L’art. 4 n. 1 del GDPR definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. L’art. 6 ribadisce che il trattamento basato sul consenso è lecito soltanto nel momento in cui l’interessato “ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”.
Come si può facilmente notare il GDPR, con riferimento al consenso dell’interessato, attribuisce rilevanza centrale al principio della specificità, che può ritenersi pienamente osservato soltanto qualora siano rispettate le seguenti condizioni:
Il pieno rispetto di queste condizioni permette all’interessato di esercitare un certo grado di controllo dei propri dati personali e delle finalità del trattamento. In questo modo l’interessato potrà tutelarsi contro la cosiddetta “function creep”, ossia l’indebito ampliamento progressivo delle finalità del trattamento che potrebbe verificarsi dopo il consenso iniziale alla raccolta dei propri dati personali. In altre parole, il rispetto del principio di specificità impedisce al titolare di trattare i dati personali per finalità ulteriori e diverse rispetto a quelle rese note all’interessato o, addirittura nei casi più gravi, che gli stessi siano comunicati e trattati da soggetti terzi di cui l’interessato non ne conosce l’identità, le finalità e le modalità di trattamento.
Se il titolare intende trattare i dati personali ottenuti per un’ulteriore e diversa finalità dovrà chiedere e ottenere un nuovo consenso da parte dell’interessato, salvo i casi in cui esiste un’altra base giuridica legittima più appropriata rispetto alla situazione concreta.
18 marzo 2019