Un aggiornamento del GDPR deve risolvere il trattamento di dati particolari in rapporti contrattuali, un attuale gap logico e giuridico. La base giuridica dell’art. 6 par. 1 lett. b) GDPR è insufficiente; il consenso esplicito è spesso l’unica soluzione praticabile, ma presenta criticità che richiedono una revisione normativa per garantire coerenza e protezione efficace
Un eventuale aggiornamento del GDPR dovrà senz’altro considerare il trattamento di categorie particolari di dati personali nell’ambito dei rapporti contrattuali, che ad oggi è un gap irrisolto per ragioni di natura logica ancor prima che giuridica.
Peraltro, si tratta di una questione non di poco conto tenendo conto dell’ampia offerta di servizi digitali e non da cui deriva la concreta possibilità che essi possano comprendere informazioni idonee a rivelare uno degli elementi elencati all’interno dell’art. 9 par. 1 GDPR[1]. Pertanto, la raccolta e il trattamento di questi dati personali sono attività che fondano la propria liceità nella base giuridica fornita dall’art. 6 par. 1 lett. b) GDPR richiedendo però il ricorrere di un’ulteriore condizione fra quelle tassativamente indicate dall’art. 9 par. 2 GDPR.
Le sfide del GDPR nel trattamento di categorie particolari di dati personali
Stando alla lettera del GDPR, la ragione si riscontra nel considerando n. 51 che valuta come meritevoli di una specifica protezione i dati personali che per loro natura sono particolarmente sensibili e, di conseguenza, il loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali.
Lo strumento di tutela individuato dalla norma è il generale divieto di trattamento salvo casi specificamente previsti i quali esprimono l’esigenza di contemperamento con altri diritti fondamentali. Questo vincolo segue la logica di una regola di white list, per cui tutto ciò che non è consentito deve essere ritenuto come vietato e l’interpretazione dei casi segue il criterio di eccezionalità. Tali premesse devono dunque orientare anche l’interprete e ancor più il titolare del trattamento nel provvedere, in forza di accountability, a declinare la norma nella sua applicazione pratica e riferita al caso concreto.
Di conseguenza, prima di tutto deve essere seguita un’interpretazione estensiva del concetto di dati di categorie particolari, il quale comprenderà anche tutta quella serie di elementi informativi dai quali è possibile dedurre, anche in ragione del contesto, una delle informazioni che qualificano questa tipologia di dati.
Rischi significativi per i diritti e le libertà fondamentali: il ruolo del DPO
L’approccio risk-based che impone di tenere conto della protezione delle persone fisiche non può infatti tollerare tentativi di elusione o di aggiramento di alcuno dei vincoli che vengono espressamente posti a protezione di diritti e libertà fondamentali proprio in queste ipotesi ritenute come di rischio elevato. Questo vale anche e soprattutto per il DPO, in ragione del richiamo espresso del dover considerare “debitamente i rischi inerenti al trattamento”[2] nello svolgimento dei propri compiti.
Trattare dati di categorie particolari di un utente o di un potenziale cliente di un servizio offerto può essere dunque un nodo cruciale da risolvere, dal momento che la base giuridica dell’esecuzione di misure contrattuali o precontrattuali è insufficiente.
Gli esempi a riguardo annoverano situazioni che è possibile ritenere di comune esperienza e tutt’altro che straordinarie, quali:
- la ricerca di un professionista sanitario tramite un’app medica;
- la registrazione presso un servizio di pagamenti di una transazione riguardante l’adesione (o una donazione) ad un’associazione filosofica, un sindacato, un ente di culto o un partito politico;
- la predisposizione di una tecnologia assistiva ivi inclusa la fase di test;
- la vendita di sex toys, servizi di intrattenimento sessuale;
- l’adesione a una community online da cui è possibile dedurre dati di categorie particolari dell’iscritto;
- la prenotazione di un pasto con indicazione di allergie e intolleranze.
Nella maggior parte dei casi in cui il titolare non ha determinate qualità soggettive (es. l’essere una fondazione, associazione o altro organismo senza scopo di lucro, o altrimenti un professionista della sanità), né altrimenti è gravato da specifici obblighi o deve perseguire finalità di interesse pubblico, ecco che l’unica condizione che appare come applicabile – e che in effetti nella prassi si riscontra diffusamente – è quella del consenso esplicito[3].
Dal contratto al consenso esplicito: un nodo cruciale
Ottenere il consenso esplicito da parte dell’interessato è dunque la condizione che rende lecita un’attività di trattamento svolta per dare esecuzione ad un contratto o a misure precontrattuali che coinvolge dati di categorie particolari. Tale impostazione è confermata dalle stesse linee guida EDPB 05/2020 sul consenso: «L’articolo 9, paragrafo 2, non riconosce il trattamento “necessario all’esecuzione di un contratto” come un’eccezione al divieto generale di trattare categorie particolari di dati. Di conseguenza i titolari del trattamento e gli Stati membri che rientrano nel contesto di applicazione di tale circostanza dovrebbero esaminare le eccezioni specifiche di cui all’articolo 9, paragrafo 2, lettere da b) a j). Qualora non si applichi nessuna delle eccezioni da b) a j), l’ottenimento del consenso esplicito in conformità con le condizioni per il consenso valido previste dal regolamento rimane l’unica eccezione lecita possibile per trattare tali dati».
Dalla formulazione, però, appare più che si voglia evidenziare un gap del GDPR e un tentativo di ricercare una soluzione che però presenta non poche criticità.
