Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato le linee-guida in materia di codici di condotta che forniscono orientamenti pratici e supporto interpretativo per l'applicazione degli articoli 40 e 41 del regolamento generale sulla protezione dei dati.
Si tratta in buona sostanza di un quadro di riferimento per tutte le autorità di controllo, volto a chiarire le procedure e le norme relative alla presentazione, all'approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo.
Le linee-guida sono oggetto di una consultazione pubblica: commenti e osservazioni possono essere inviati fino al 2 aprile 2019.
Il documento si sofferma in particolare sulle modalità di prestazione del consenso da parte dell’interessato , individuandolo in qualsiasi:
- manifestazione di volontà libera,
- specifica,
- informata e
- inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Nel valutare se il consenso sia stato prestato liberamente, si deve anche tener conto dell’eventualità che il consenso sia collegato all’esecuzione di un contratto o alla prestazione di un servizio, contenendo l’inciso “tra le altre”, ma senza alcuna individuazione esaustiva.
Qualsiasi azione di pressione o influenza inappropriata che impedisca a quest’ultimo di esercitare il suo libero arbitrio, rende il consenso invalido: è altamente inopportuno “accorpare” il consenso all’accettazione delle condizioni generali di contratto/servizio o “subordinare” la fornitura di un contratto o servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione del contratto o servizio.
La dichiarazione firmata non è l’unico modo per ottenere il consenso esplicito. Ad esempio, nel contesto digitale od online, l’interessato può emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica.
Anche l’uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un consenso esplicito valido, tuttavia può essere difficile per il titolare del trattamento dimostrare che tutte le condizioni per la validità del consenso esplicito siano state soddisfatte quando la dichiarazione è stata registrata.
E’ possibile anche ottenere il consenso esplicito tramite una conversazione telefonica, a condizione che le informazioni sulla scelta siano corrette, intelligibili e chiare e che venga richiesta una conferma specifica da parte dell’interessato.