Scienza e Professione - (Daniele Zamperini Medico) - Consenso Privacy nel nuovo Regolamento UE

(Avv. Chiara Rabbito, avvocato in Bologna, coordinatrice nazionale del Gruppo di ricerca "Sicurezza e Privacy" della SIT – Società Italiana di Telemedicina e Sanità Elettronica).
Il nuovo regolamento dell’Unione europea sulla privacy, di prossima entrata in vigore, attribuisce grande rilevanza alle manifestazioni di volontà dell’interessato - cioè della persona cui i dati si riferiscono - circa il fatto che i propri dati vengano trattati o che se ne cessi il trattamento. Sono quindi oggetto di massimo riconoscimento e tutela il consenso informato del cittadino e, simmetricamente, il suo diritto ad essere dimenticato (cosiddetto “diritto all’oblio”).

La centralità del consenso informato al trattamento del dato era già dichiarata dalla direttiva europea 95/46/CE, il cui recepimento in Italia è avvenuto con la famosa legge 31 dicembre 1996, n. 675, poi sostituita dall’attuale Codice della privacy (decreto legislativo 196/2003).
L’art. 2 della direttiva dava una definizione di consenso opportunamente estesa e al tempo spesso dettagliata: “qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento”. E si indicava quale condizione di legittimità di tale trattamento che la persona avesse manifestato il proprio consenso “in maniera inequivocabile”.

Il nuovo regolamento comunitario, come noto, si prefigge la tutela dei dati personali in modo uniforme e coerente in tutti gli Stati dell’Unione europea e con particolare riguardo al mondo di Internet e delle tecnologie informatico-telematiche.
Sotto il profilo giuridico la sua entrata in vigore potrà avere conseguenze per certi versi rivoluzionarie, in quanto i regolamenti comunitari non necessitano di alcun atto di recepimento da parte degli Stati membri. Nessuno dei filtri e delle interposizioni cui siamo abituati, nessun decreto legislativo a fare da “cuscinetto”: i regolamenti sono in toto e direttamente applicabili nei singoli ordinamenti interni e per questo definiti “self-executing”.
E’ quindi importante conoscere questo atto normativo che entrerà direttamente a far parte del nostro ordinamento giuridico.

Per la maggiore protezione del cittadino europeo di fronte alle insidie del mondo del web e dei cloud, il legislatore dichiara di volere un rafforzamento del consenso: il consenso, quando necessario per il trattamento del dato, dovrà sempre essere dato esplicitamente, non potrà mai essere supposto. Non è consentito il consenso tacito o passivo. Ci si prefigge inoltre un rafforzamento del diritto all’oblio: si potrà chiedere sempre la cancellazione dei proprio dati se non vi è motivo legittimo per la loro conservazione.
Tuttavia, in omaggio alle nuove tecnologie, è consentito che il consenso sia dato anche selezionando un’apposita casella in un sito Internet.
Se il consenso dell’interessato è richiesto con modalità elettronica, la richiesta dovrà essere chiara, concisa e non disturbare inutilmente il servizio per il quale è espresso.

Il consenso, quindi, anche se manifestato con modalità informatiche dall’utente del web, rimane un passaggio di fondamentale importanza e la cui memorizzazione è indispensabile per chi lo ha richiesto.
Tant’è vero che il regolamento prevede espressamente che l’onere della prova sulla sua corretta raccolta ricada non sull’interessato, bensì sul responsabile del trattamento: sarà infatti il responsabile del trattamento che dovrà provare in giudizio di avere raccolto un consenso libero, consapevole e informato. E se questo consenso è stato dato via Internet solo barrando una casella, sarà il responsabile del trattamento che dovrà preoccuparsi di tenerne memoria informatica e darne dimostrazione in giudizio.
Il consenso dovrà essere il frutto di una scelta autenticamente libera: non potrà in alcun modo essere estorto con minaccia o intimidazione. Qualora pertanto si dimostri che esso è stato dato (o non ritirato) per evitare un danno o un pregiudizio, non si sarà trattato di una manifestazione di volontà libera: il consenso sarà stato strappato illecitamente ed quindi è nullo.

Infine, il considerando 34 del regolamento prende in considerazione il problema del gap conoscitivo, che riveste grande importanza quando il trattamento avviene con l’impiego delle nuove tecnologie.
Il legislatore ci avverte infatti che il consenso non costituisce una valida base giuridica quando esiste un evidente squilibrio tra l’interessato e il responsabile del trattamento. Le situazioni di palese squilibrio che possono essere immaginate sono molteplici e non sono limitate alle più semplici differenze di tipo linguistico o culturale: quando l’utente si trova a navigare nel mare tempestoso e pieno di insidie del web, i casi in cui sia tecnicamente meno informato di chi raccoglie i suoi dati sono frequentissimi.
I linguaggi tecnici si sprecano, le tecnologie impiegate sono soggette a rapida obsolescenza e solo chi è del mestiere conosce le nuove realizzazioni e i pericoli che esse annidano.

E’ di queste particolari situazioni di rischio che il legislatore impone al responsabile del trattamento di farsi carico: egli non deve abbandonare l’utente all’ignoranza informatica o a terminologie oscure e criptiche.
L’utente del web deve sapere a cosa andrà incontro, come saranno trattati i suoi dati e quali rischi corrono. Deve avere gli occhi bene aperti. Il responsabile dovrà quindi informarlo coscienziosamente prima di raccogliere i suoi dati e non snocciolandogli nell’informativa una terminologia comprensibile solo agli eletti e per lo più anglofona, ma con parole chiare e comprensibili anche dai non addetti ai lavori.
Che il consenso sia libero, consapevole e informato sarà infatti prima di tutto preoccupazione e responsabilità di chi i dati li tratta.

Avv. Chiara Rabbito - www.avvocatorabbito.it