. 13 della ormai quasi arcaica (ma non del tutto abrogata) 196/03, è stato abrogato dal D. Lgs. 101/2018. Poco male, si potrebbe dire; l’indicazione si ha come non apposta e, pertanto, nessun problema ai fini pratici.

Il punto è che questo errore, insieme a molti altri, viene ripetuto a causa di una totale mancanza di attenzione alla disciplina della protezione dati che, purtroppo, molte aziende ed operatori continuano a vedere come un costo ed un eccessivo gravame di attività burocratica. Forse lo è, ma si tratta in ogni caso di un obbligo di legge e anche, per chi riesca a vederne gli inengabili aspetti positivi, un importante strumento dell’organizzazione aziendale.

Un altro campo su cui si notano molte lacune, è quello della prestazione del consenso: dall’indicazione nelle informative di un’unica base per consensi diversi, fino a richieste che eccedono i limiti di ragionevolezza e minimizzazione previsti dal GDPR. Viene il non infondato dubbio che molte informative siano volutamente macchinose e caotiche per cercare di ottenere consensi che vadano oltre quello minimo e unico che sarebbe base sufficiente per il trattamento ai fini di esecuzione di una prestazione, in palese violazione dei principi di semplicità, trasparenza e chiarezza a base del Regolamento. Tutto ciò deriva probabilmente anche da una naturale tendenza per le aziende a non gravarsi di costi e attività per l’adeguamento quando, invece, sarebbe non solo necessario ma indispensabile un’analisi delle attività svolte per decidere quali consensi siano necessari nonché, aspetto essenziale sul quale la maggior parte dei Titolari glissa, la revisione di tutti i consensi ormai inutilizzabili ottenuti prima del 25 Maggio 2018.

Non è infatti possibile ritenere che i vecchi formulari contengano tutte le indicazioni ed i requisiti per poter giungere ad un consenso che, ricordiamo, ai sensi dell’art. 4 del GDPR è definito come: “Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Sarebbe sufficiente quindi elaborare un’informativa semplice e senza troppo uso del linguaggio “giuridichese” per ottenere un consenso informato che, da solo, è la perfetta base legittima per il trattamento dei dati. Ricordiamo che, in ogni caso, ogni singolo trattamento richiede un esplicito consenso, tranne quelli necessari alla prestazione del servizio richiesto.

Altro errore grave è l’inserimento del consenso nei formulari di contratto tra le clausole finali, vale a dire quelle che ai sensi degli articoli 1341 e 1342 CC vengono definite “Condizioni generali di contratto”. Il consenso al trattamento non è infatti previsto tra quelle clausole che, obbligatoriamente, devono essere portate a conoscenza dell’altra parte ed essere oggetto di doppia sottoscrizione; tuttavia non è infrequente imbattersi in simili formulari che, ai fini del consenso, non sono conformi al GDPR.

Gli esempi si possono moltiplicare e ce ne rendiamo conto ogni giorno quando, ad esempio, nell’utilizzare una app per la ricerca di un ristorante o una farmacia, ci viene richiesto il consenso alla geolocalizzazione come condizione per accedere al servizio e proseguire: si tratta di un consenso per un qualcosa che va oltre rispetto all’uso che si vorrebbe fare della App. In alcuni casi troviamo informative che, raccolte nell’interesse di una società holding, indicano le altre società del gruppo come autonomi Titolari del trattamento degli stessi dati rilasciati in quella stessa informativa, ma che lo svolgono per differenti finalità. Ovviamente il consenso è unico per tutti i trattamenti. Siamo al parossismo.

Il rischio per chi usa informative come queste ovvero formule di prestazione consenso non ben strutturate? Oltre alle sanzioni anche quello del divieto di trattamento dati: ergo la chiusura dell’azienda.