Il consenso è una condizione di liceità del trattamento molto complessa; apparentemente “semplice”, il consenso ha molte caratteristiche che devono essere rispettate ed in assenza delle quali, non può essere ritenuto valido (invalidando, di conseguenza, il trattamento cui si riferisce). Come efficacemente indicato dalle linee guida WP259, il consenso è una manifestazione di volontà che dev’essere: libera, specifica, informata e inequivocabile.

L’art. 4, punto 11) del Regolamento UE 679/2016 definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Concentriamoci sulla libertà della manifestazione di volontà dell’interessato: questo elemento implica che l’interessato abbia effettivamente una scelta e un controllo sui propri dati; per valutare ciò si prenderanno in massima considerazione alcune ipotesi: che il consenso sia collegato all’esecuzione di un contratto o alla prestazione di un servizio, che sia in relazione ad un rapporto caratterizzato da uno squilibrio di potere (come nei rapporti con la PA o con un datore di lavoro), che sia un consenso “non granulare” (quindi un consenso che riguarda più finalità del trattamento) e che vi sia il rischio di un pregiudizio in caso di rifiuto del consenso o di revoca dello stesso;  a causa  di questo ultimo elemento si creano i maggiori fraintendimenti. In molte informative viene indicato come condizione di liceità del trattamento il consenso, facendolo coincidere con la libertà dell’interessato a conferire o meno i propri dati personali al titolare del trattamento, anche in contesti dove, alla base del rapporto tra titolare e interessato, c’è un contratto (spesso di servizi).

Ciò che ci preme far presente è che il consenso è una manifestazione di volontà riguardante lo specifico trattamento e non il rapporto alla base del conferimento dei dati personali.

Il conferimento dei dati personali, l’atto “di consegna” delle informazioni da parte dell’interessato al titolare del trattamento, non è necessariamente retto dal consenso dello stesso solo per il fatto che l’interessato è libero di comunicare o meno i dati.

Sicuramente in molti contesti vi è ancora il brutto vizio del “copia-incolla” delle informative di qualcun altro, che porta, di conseguenza, a non porre un esame critico del proprio contesto organizzativo diffondendo questo specifico errore (e sicuramente anche altri). Un’altra idea potrebbe essere quella per la quale certi titolari del trattamento utilizzano la condizione di liceità del trattamento “consenso” per retaggio della vecchia normativa e, in generale, “perché così fan tutti”, dimostrando, di nuovo, la totale assenza di un esame critico del proprio contesto organizzativo.

Altra ipotesi, infine, è l’utilizzo del consenso come “rafforzativo” del conferimento del dato, esulando dall’essere una condizione di liceità del trattamento e diventando una “prova” del benestare dell’interessato al trattamento dei suoi dati (fondato, però, su un’altra condizione di liceità). Quest’ultima ipotesi snatura del tutto il concetto di consenso al trattamento dei dati personali, diventando, per chi non conosce la normativa, “una carta in più” nel mazzo delle carte da giocare contro un’eventuale contestazione.

Il consenso è un’importante condizione di liceità che riconosce all’interessato un elevato controllo sul trattamento, l’inserirlo “di default” nelle informative non solo fa perdere di ogni valore questo istituto, ma dimostra che gli importanti principi previsti nel Gdpr, per molti titolari del trattamento, non sono che carta stampata.