Il consenso è una delle basi giuridiche del trattamento, nell’ambito del regolamento generale per la protezione dei dati personali.

E’ importante tenere presente che il consenso è solo una delle sei basi giuridiche previste dal GDPR, ed è specifico dovere del titolare del trattamento valutare quale tra esse è la base giuridica più idonea per il trattamento che egli intende porre in essere. Chiedere il consenso dovrebbe essere ritenuta una richiesta insolita, spesso indica che il titolare vuole sottoporre i dati personali dell’interessato ad un trattamento che l’interessato potrebbe non gradire oppure non essere in grado di aspettarsi ragionevolmente. Il consenso era centrale con la vecchia normativa che instaurava una relazione tra titolare ed interessato, per cui c’era una visione proprietaria del dato, e occorreva il consenso per poterlo trattare. Oggi non è più così, considerato che un cittadino è costantemente soggetto a numerosi trattamenti per cui la tutela della circolazione del dato è essenziale come la tutela dello stesso dato. Anche perché a seconda della base giuridica variano i diritti dell’ interessato.

Che cosa si intende per consenso informato

Il consenso, in base al nuovo Regolamento Generale (art. 4 GDPR), è qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’ interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, al trattamento dei dati personali che lo riguardano. Il presupposto indefettibile è che il soggetto che conferisce il consenso abbia la capacità giuridica per farlo.

Inoltre, in base al Considerando 32: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

Tipologie di informazioni da combinare nel Consenso Informato

Affinché il consenso possa essere fornito liberamente, la persona deve avere libertà di scelta e deve poter rifiutare o revocare il consenso senza ritrovarsi svantaggiata. Il consenso non è fornito liberamente se, ad esempio, esiste un evidente squilibrio tra la persona e l’azienda/organizzazione (ad esempio, rapporto datore di lavoro/dipendente) o qualora un’azienda/organizzazione richieda alle persone il consenso al trattamento di dati personali non necessari come condizione previa per l’adempimento di un contratto o di un servizio.

Perché il consenso sia informato, la persona deve ricevere almeno le seguenti informazioni:

• l’identità dell’organizzazione che tratta i dati;
• le finalità per le quali i dati vengono trattati;
• il tipo di dati che verranno trattati;
• la possibilità di revocare il consenso fornito (ad esempio, un collegamento per cancellare l’iscrizione alla fine di un’e-mail);
• se applicabile, il fatto che i dati saranno utilizzati per decisioni esclusivamente automatizzate, compresa la profilazione;
• se il consenso è collegato a un trasferimento internazionale, i possibili rischi di un trasferimento di dati verso paesi terzi non soggetti a decisioni della Commissione in merito all’adeguatezza e privi di garanzie appropriate.

L’obbligo del medico a rendere comprensibili le informazioni

Il Consenso Informato medico è il processo con cui il Paziente decide in modo libero e autonomo dopo che gli sono state presentate una serie specifica di informazioni, rese a lui comprensibili da parte del medico o equipe medica, se iniziare o proseguire il trattamento sanitario previsto (legge 219/17, art.1 commi 2,3).

Con “acquisizione del consenso informato” possiamo intendere l’espressione, da parte del Paziente, dell’assenso (completo o parziale), dissenso o revoca, relativo a quanto proposto dal Medico, a conclusione dell’intero percorso di consenso informato. Tale acquisizione è solitamente una firma del paziente, ma la legge 219/17 prevede anche altre modalità, al fine di permettere l’espressione anche da parte di pazienti che siano inabili a firmare. La legge 219/17 identifica le 2 componenti del Consenso Informato in ambito sanitario:

• le informazioni;
• il processo con cui sono rese comprensibili e utili al Paziente;

La legge 219/17 chiarisce inoltre:

• chi deve fornire le informazioni: l’equipe medica;
• chi si occupa della loro proposta al paziente: la struttura sanitaria.

Il medico deve parlare in modo comprensibile al proprio paziente. Se al paziente non vengono date tutte le informazioni, oppure vengono fornite informazioni parziali, non si rispetta il diritto all’autodeterminazione del paziente stesso.

Un ospedale è stato condannato al Risarcimento dei familiari di una donna deceduta per un cancro al seno. Nel caso specifico erano stati eseguiti tutti gli esami e si era correttamente identificata la malattia. I medici però  non avevano informato in modo chiaro e comprensibile la paziente della gravità della sua situazione.

L’ospedale ha dovuto risarcire i familiari:

• sia per il danno da perdita di chance
• sia per danno morale.

Che caratteristiche deve avere il consenso

Consenso libero

L’informativa sulla privacy di una compagnia aerea indica che i dati personali dei clienti possono essere trattati per un concorso organizzato dalla compagnia, che mette in palio un volo gratuito. I clienti che hanno spuntato la casella accettando di partecipare al concorso hanno segnalato chiaramente la volontà di far trattare i loro dati personali per le finalità del concorso. Esiste il consenso al trattamento dei dati per le finalità del concorso, ma non per altre finalità.

