Privacy e sicurezza Informatica

Published on novembre 20th, 2020 | by dirittodellinformatica.it

0

Clausole pre-spuntate e consenso: arriva la risposta della Corte di Giustizia Europea

Quante volte ci siamo trovati nella posizione di dover sottoscrivere un contratto, per le questioni più delicate o per quelle di vita quotidiana? Questa attività, molto spesso, nasconde delle insidie che sfuggono agli occhi dei meno esperti, i quali, inconsapevolmente, rischiano di vedere violati i propri diritti da parte di soggetti in posizione di preminenza, come grandi aziende o società. Proprio una vicenda simile ha portato alla pronuncia dell’11 novembre 2020 della Corte di Giustizia Europea, che si è espressa nuovamente sul tema del consenso al trattamento dei dati personali. Nonostante il consenso sia una delle basi giuridiche previste per un valido trattamento dei dati personali, ancora oggi rimane un tema dibattuto e che suscita diverse perplessità. Stessi dubbi che hanno avuto i giudici del Tribunale Superiore di Bucarest, il quale, con rinvio pregiudiziale, ha chiesto indicazioni alla Corte di Giustizia Europea.

IL CASO

Il fulcro della questione trae origine da una vicenda che vede contrapporsi, da un lato, la Orange Romania SA, fornitore di servizi di telecomunicazione mobile rumeno, dall’altro, l’Autorità nazionale di sorveglianza del trattamento dei dati personali della Romania. Quest’ultima aveva inflitto un’ammenda alla Orange Romania SA per aver predisposto dei contratti, dal 1° marzo al 26 marzo 2018, contenenti una clausola già spuntata che autorizzava la raccolta e conservazione di una copia del documento di identità dei propri clienti. L’Autorità lamentava il fatto che Orange non avesse permesso ai propri clienti di esprimere liberamente e specificatamente, ergo validamente, il proprio consenso a tale trattamento, violando quindi la normativa sulla protezione dei dati personali. Congiuntamente all’ammenda, ad Orange veniva imposto anche l’obbligo di distruggere le copie dei documenti raccolti: un bel fardello!

La società rumena, però, non ci sta e propone un ricorso per annullamento delle sanzioni al Tribunale Superiore di Bucarest. Sarà proprio in questa sede che verranno sollevati forti dubbi sulla questione, al punto che verrà richiesto l’intervento della Corte di Giustizia Europea per fare chiarezza sul punto.

LA NORMATIVA DI RIFERIMENTO: IL CONSENSO

L’oggetto della controversia rientra nella tematica del trattamento dei dati personali, ed essendo sorta anteriormente al 25 maggio 2018, soggiace non solo alle disposizioni del Regolamento UE 679/2016, ma anche a quelle della precedente fonte di riferimento in materia, la direttiva 96/45/CE, abrogata dal Regolamento stesso. Le norme che quindi vengono in rilievo per il caso specifico sono diverse, ma coordinate fra loro.

In primis, l’articolo 2, lettera h) della direttiva 95/46/CE, che definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento.”

In modo simile anche l’articolo 4, punto 11 del Regolamento UE 679/2016 parla di consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardo siano oggetto di trattamento.”

Nelle argomentazioni della Corte di Giustizia viene in rilievo anche l’art.7 del Regolamento Europeo, secondo il quale: “1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

  1. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie

[…] 4. Nel valutare se il consenso sia stato liberamente prestato, si ritiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Il Tribunale Superiore di Bucarest ha, quindi, chiesto alla Corte di rispondere a queste due questioni pregiudiziali:

  1. quali sono le condizioni che devono essere soddisfatte per poter considerare una manifestazione di volontà come specifica e informata;
  2. quali sono le condizioni che devono essere soddisfatte per poter considerare una manifestazione di volontà come liberamente espressa.

Gli strumenti normativi a disposizione della Corte, quindi, sono queste due normative di riferimento, che, sebbene rappresentino una l’evoluzione dell’altra, sembrano tracciare una linea comune in materia di consenso.

