Al momento dell’entrata in vigore del GDPR, abbiamo assistito ad un vero e proprio mail storm da parte di aziende, banche, compagnie aeree che si premuravano di informarci del cambio di normativa e di come, se avessimo voluto continuare il nostro rapporto con loro, fosse necessario prestare il consenso al trattamento ai sensi della nuova normativa. Un atto decisamente dovuto e posto in essere, per lo più, da aziende strutturate che si erano già dotate di policy aggiornate e compliant con il Regolamento Europeo 679/2016.

Il problema è che la maggior parte di queste mail, più o meno direttamente, concludevano dicendo che, in caso di silenzio, si intendeva prestato il consenso per i fini di cui ci avevano resi edotti. Una pilatesca applicazione del silenzio assenso, istituto giuridico che, non dimentichiamo, trova applicazione nel nostro ordinamento solo in materia amministrativa e nei casi espressamente previsti. Ergo, in materie civilistiche, non vale il principio del chi tace acconsente, bensì, detto prosaicamente, chi tace sta zitto.

In ogni caso il GDPR, al Considerando 32, chiaramente indica che il silenzio non può essere in alcun modo considerato forma di consenso, così come una qualsiasi forma di inattività, quale ad esempio il non rispondere a una mail o la mancata reazione a caselle preselezionate su modelli di contratti o informative predisposte da un’azienda. Si pone pertanto il problema di che cosa possano fare aziende, ad iniziare da quelle di marketing e pubblicitarie, ma anche tutte le catene che utilizzano fidelity card o mailing list per i loro clienti. Aziende che, verosimilmente, avevano a disposizione archivi pieni di dati che, dal 25 Maggio 2018 possono considerarsi inutilizzabili.

Sul punto si era espresso il Garante nella Guida all’applicazione, dove aveva specificato che ogni forma di consenso raccolto da imprese e privati prima di detta data, vigente il D. Lgs. 196/2003, ha valore solo se comunque conforme ai canoni richiesti dal GDPR, vale a dire frutto di un consenso consapevole, formatosi sulla base di informazioni chiare e che fosse distinguibile da altre richieste o dichiarazioni dell’interessato. Quindi libero, specifico e informato.

L’esperienza e la prassi ci insegnano che quasi mai è stato così. Le precedenti informative e i moduli erano non solo quasi sempre generici e ridotti ai minimi termini; oltretutto in un’unica dichiarazione, di solito già spuntata e predisposta dall’azienda, si autorizzava genericamente all’uso più indiscriminato di dati non solo per inviare mail, telefonare e bombardare di pubblicità, ma anche cederli o trasferirli a non ben specificati terzi, profilarli, usarli per scopi di ricerca, statistica e altri scopi commerciali.

Innegabile conclusione, ci troviamo di fronte a una quantità impressionante di consensi che sarebbero al trattamento inutilizzabili, ma che verosimilmente circolano ancora e sono nella disponibilità di aziende che probabilmente non si sono adeguate al regolamento. Importante rilievo sul punto, assume la considerazione che l’attuale disciplina prevede e impone l’indicazione del periodo di conservazione del dato, elemento non contenuto nel D. Lgs. 196/2003 ed oggi indispensabile per poter procedere al trattamento dati. Solo da questo rilievo se ne deduce l’inutilizzabilità dei dati precedentemente raccolti e il conseguente obbligo di distruzione degli stessi. Un problema non da poco anche in considerazione dei costi che verrebbero a gravare su un’azienda.