Print Friendly, PDF & Email

Chi fornisce il consenso?

Solo il soggetto cui si riferiscono i dati personali (cioè, l’interessato) è legittimato a rilasciare il consenso al trattamento, con le sole eccezioni del consenso parentale per i minori [art. 8(1) GDPR] e del consenso fornito dietro specifico mandato dell’interessato.

Questo aspetto, apparentemente ovvio, si pone in evidenza in quelle circostanze in cui i dati personali dell’interessato siano accompagnati a dati personali di terzi, ed il consenso rappresenta la base giuridica di legittimità del trattamento, come nell’ipotesi della funzione “invita un amico” disponibile su molti social web.

Come spiegato chiaramente dal WPArt29 nel contesto del diritto alla portabilità (wp242 rev.01), i fornitori di servizi della società dell’informazione o i fornitori di servizi di telecomunicazione non dovrebbero pregiudicare i diritti e le libertà dei non utenti dei loro servizi, se un utente dà il proprio consenso alla memorizzazione di dati personali di non utenti sui loro server. Nel contesto del trasferimento di dati personali, il WPArt29 ha ribadito l’inadeguatezza del consenso dell’utente al trattamento dei dati di non utenti: in questi casi deve poter esistere una base giuridica diversa e il legittimo interesse del fornitore di servizi, in presenza delle condizioni di ammissibilità, sembra essere la base più appropriata.

Autorità olandese su WhatsApp

In un provvedimento adottato dall’autorità olandese prima della piena applicazione del GDPR (15 gennaio 2013) l’autorità ha stabilito che l’utente dei social media non può dare un consenso valido in nome e per conto di un non utente della piattaforma di social media: «Gli utenti di Whatsapp non possono dare il consenso (inequivocabile) per conto dei non utenti presenti nella loro rubrica per un trattamento da parte di WhatsApp dei loro dati di contatto, senza essere autorizzati dai non-utenti coinvolti. Solo i non-utenti coinvolti (o i loro rappresentanti legali) possono fornire tale consenso».

In questa circostanza, l’autorità olandese ha stabilito che «poiché WhatsApp non ottiene un consenso inequivocabile da parte di non-utenti, presenti nella rubrica dei contatti (address book) degli utenti di Whatsapp, per il trattamento dei propri dati personali ma continua a eseguire tale trattamento sebbene non abbia basi giuridiche per tale trattamento dei dati, WhatsApp agisce in violazione dell’articolo 8 della legge (olandese) sulla protezione dei dati» (l’articolo 8 della precedente legge sulla protezione dei dati aveva recepito l’articolo 7 della direttiva 95/46/CE ed è uguale all’articolo 6 del GDPR).

Autorità belga su social

Alle medesime conclusioni dell’autorità olandese è pervenuta l’autorità belga nella decisione 25/2020 del 14 maggio 2020 relativa alla funzionalità “invita un amico” presente sulla piattaforma di un social web. In questa circostanza, il gestore del social è stato ritenuto titolare del trattamento in quanto archiviava i dati di contatto contenuti nelle rubriche dei propri utenti che acconsentivano all’operazione e ne stabiliva anche i tempi di conservazione. Secondo l’autorità belga, se tale attività è svolta a fini commerciali, come base giuridica per questo trattamento, il gestore del social ha necessità di disporre del consenso di entrambi

  • gli utenti che aderiscono a questo servizio e
  • i non-utenti del social per i loro dati di contatto.
Termini Collegati:
Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Not readable? Change text. captcha txt
0