Il consenso nel trattamento dei dati personali
di Telesio Perfetti
Ex art.23 co.1 decr.lgs.196/2003 (“Codice in materia di protezione dei dati personali”, altrimenti noto come “Codice Privacy”), il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso (1)dell'interessato (naturalmente, eccettuati quei casi in cui il trattamento di dati personali sia effettuabile dai suddetti soggetti senza consenso: v. art.24 Cod. Privacy). Da tale sintetica (ma quanto mai pregna di significato) espressione si evince ictu oculi che condizione sufficiente, ma assolutamente necessaria, onde procedere ad un legittimo (rectius conforme a legge) e lecito (rectius non lesivo di altrui diritti o interessi) trattamento dei dati personali è ovviamente il consenso prestato dal soggetto (sia esso persona fisica o giuridica, ovvero ente non riconosciuto), dei cui dati trattasi. A questo punto, tuttavia, è opportuno chiarire, in base ad altre disposizioni del Codice Privacy ed in base alle elaborazioni della dottrina, cosa si voglia intendere con l’espressione “consenso”, quale sia la sua natura giuridica, quali i suoi attributi e quali le condizioni per le quali possa avere validità ed efficacia.
Anzitutto, il consenso in sé e per sé considerato altro non è che un atto giuridico in senso stretto, conferente un potere o un permesso (non già un obbligo) di agire. Non essendo atto negoziale, dunque, non costituisce obblighi né a carico del consenziente (visto che da parte di quest’ultimo è sempre revocabile, come indi si vedrà), né (e lo si è già detto) a carico dell’autorizzato; tanto meno tramite di esso si trasferiscono diritti. Semplicemente dal consenso deriva una sorta di autorizzazione a compiere una determinata attività.
Nondimeno, il consenso per essere valido ed efficace deve possedere le seguenti specifiche caratteristiche:
1. il consenso deve in primis essere espresso e pertanto “reale” (art.23 co.1 Cod.Privacy). Non basta che esso sia tacito (che si possa cioè inferire da un comportamento concludente), né a fortiori può essere presunto (come nel caso in cui si ritenga che il consenso, in presenza di certe condizioni, sarebbe stato prestato, se l’interessato avesse conosciuto le condizioni stesse). “Espresso” vuol dunque dire palese, chiaro, manifesto, reso intelligibile alla controparte, in qualsivoglia forma (scritta o orale). Tuttavia, vista la delicatezza della materia, il legislatore ha previsto talune disposizioni di trasparenza e di garanzia. Infatti per i dati personali cosiddetti neutri o comuni il consenso deve essere documentato per iscritto (art.23 co.3 Cod.Privacy) a fini meramente probatori. Nel caso invece di dati sensibili (2) è indispensabile che sia manifestato per iscritto (ad substantiam: co.4 art.23 e co.1 art.26 (3) Cod.Privacy);
2. il co.3 dell’art.23 Cod. Privacy dispone che il consenso sia libero. Il che significa che deve essere cosciente (prestato cioè da persona capace di intendere e di volere) e non affetto dai vizi tipici della volontà (quindi non erroneo, non estorto con la violenza né carpito con l’inganno, con il raggiro o con l’artifizio). A ciò si potrebbe aggiungere che il consenso deve essere spontaneo (non solo volontario strictu sensu), e cioè non condizionato da qualsivoglia circostanza esterna e scevro da ogni sorta di timore reverenziale nei confronti di chi lo richieda. E ciò, affinché possa essere fermo, serio, autentico, ribadito. E’ ovvio che per quel che concerne gli enti si farà riferimento al legale rappresentante o colui che è legato all’ente stesso da rapporto organico;
3. è necessario che il consenso sia “personale”. Il Cod. Privacy nulla dice al riguardo, ma, vista la particolare materia in questione, e considerato che la stessa normativa prevede che il consenso debba essere manifestato dall’interessato, se ne deduce che in caso di trattamento di dati personali non è ammessa rappresentanza, salvo ovviamente che si tratti di enti (per i quali vale quanto detto sopra) ed incapaci (per i quali valgono le garanzie ex lege(4));
4. il consenso deve essere sempre preceduto dall’informativa di cui all’art.13 Cod.Privacy (art.23 co.3 ultima parte). Si è così di fronte al classico caso di consenso informato o consapevole, non diverso nella sostanza da quello necessario perché ci si possa liberamente sottoporre a trattamenti medici, terapeutici o chirurgici che siano. Il contenuto dell’informativa è espressamente e specificamente stabilito dalla legge (5);
5. altro attributo fondamentale del consenso è la sua specificità. Il co.3 dell’art.23 Cod. privacy prevede infatti che il consenso debba essere non solo libero, ma specifico, in relazione ad un trattamento chiaramente individuato. Un consenso “omnibus”, generico, non sarebbe ammissibile, sarebbe anzi del tutto sproporzionato, eccessivo, non adeguato, ingiustificato, illecito in una parola. Un trattamento di tal fatta determinerebbe una quasi “spoliazione” o “rinuncia” o “alienazione” dei propri diritti, cosa del tutto inconcepibile (6). Ergo l’informativa di cui all’art.13 Cod. Privacy dovrà essere quanto mai precisa sulle finalità del trattamento, dovendo altresì essere oltremodo esplicita sui soggetti, ai quali i dati possono eventualmente essere comunicati o ceduti. Il Garante in un recente provvedimento ha ribadito un tale fondamentale principio (7).
