Art. 7 GDPR — Condizioni per il consenso

Commento

Il consenso come autodeterminazione informativa

L'art. 7 GDPR completa la definizione di consenso dell'art. 4, n. 11, fissando le condizioni operative di validità. Il consenso non è solo manifestazione formale di volontà: è atto di autodeterminazione informativa, presupposto della legittimità del trattamento basato sull'art. 6, par. 1, lett. a. Il legislatore europeo ha voluto restituire all'interessato la padronanza dei propri dati, e l'art. 7 è lo strumento tecnico che lo garantisce. Le quattro condizioni del par. 1-4 (prova, comprensibilità, revoca, libertà) sono cumulative: la mancanza di una sola travolge la validità del consenso.

Onere della prova (par. 1)

Qualora il trattamento sia basato sul consenso, il titolare deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali. La regola sposta sul titolare l'onere probatorio in caso di contestazione o ispezione: occorre conservare log, snapshot delle interfacce, hash temporali, evidenze di tracking del flusso. La giurisprudenza del Garante ha sanzionato titolari che, pur dichiarando di aver raccolto consenso, non hanno potuto produrre evidenze in sede ispettiva. La regola di accountability dell'art. 5, par. 2 trova qui applicazione esplicita: la documentazione del consenso è obbligo strutturale.

Forma e comprensibilità (par. 2)

Se il consenso è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta deve essere distinguibile dalle altre, formulata in modo comprensibile, facilmente accessibile, con linguaggio chiaro e semplice. Clausole di consenso nascoste in privacy policy lunghissime, fuse con accettazione di termini contrattuali, o formulate in linguaggio giuridico complesso sono nulle. L'EDPB ha chiarito che la trasparenza (art. 12) si applica anche al modulo di consenso: granularità tra finalità diverse, distinzione visiva, lessico accessibile.

Revocabilità (par. 3)

L'interessato ha diritto di revocare il proprio consenso in qualsiasi momento. La revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca. Prima di prestare il consenso, l'interessato è informato di ciò. La revoca deve essere agevole quanto la prestazione: se il consenso si presta con un click, deve poter essere revocato con un click; non sono ammessi procedimenti macchinosi (chiamate al servizio clienti, raccomandate, pratiche burocratiche). Il Garante ha sanzionato operatori telco per processi di revoca complessi e dilatori. La simmetria del processo è regola sostanziale.

Libertà del consenso (par. 4)

Nel valutare se il consenso sia libero si tiene conto, tra l'altro, dell'eventualità che l'esecuzione di un contratto sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione del contratto. È la regola anti-bundling: il consenso obbligato per accedere al servizio non è libero. Cookie wall che impongono l'accettazione del tracking pubblicitario per accedere ai contenuti sono illegittimi (provvedimenti EDPB e Garanti europei). Negli enti pubblici, la base consenso è considerata strutturalmente inadeguata (considerando 43) per asimmetria di potere: la PA deve usare l'interesse pubblico (lett. e) o obblighi legali (lett. c).

Sanzioni e impatti pratici

La violazione dell'art. 7 espone a sanzioni fino al 4% del fatturato (art. 83, par. 5). Sul piano sostanziale, un consenso invalido travolge l'intero trattamento: il titolare opera senza base e i dati raccolti vanno cancellati. Per il marketing digitale e il cookie management, la giurisprudenza del Garante e dell'EDPB ha imposto a piattaforme globali revisioni complete dei consent management platform (CMP), introduzione di pulsante "rifiuta tutto" allo stesso livello di "accetta tutto", granularità tra finalità di profilazione e mere statistiche. La compliance al consenso è oggi uno dei principali fronti di audit privacy.

Regola pratica e checklist operativa

L'operatività dell'art. 7 esige: (i) consent management platform con log timestamp; (ii) granularità per ogni finalità; (iii) pulsante "rifiuta tutto" simmetrico a "accetta tutto"; (iv) revoca dashboard sempre disponibile con UX equivalente alla prestazione; (v) linguaggio accessibile, no testo nascosto; (vi) divieto di cookie wall e dark patterns; (vii) tracking delle evidenze conservato per la durata del trattamento. Per la PA il consenso è strutturalmente debole: usare interesse pubblico o obbligo legale.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.