Consenso al trattamento e liceità

It is commonly recognised that privacy consent shall be deemed invalid, i.e. it may not constitute a basis for lawful processing of personal data, lacking one of its requirements of freedom, awareness and disclosure, as provided for by the GDPR. In this essay, the a. identifies ‘lawfulness’ as a further requirement of privacy consent, arguing that it consists in the requirement that the specific purposes for the personal data processing for which the privacy consent is given shall be legitimate and the processing shall not be otherwise prohibited, in each case on the basis ofthe operation of mandatory provisions of Union or national law, as applicable. Theessay illustrates a number of cases where privacy consent shall be deemed illegal (for lack of the lawfulness requirement) and therefore invalid, although being given freely and in a specific, informed and unambiguous manner by the data subject. The essay further illustrates some problems of interpretation deriving from the application of the lawfulness requirement of the privacy consent. In particular, the a. identifies some issues relating to the coordination between GDPR and the other sources of Union and national law on the basis of which the test to establish whether the processing purposes are legitimate shall be carried out. The a. further underlines the existence of problems of coordination and the need for cooperation between and among the various administrative and judicial authorities that may be involved in connection with the test relevant to the lawfulness requirement of the privacy consent. Finally, the a. argues in favour of the thesis for which privacy consent shall be treated in terms as an act of private autonomy and explains why, in his view, the categories of ‘prohibition’ and ‘unlawfulness’ that the European jurists shall deal with in interpreting the GDPR and the other provisions of the rising EU data law setting limits to the data industry, will constitute a useful subject for a new season of legal studies in private autonomy theory as a matter of EU law.

È generalmente riconosciuto che il consenso privacy è invalido, e cioè non può costituire una valida base per il lecito trattamento di dati personali, in difetto di uno dei suoi requisiti di libertà, consapevolezza o manifestazione fissati espressamente dal GDPR. In questo saggio, l’a. configura un ulteriore requisito di validità del consenso privacy, quello della ‘liceità’, argomentando che esso consiste nel requisito per cui le specifiche finalità di trattamento dei dati personali per le quali il consenso privacy è prestato devono essere legittime e il trattamento non deve essere altrimenti vietato alla stregua di norme imperative del diritto unitario o del diritto nazionale applicabile. L’a. offre numerosi esempi di consenso privacy che, a suo avviso, deve ritenersi tipicamente illecito (per difetto del requisito di liceità) e dunque invalido, pur essendo stato in ipotesi reso dall’interessato in modo libero e consapevole, ed espresso in modo specifico ed inequivocabile, o anche, se richiesto dalla legge, esplicito. Il saggio si sofferma dunque sui problemi ermeneutici collegati all’applicazione del requisito di liceità del consenso privacy, individuando alcune aree di approfondimento. In particolare, l’a. evidenzia le esigenze di coordinamento tra il GDPR e le altri fonti di diritto unitario e nazionale alla stregua delle quali va asseverata la liceità, nonché le esigenze di coordinamento e di cooperazione tra le varie autorità amministrative e giurisdizionali che possono essere di volta in volta coinvolte in relazione al medesimo giudizio. Infine, l’a. argomenta in favore della tesi per la quale il consenso privacy debba essere concepito quale atto di autonomia privata, e spiega perché, a suo avviso, le categorie del divieto e dell’illiceità, con le quali il giurista europeo è tenuto a cimentarsi interpretando il GDPR e le altre fonti dell’erigendo diritto europeo dei dati che fissano limiti all’industria dei dati, costituiscano le categorie dalle quali partire per una nuova stagione di studi sul diritto europeo dell’autonomia privata.