Partiamo da un presupposto che potrebbe sfuggire: il termine consenso, quando ha una valenza giuridica, è uno degli elementi indispensabili per il perfezionamento di un contratto; quello che i romani, padri del nostro diritto, definivano in "indem placitum". Dal consenso nascono obblighi, doveri, diritti. Quindi deve essere un consenso pieno su tutti gli elementi di un accordo che vada a vincolare chi lo ha firmato, concluso con una stretta di mano, con un comportamento cosiddetto concludente. Sapete che quando entrate in un bar e ordinate un caffè avete accettato la proposta di acquisto che il barista vi ha fatto esponendo un listino con l’indicazione del prezzo del prodotto? 

A chi fosse sfuggito, ricordiamo che il Tribunale di Roma ha sancito che i dati personali sono un controvalore economico nel contratto che si conclude con un social: la navigazione in rete non è quindi gratuita o al costo della sola connessione. Quando consegniamo i nostri dati a chi si trova dall’altra parte dello schermo, lo facciamo concludendo un accordo: un vero e proprio contratto che nasce solo in presenza di un legittimo consenso.

Il consenso è uno dei termini fondamentali del GDPR, perché senza un consenso pieno, informato, liberamente formatosi, non è possibile l’utilizzo dei dati.
Ciò impone a chi necessita di questi dati di mettere a disposizione informative che mettano la propria utenza in condizione di prestare un consenso consapevole e contenere non solo tutte le indicazioni richieste all’art. 13 del GDPR, ad iniziare dai diritti dell’interessato, ma essere chiara in ordine a chi diventerà da quel momento il Titolare del trattamento, i suoi dati di contatto e su tutte le tipologie di trattamento e le modalità con cui saranno poste in essere. Si vedono purtroppo ancora informative a dir poco generiche e circolano ancora quelle che portano il riferimento all’art. 13 del D. Lgs. 196/2003 che, ricordiamolo, è stato abrogato subito dopo l’entrata in vigore del nuovo Regolamento Europeo.

Ci imbattiamo ancora in siti web che obbligano l’utente ad accettare, con caselle preflaggate e quindi contrarie alla norma, più forme di trattamento con un unico click.. La normativa richiede che per ogni singolo trattamento venga richiesto all’interessato un consenso specifico. Non ha quindi valore un consenso che includa, ad esempio, invii newsletter da “nostri partner selezionati”. Ognuno di loro deve ottenere un proprio autonomo consenso, con una sua informativa. Altrimenti si configura un trattamento illecito di dati che potrebbe portare ad un intervento sanzionatorio del Garante. Attenzione quindi sui siti anche al consenso per i cookie: finalmente si iniziano a vedere pagine che, al momento del primo accesso permettono di scegliere se, oltre ai cookie di navigazione, si vogliano accettare gli altri che, sostanzialmente, sono di profilazione.

Fra le brutte abitudini che purtroppo rimangono troviamo anche quella di obbligare ad inserire un numero di telefono oltre alla mail per il contatto. Ricordiamo in tal senso che il GDPR imporrebbe la minimizzazione dei dati richiesti e il divieto di non chiederne di inutili per il tipo di prestazione che viene richiesta. Una sana policy di gestione della privacy potrebbe anche rivelarsi per le aziende un’ottima cura per snellire archivi, memorie, banche dati e limitarsi quindi a trattare solo i dati indispensabil. In ogni caso ricordiamo che, per farlo, deve essere ottenuto un legittimo consenso.