GDPR e accountability: Garante, l’accettazione delle condizioni contrattuali non vale come consenso

“L’accettazione globale delle condizioni generali di contratto/servizio non può essere considerata come un’azione positiva inequivocabile ai fini del consenso all’uso dei dati personali”.

Questo è il principio richiamato dal punto 81 delle Linee Guida sul consenso adottate dall’EDPB il 4 maggio 2020 e ribadito di recente dall’Autorità Garante nel Provvedimento n. 242 del 7 luglio 2022 (doc. web n. 9809998).

In particolare, non è “compliant” richiedere agli utenti (nel caso di specie, attraverso una app) l’accettazione con un unico “clic” sia delle condizioni contrattuali del servizio, sia del contenuto dell’informativa privacy, non consentendo così di formulare un consenso ad hoc per il trattamento dei dati sulla salute. Il consenso non può essere ottenuto, infatti, attraverso la stessa azione con cui si accetta un contratto o le condizioni generali di servizio.

Per essere “in regola”, quindi, è necessario che i titolari del trattamento – in particolare, nel contesto dello sviluppo e dell’implementazione di app per dispositivi mobili –  facciano tesoro degli insegnamenti del nostro Garante e delle linee guida in materia (si pensi, soprattutto al parere 02/2013 del WP29 sulle applicazioni per dispositivi intelligenti o ai più recenti vademecum pubblicati dall’Autorità francese e da quella spagnola) e mettano in pratica concretamente il rispetto dei principi di liceità e limitazione delle finalità del trattamento.