LA RISPOSTA DELLA CORTE DI GIUSTIZIA EUROPEA

La Corte di Giustizia Europea, come in altri casi, si è trovata quindi a dover sciogliere alcuni nodi che sembrano accompagnare da sempre la materia del consenso. Non bisogna poi dimenticare che, dato il continuo proliferare delle occasioni in cui i nostri dati possono essere soggetti ad attività di trattamento, è importante per gli utenti e i consumatori essere a conoscenza dei propri diritti in materia e magari essere informati sui possibili “tranelli” a cui fare attenzione.

Sulle due questioni la Corte decide di muoversi con un ragionamento unitario, che possa ricomprenderle e dirimerle entrambe, essendo specificazioni di un medesimo problema: quali caratteristiche deve avere un consenso valido? Se lo sono chiesti i giudici rumeni, ma questa è una domanda che potrebbe sorgere a chiunque si trovi a dover prestare il proprio consenso o voglia capire se il consenso gli sia stato estorto o erroneamente attribuito.

L’iter argomentativo seguito dalla Corte si articola in diversi punti, concernenti i requisiti del consenso, che deve essere libero, specifico, informato e inequivocabile. Per quanto riguarda le ultime tre caratteristiche, la Corte rileva come il consenso non possa essere considerato specifico quando risulta desunto da un altro diverso atto di assenso per un oggetto distinto, mancando un comportamento attivo dell’utente in merito. Né, tanto meno, può essere considerato informato in presenza di una casella preselezionata: secondo la Corte, infatti, “non può, infatti, essere escluso che detto utente non abbia letto l’informazione che accompagna la casella preselezionata, o addirittura che lo stesso non abbia visto tale casella, prima di continuare la propria attività”. In ultimo, il carattere inequivocabile della manifestazione di volontà dell’utente si considera sussistente soltanto qualora vi sia stato un comportamento attivo dallo stesso: non valgono “il silenzio, l’inattività o la preselezione di caselle”.

In merito, invece, alla questione della libertà del consenso espresso, la Corte precisa come il fatto di prevedere, da parte di Orange, una modalità espressa per iscritto per negare il consenso alla raccolta e conservazione delle copie dei documenti di identità, sia una circostanza che mina e lede il libero consenso del soggetto.

Viene statuito, inoltre, che l’onere probatorio in merito alla sussistenza di un consenso prestato validamente da parte dell’utente, che ricade sul titolare del trattamento in questione, non è stato esaustivamente assolto da parte di Orange. La stessa, infatti, non avrebbe puntualmente dimostrato come gli utenti che hanno sottoscritto contratti con la clausola precedentemente spuntata fossero stati informati sul contenuto di tale clausola e come avessero prestato il loro assenso al riguardo in maniera libera, informata, specifica ed inequivocabile.

LE CONCLUSIONI

La Corte di Giustizia Europea, quindi, rileva come “Un contratto relativo alla fornitura di servizi di telecomunicazione che contiene una clausola secondo cui l’interessato è stato informato e ha acconsentito alla raccolta e alla conservazione di una copia del suo documento di identità a fini di identificazione non è idoneo a dimostrare che tale persona abbia validamente manifestato il proprio consenso, nell’accezione di tali disposizioni, a tale raccolta e conservazione, qualora:

  • la casella relativa a tale clausola sia stata selezionata dal titolare del trattamento dei dati prima della sottoscrizione di tale contratto, o qualora
  • le clausole contrattuali di detto contratto possano indurre in errore la persona interessata circa la possibilità di stipulare il contratto in questione anche se essa rifiuta di acconsentire al trattamento dei suoi dati;
  • la libera scelta di opporsi a tale raccolta e a tale conservazione sia indebitamente … esigendo che la persona interessata, per rifiutare il proprio consenso, compili un modulo supplementare che attesti tale rifiuto” (CGUE, II SEZ. 11 novembre 2020, C-61/19).

Questa presa di posizione sul punto, da parte dei giudici Europei, servirà come monito per evitare in futuro circostanze simili, da cui possano scaturire situazioni di ambiguità e difficoltà per gli utenti/consumatori, i quali devono sempre poter manifestare il proprio consenso liberamente, consapevoli dei diritti che gli sono attribuiti e degli strumenti che sono stati previsti per la loro tutela.

Redazione Diritto dell’Informatica

Tags: , , , , ,


About the Author



Back to Top ↑