Consenso non libero

La tua azienda/organizzazione offre servizi di film online. Quando raccoglie i dati necessari per questo contratto, vengono richiesti  anche dati aggiuntivi, come l’orientamento sessuale o le convinzioni politiche della persona. Tale persona potrebbe pensare che il suo consenso al trattamento di questo tipo di dati sia necessario per accedere ai film richiesti. In questo caso, il consenso non è libero, è un «consenso vincolato».

Quando è necessario il consenso per il trattamento dei dati personali, affinché tale consenso sia valido devono essere soddisfatte le seguenti condizioni:

• deve essere fornito liberamente;
• deve essere informato;
• deve essere fornito per uno scopo specifico;
• devono essere chiaramente indicati tutti i motivi del trattamento;
• è esplicito e fornito tramite un atto positivo (ad esempio, una casella elettronica che la persona deve spuntare online o mediante una firma su un modulo);
• utilizza un linguaggio semplice e chiaro ed è facilmente visibile;
• è possibile revocare il consenso e tale possibilità viene spiegata (ad esempio, un link per annullare l’iscrizione alla fine di una newsletter elettronica).

Affinché il consenso possa essere fornito liberamente, la persona deve avere libertà di scelta e deve poter rifiutare o revocare il consenso senza ritrovarsi svantaggiata. Il consenso non è fornito liberamente se, ad esempio, esiste un evidente squilibrio tra la persona e l’azienda/organizzazione (ad esempio, rapporto datore di lavoro/dipendente) o qualora un’azienda/organizzazione richieda alle persone il consenso al trattamento di dati personali non necessari come condizione previa per l’adempimento di un contratto o di un servizio.

Il consenso informato è sempre obbligatorio?

Il consenso informato rappresenta una forma particolare di consenso, che trova fondamento nei tre diritti fondamentali della persona costituzionalmente protetti dagli artt. 2, 13, 32 Cost., quali, rispettivamente, l’autodeterminazione, l’inviolabilità della persona, intesa come libertà di disporre del proprio corpo e diritto alla salute.

Eccetto che in casi particolari, in cui i soggetti sono obbligati a sottoporsi a determinati trattamenti sanitari nelle ipotesi imposte da disposizioni di legge, gli accertamenti e i trattamenti sanitari sono volontari, ossia l’avente diritto deve prestare il proprio consenso espresso e specifico.

È bene precisare che l’acquisizione del consenso informato del paziente da parte del sanitario costituisce prestazione altra e diversa rispetto a quella avente ad oggetto l’intervento terapeutico, e costituisce autonoma fonte di responsabilità; pertanto, se viene lamentata la violazione al diritto all’autodeterminazione, l’esito dell’intervento e la sua necessarietà sono irrilevanti. Invero la mancata acquisizione del consenso informato lede il diritto del paziente alla autodeterminazione delle scelte ed all’integrità psicofisica configurando categoria di danno autonomo rispetto a quella derivante dalla inesatta prestazione nell’adempimento dell’ars medica.

La differenza tra informativa Privacy e consenso informato

Informativa privacy e consenso privacy sono due documenti distinti e con finalità differenti. Ma quali sono con esattezza queste differenze?

L’informativa privacy è un documento in cui sono comunicate tutte le informazioni indispensabili che il paziente deve sapere nel momento in cui fornisce i dati personali. La comunicazione deve essere scritta, come indicato dal Garante, con linguaggio semplice, concisa, trasparente, intelligibile e facilmente accessibile. Il soggetto fornitore dei dati deve essere agevolato nella comprensione ed essere consapevole delle informazioni fornite.

Mentre il consenso privacy è la “testimonianza” che il soggetto liberamente ha acconsentito al trattamento dei suoi dati personali, dopo aver preso consapevolezza dell’informativa privacy. Il consenso privacy deve essere, chiaro ed inequivocabile, manifestato liberamente, in maniera specifica, verificabile e revocabile. Ricordiamo nuovamente, che escluse le finalità di cura, il consenso deve essere richiesto e firmato nel caso che si faccia uso di applicazioni mediche o altri fini.

Da non confondere assolutamente con il consenso informato. A differenza dei primi due il consenso informato serve per informare il paziente delle proprie condizioni di salute, sulle cure, eventuali rischi e rifiuto per un determinato trattamento. Il paziente può anche decidere di rifiutare di ricevere informazioni o delegare un familiare. Il professionista non può assolutamente, se non per i casi indicati dalla legge, fare a meno dell’accordo per svolgere interventi di cura. E’ infatti, lo strumento che autorizza il medico e/o dottore a compiere il lavoro consapevole della sua responsabilità civile e penale. Tale consenso non è regolamentato dal GDPR 2018, ma dalla legge 22 dicembre 2017, n. 219 che all’art. 1 c.3.

Nel contesto pervasivo e crescente dei data breach, il Data Protection Officer DPO assume il ruolo di guida per il titolare del trattamento attraverso un processo rigoroso di analisi e valutazione in caso di violazioni dei dati.

Se desideri supporto nella compliance alle norme GDPR contattaci. Un nostro tecnico sarà a tua disposizione per definire assieme la migliore soluzione adatta a te.