L’art. 7 par. 4 GDPR e il considerando n. 43 GDPR prendono in considerazione il solo consenso al trattamento di dati personali non necessario all’esecuzione di un contratto, potendo far ritenere dunque che esista un consenso necessario a dare esecuzione ad un contratto. Senza dover scomodare il brocardo Ubi lex voluit dixit, ubi noluit tacuit, è palese l’assenza di elementi caratterizzanti di questa seconda tipologia di consenso e dunque devono essere intesi tutti quelli che qualificano un consenso come valido. Ivi inclusa la manifestazione di volontà libera ed inequivocabile. In che modo si può valutare una libera prestazione del consenso nel momento in cui questa viene presentata come condizione assolutamente necessaria per svolgere un rapporto contrattuale o altrimenti predisporre misure precontrattuali che contemplano in modo altrettanto necessario dati di categorie particolari e non ci sono alternative esperibili?
Criticità nell’applicazione del consenso esplicito in ambito contrattuale
Fra l’altro, anche l’inequivocabile manifestazione di volontà dell’interessato in tale ambito è piuttosto discutibile. Quali sono i confini per cui questi decide circa le sorti dei propri dati se c’è un contratto a regolamentarle? E soprattutto: in che modo richiedere un’azione ulteriore rispetto all’adesione ad un contratto o alla richiesta di predisporne uno, può dirsi tutelante e non confondente per l’interessato se questi non può comunque partecipare al contratto senza acconsentire al trattamento dei propri dati di categorie particolari? Fino a che punto non si rischia di creare confusione fra l’accordo delle parti, previsto come requisito fondamentale del contratto ai sensi dell’art. 1325 c.c., e il consenso al trattamento dei propri dati personali se gli stessi ne sono un elemento fondamentale ed irrinunciabile per il suo perfezionamento ed esecuzione? Le stesse linee guida dell’EDPB citate pongono il caveat per cui «Il titolare del trattamento deve inoltre fare attenzione al fatto che il consenso non può essere ottenuto tramite la stessa azione con cui si accetta un contratto o le condizioni generali di servizio», ma tale distinzione non dovrebbe forse comportare la possibilità di accedere al contratto o a un servizio pur rifiutando di prestare un consenso al trattamento dei propri dati personali?
Appare chiaro che ci si trovi in presenza di veri e propri dilemmi, la cui risoluzione è tutt’altro che facile ed immediata. Anzi: allo stato attuale appaiono più che irrisolti, irrisolvibili se non su un piano meramente formale.
Il rischio dei formalismi e la soluzione normativa possibile
Nel momento in cui l’approccio risk-based cede il passo alla ricerca di una soluzione per soddisfare un requisito meramente formale, ecco che ci si allontana infatti dagli scopi di proteggere le persone fisiche con riguardo al trattamento dei dati personali e garantire una libera circolazione di tali dati. Con tutte le incertezze che possono derivare. Il rischio del formalismo è proprio quello della progressiva disapplicazione o del costringere a prendere le distanze da tutta una serie di principi e da quella coerenza d’insieme del GDPR che invece predilige approcci sostanziali.
Possibili soluzioni normative per il trattamento di categorie particolari di dati
Anche perché una soluzione normativa è configurabile: negli scenari di rischio elevato quali i processi decisionali automatizzati, o altrimenti il trasferimento in assenza di alcuna decisione di adeguatezza o garanzie adeguate, il presidio del consenso esplicito è equiparato a quello della necessità di concludere o dare esecuzione a un contratto tra interessato e titolare del trattamento. Necessità che è bene ribadire va soggetta ad interpretazione restrittiva proprio in ragione del regime di eccezionalità che rappresenta. Sarebbe auspicabile, pertanto, che in un riesame ed aggiornamento del Regolamento venga considerato l’inserimento all’interno dell’elenco fornito dall’art. 9 par. 2 GDPR anche questo caso specifico, integrato con la previsione dell’adozione di misure di garanzia proprio in ottica di seguire un approccio di responsabilizzazione dei titolari che esprime il principio di accountability.
La necessità è quella di mantenere una razionalità e coerenza di sistema, a beneficio non solo di consulenti, DPO e titolari del trattamento, ma anche degli interessati che devono essere destinatari di tutele efficaci e sostanziali.
L’importanza della coerenza all’interno del sistema GDPR
Nel momento in cui una prescrizione incide sulla legalità delle attività svolte sui dati personali, questa deve derivare dall’applicazione della norma e non da una sua distorsione o approssimazione interpretativa. Altrimenti ci si trova di fonte ad un’ipotesi simile a quella nota alla filosofia del diritto di un “segnale di stop del tutto inutile”, che rende una regola disapplicata non soltanto superflua ma altresì dannosa in quanto infonde nella società una generale attitudine alla disapplicazione (arbitraria) delle regole. Anche nell’interpretazione della legge, soprattutto se incide su diritti fondamentali, la ricerca dello spirito della norma non si è mai rivelata una soluzione utile da intraprendere. Piuttosto, bisogna esigere norme ben scritte e, se del caso, chiederne una revisione. Altrimenti, si realizzerebbe il paradosso di avere delle regole elevate fideisticamente a dogmi immodificabili ed inviolabili ma al contempo destinate a non trovare mai il pieno rispetto del loro tenore letterale.
Note
[1]«l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona».
[2] Art. 39 par. 2 GDPR.
[3] previsto dall’art. 9 par. 2 lett. a) GDPR.