6. dal punto di vista ermeneutico, e sempre in riferimento alla specificità del consenso, è d’uopo affermare che, in caso di dubbio sull’estensione del consenso al trattamento dei dati personali, debba prevalere un’interpretazione restrittiva ( e quindi l’operatore giuridico dovrebbe optare sempre per un’esegesi stretta, intendendo il trattamento autorizzato sol per quelle finalità che risultano evidenti prima facie, e non permesso per quelle poco chiare e di incerto significato);
7. il consenso infine è sempre revocabile. A tal riguardo risultano fondamentali le disposizioni del Cod. Privacy sul blocco dei dati trattati in violazione di legge (art.7 co.3 lett.b) e sull’opposizione per motivi legittimi al trattamento dei dati personali (art.7 co.4). Siamo dunque di fronte ad un vero e proprio diritto potestativo di recesso, esrcitabile da parte dell’interessato qualora vi sia un giustificato motivo. Naturalmente, in caso di controversia, spetterà al giudice stabilire la legittimità dei motivi, facendo un debito bilanciamento tra interessi del soggetto, dei cui dati si tratta, e quelli di coloro che sono titolari del trattamento.
Quanto sia importante e “vitale” un consenso libero ed informato al trattamento dei propri dati personali, emerge in tutta la sua evidenza sol considerando il fatto che “privacy” oggi non è più solo e non più tanto il diritto ad essere lasciati soli, ad essere lasciati in pace, a tutelare la propria sfera intima, a proteggersi da occhi e orecchi indiscreti, a rifuggire orazianamente dal “profanum vulgus”, a schermarsi contro l’altrui curiosità e contro le indebite intrusioni di terzi, siano essi soggetti pubblici o privati. “Privacy”, nell’attuale era orwelliana del “Big Brother”, della digitalizzazione, del controllo a distanza, delle nuove tecnologie vieppiù invasive, è prima di tutto controllo dei propri dati, delle informazioni che riguardano la propria persona, onde evitare che finiscano in mani sbagliate e che vengano trattati in modo periglioso o lesivo per la dignità, l’onore, l’identità, l’immagine e la libertà di ogni individuo. Bisogna entrare, quanto prima, in un’ottica del tutto nuova, decisamente futuristica, ma che già ci pertiene. Si impone una rivoluzione a 360 gradi nella propria forma mentis, una presa di coscienza piena dei propri diritti. Non limitarsi più all’habeas corpus: ora infatti si è nell’era dell’habeas data, come è stato giustamente sottolineato da quella parte della dottrina più sensibile ai problemi della vera privacy e dei correlati diritti della persona.
Note
(1) Nella Carta dei diritti fondamentali dell’U.E. (cosiddetta Carta di Nizza), all’art. 7, laddove si parla di diritto alla protezione dei dati personali, è esplicitamente stabilito che i dati devono essere trattati in base al consenso della persona interessata.
(2) I dati sensibili ex. art.4 lett.d Cod.Privacy sono quei “dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
(3) Per il trattamento dei dati sensibili è previsto inoltre un ulteriore requisito: l’autorizzazione del Garante per la protezione dei dati personali (art.26 co.1). Tale autorizzazione sta a significare il particolare valore rivestito dai dati cosiddetti sensibili, ossia la loro rilevanza per il pubblico interesse (travalicante un interesse meramente privatistico), che giustifica un sorta di controllo ab externo da parte di una autorità amministrativa (seppur indipendente).
(4) Si ricordi che ex art. 24 lett.e) Cod.Privacy, nel caso in cui il consenso al trattamento sia finalizzato alla salvaguardia della vita e dell’incolumità fisica dell’interessato, se quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Particolari garanzie sono previste per i minori ex art.50 Cod. Privacy (divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un minore, anche in caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari in materie diverse da quella penale).
(5) In particolare l’art.13 prevede che l'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
(6) Facendo un ardito, quanto provocatorio, paragone, in via puramente descrittiva, si potrebbe dire che ci ritrova innanzi ad una situazione simile a quella per la quale il contratto è nullo per indeterminatezza o indeterminabilità dell’oggetto!
(7) V. “Internet: informative chiare e consenso libero”, dalla newsletter N.253 del 25 Aprile-1 Maggio 2005, reperibile all’url http://www.garanteprivacy.it/garante/doc.jsp?ID=1124805. Nel caso di specie il Garante ha imposto ad una società che fornisce servizi on line di cambiare il proprio modello contrattuale. Infatti nel momento in cui un cittadino compila un modulo cartaceo o on line, o comunica i suoi dati per telefono per richiedere la fornitura di un servizio, deve ricevere informazioni chiare e precise sull'uso che si farà dei dati personali che lo riguardano, come a dire che deve sapere per quali scopi verranno trattati i propri dati.
Inserito il 20/05/2005 | E-Privacy