Come documentare il consenso privacy. Non serve la firma ma il log può non bastare.

Il consenso è per definizione una “dichiarazione o un’azione positiva inequivocabile” ma quali sono i requisiti per dimostrare di aver acquisito un valido consenso? Tutto quello che serve per documentare il consenso privacy.

Onere della prova

Anzitutto serve chiarire che è il Titolare che deve “certificare” il consenso. Il principio è nell’articolo 7, paragrafo 1, e nel considerando 42, del GDPR.

Vi è un obbligo esplicito del Titolare del trattamento di dimostrare il consenso dell’interessato: “deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”. Conformemente a tale articolo è pertanto in carico al Titolare l’onere della prova.

In che modo?

Le modalità sono lasciate alla libertà del Titolare. Era già scritto nelle Linee Guida sul Consenso del Working Party Art 29 (WP 259) ed è stato ribadito nelle Linee guida 5/2020 sul consenso dell’EDPB, adottate il 4 maggio 2020. Il titolare del trattamento è “libero di sviluppare metodi propri per rispettare tale disposizione in maniera adatta alle sue attività quotidiane”.

Spetta a lui dimostrare che è stato ottenuto un consenso valido dall’interessato. Ma non prescrive esattamente come ciò dovrebbe avvenire.

È prassi ormai consolidata l’acquisizione del consenso mediante form online. Il flag della casellina “acconsento al trattamento dei dati personali…” è pertanto ritenuto valido ma serve rispettare alcune condizioni.

Se infatti da una parte le Linee Guida specificano che la dimostrabilità “non dovrebbe di per sé portare a quantità eccessive di trattamenti di dati supplementari” dall’altra chiarisce che il Titolare del trattamento “dovrebbe disporre di dati sufficienti per mostrare un collegamento al trattamento (ossia per fornire la prova che è stato ottenuto il consenso)”. Il Titolare non dovrebbe per esempio raccogliere la fotocopia di un documento di identità per certificare il consenso, si tratterebbe di una raccolta ultronea: “più informazioni di quanto necessario”.

Come documentare il consenso privacy?

Il Titolare del trattamento deve anche essere in grado di dimostrare che l’interessato è stato puntualmente informato con idonea informativa privacy e che la procedura realizzata ha soddisfatto tutti i criteri per la validità del consenso.

Le Linee Guida forniscono un utile esempio: “in un contesto online, il titolare del trattamento può conservare informazioni sulla sessione in cui è stato espresso il consenso, unitamente alla documentazione della procedura di consenso al momento della sessione, oltre a una copia delle informazioni presentate all’interessato in quel momento. Non sarebbe sufficiente fare semplicemente riferimento a una corretta configurazione del sito web”.

Serve pertanto una dettagliata descrizione della procedura, possibilmente con le schermate delle fasi, una copia della informativa fornita e le evidenze della sessione (es. il log di acquisizione del consenso).

Chi ha assistito ad una ispezione dell’autorità Garante Privacy sa bene che l’autorità, in tale circostanza, documenta i passaggi (la procedura) atta raccogliere i dati personali. Raccoglie la documentazione presente online (es. l’informativa rilasciata, il log del consenso) e quella realizzata dal Titolare (es. processo, Istruzione operativa etc).

L’autorità molto spesso acquisisce lo stamp delle schermate del sito web dove è presente il modulo di raccolta dati

In questa ottica è necessario archiviare, non solo la versione corrente ma anche le precedenti Informative Privacy, fornite agli utenti, con i relativi riferimenti temporali di validità. Per esempio: Informativa dipendenti valida dal XX al XX); l’ideale sarebbe se già il log contenente la versione della informativa associata al consenso.

Non serve necessariamente la firma

Per chiedere l’autorizzazione all’interessato non è necessaria la firma. Viene ritenuta ovviamente valida, quale “manifestazione o azione positiva inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso”, ma il Titolare può ben utilizzare altre forme. Anche le Linee Guida lo rimarcano affermando che “la dichiarazione firmata non è l’unico modo per ottenere il consenso esplicito e non si può affermare che il regolamento prescriva dichiarazioni scritte e firmate in tutte le circostanze che richiedono un consenso esplicito valido. Ad esempio, nel contesto digitale od online, l’interessato può emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica. In teoria, anche l’uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un consenso esplicito valido”.

Per esempio, è possibile acquisire il consenso:

  • registrando una dichiarazione (informata) verbale dell’interessato;
  • richiedendo la firma di un modulo;
  • richiedendo l’invio di una email, sms, messaggio di conferma;
  • mediante la compilazione di un form online con il relativo flag di autorizzazione;
  • richiedendo il caricamento di uno specifico documento (es. modulo di autorizzazione);
  • richiedendo la pressione di un tasto o la digitazione di un codice sulla tastiera del telefono.

Per quanto tempo archiviare la prova del consenso?

Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha espresso il proprio consenso per tutta la durata dell’attività di trattamento dei dati.

Le Linee guida, ai fini della retention del consenso, specificano anche che “al termine dell’attività di trattamento, la prova del consenso deve essere conservata non più di quanto strettamente necessario per adempiere ad obblighi giuridici o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria”.

In sintesi

Per dimostrare di aver ottenuto un valido consenso è necessario documentare adeguatamente la procedure di acquisizione e fornire la documentazione utile a dimostrare l’azione positiva inequivocabile dell’interessato. Serve poi archiviare la versione dell’ informativa privacy fornita all’interessato.

Roberto Maraglino

Vedo gente, faccio cose. La mia prima parola è stata privacy, la seconda data breach. Mi occupo di data protection da tanto tempo, adesso sto cerando di smettere ma forse è tardi. Appassionato di tante cose, tante cose!