Un consenso in realtà praticamente inutile. Un'incertezza sui tempi inammissibile. E un rischio per il trasferimento dei dati all'estero evidentemente sottovalutato. L'università Bocconi di Milano è stata multata dal garante per la protezione dei dati personali con una sanzione di 200mila euro per l'utilizzo, poco trasparente e non corretto, di un sistema di "controllo" per gli esami a distanza durante i mesi più duri dell'emergenza coronavirus, quando gli Atenei erano stati chiusi e gli studenti erano stati costretti a partecipare agli appelli da casa.
Con la novella legislativa decreto legge 8 ottobre 2021, n. 139, il Governo sembra aver introdotto una nuova forma di "potere autoritativo" all'interno della disciplina sul trattamento dei dati personali. Invero, all'art. 9 del D.L. citato, ex multis, viene espressamente previsto che al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
Il Regolamento (UE) 2016/679 nel prevedere che ogni trattamento debba trovare fondamento in un’idonea base giuridica individua, come noto, nell’articolo all’articolo 6 le seguenti basi giuridiche: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
Le scuole non possono usare il consenso degli interessati per trattare i dati. La normativa sulla privacy impone alle pubbliche amministrazioni di agire con presupposti diversi dal consenso (osservanza dell'interesse pubblico). È quanto precisato dal Garante della privacy nella motivazione dell'Ingiunzione n. 148 del 28 aprile 2022.
Dopo le sanzioni per 390 milioni di euro inflitte a Meta nei primissimi giorni dell’anno per le violazioni del GDPR commesse da Facebook e Instagram, ora l’autorità irlandese per la protezione dei dati torna a bacchettare le società di Mark Zuckerberg con una multa di 5,5 milioni di euro a WhatsApp.
È un tema delicatissimo, all’ordine del giorno delle Autorità come dei board di grandi e piccole imprese, e, soprattutto, cruciale per il futuro pandigitale e metaversale che ci attende: si può concepire una valorizzazione economica dei dati personali – per esempio tramite profilazione comportamentale o marketing personalizzato – senza il consenso dell’interessato? O, perfino, senza fondare il trattamento su nessuna delle basi giuridiche indicate nell’articolo 6 del GDPR?
In data 11 luglio 2022 l’Ufficio stampa del Garante per la protezione dei dati personali italiana ha reso noto che la medesima Autorità ha adottato in data 7 luglio 2022 un provvedimento di urgenza nei confronti di Tik Tok col qual ha avvertito la piattaforma che è illecito utilizzare dati personali archiviati nei dispositivi degli utenti per profilarli e inviare ad essi pubblicità personalizzata senza un loro esplicito consenso.
Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati.
La p.a. non deve chiedere il consenso per trattare dati. Il Garante, nel provvedimento n. 14 del 27 gennaio 2022, ha scritto a chiare lettere che, al fine di adempiere «compiti di interesse pubblico o connessi all'esercizio di poteri pubblici», i soggetti pubblici non sono tenuti a chiedere all'interessato alcun consenso o autorizzazione. L'intervento del Garante è tanto più opportuno a fronte di una prassi molto spesso confusa, nella quale gli enti pubblici talvolta pensano che chiedere il consenso sia al massimo qualcosa in più, ma innocuo.
