Il consenso è nullo se l’azienda ha spuntato la casella al posto dell’utente. Con la sentenza nella causa C-61/19 su Orange in Romania, il consenso tornerà “inequivocabilmente” a far parlare di sé.
La sentenza della Corte di Giustizia UE sul consenso Orange in Romania
Il casus belli, il punto di partenza è quasi banale. Orange, una società di telecomunicazioni conserva copie dei documenti d’identità di suoi clienti senza aver dimostrato che tali clienti avessero prestato il loro valido consenso. Un consenso acquisito tramite clausole “privacy” precompilate, promiscuamente mescolate a quelle contrattuali, scritte in maniera poco trasparente e modalità di revoca del consenso talmente macchinose da far desistere anche il più scrupoloso dei contraenti. Insomma, il decalogo di cosa non fare quando si vuole acquisire un consenso conforme alla normativa data protection.
Ma se il punto di partenza di questo viaggio tra scelte di compliance inefficaci (della sventurata/incauta telco) e analisi scrupolose delle norme relative al consenso (dei Giudici UE) può sembrare banale, la meta è di sicuro interesse collettivo.
La lezione che la sentenza del 11 novembre 2020 della CJUE ci dona è duplice: da un lato descrivendoci con minuziosa cura tutto ciò che un titolare non dovrebbe fare quando raccoglie un consenso ci fornisce in “negativo” un’indicazione precisa degli step di compliance da adottare quando trattiamo questa fragile e quasi evanescente manifestazione di volontà. Insomma, citando Manzoni il consenso è “Un vaso di coccio in mezzo a tanti vasi in ferro”.
Dall’altro ci ricorda che non basta acquisire un consenso perché questo sia valido: bisogna provarne la genuinità e anche in questo caso, come diritto comanda, l’onere della prova grava su chi quella condizione di liceità la invoca.
—
IL TESTO
Sentenza nella causa C–61/19. Orange România SA/Autoritatea Naţională de Supraveghere a Prelucrării. Datelor cu Caracter Personal (ANSPDCP).
«Rinvio pregiudiziale – Direttiva 95/46/CE – Articolo 2, lettera h), e articolo 7, lettera a) – Regolamento (UE) 2016/679 – Articolo 4, punto 11, e articolo 6, paragrafo 1, lettera a) – Trattamento dei dati personali e tutela della vita privata – Raccolta e conservazione delle copie di documenti d’identità da parte di un fornitore di servizi di telecomunicazione mobile – Nozione di “consenso” della persona interessata – Manifestazione di volontà libera, specifica e informata – Dichiarazione di consenso mediante una casella da selezionare – Sottoscrizione del contratto da parte della persona interessata – Onere della prova».
Nella causa C-61/19, avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania), con decisione del 14 novembre 2018, pervenuta in cancelleria il 29 gennaio 2019, nel procedimento Orange România SA contro Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
[…]
1. La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 2, lettera h), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), e dell’articolo 4, punto 11, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1).
2. Tale domanda è stata presentata nell’ambito di una controversia tra l’Orange România SA e l’Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Autorità nazionale di sorveglianza del trattamento dei dati personali, Romania), in merito a un ricorso diretto all’annullamento di una decisione con la quale quest’ultima ha inflitto all’Orange România un’ammenda per aver raccolto e conservato copie di documenti d’identità dei propri clienti senza il loro valido consenso e le ha ingiunto di distruggere tali copie.
Contesto normativo
Diritto dell’Unione
La direttiva 95/46
3. Il considerando 38 della direttiva 95/46 recita che «il trattamento leale dei dati presuppone che le persone interessate possano conoscere l’esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamente da loro, di un’informazione effettiva e completa in merito alle circostanze della raccolta».
4. L’articolo 2, lettera h), di tale direttiva prevede in particolare che, ai fini della stessa, si intende per:
«”consenso della persona interessata”: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento».
5. L’articolo 6 della suddetta direttiva così dispone:
«1. Gli Stati membri dispongono che i dati personali devono essere:
a) trattati lealmente e lecitamente;
(…)
2. Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1».
6. A norma dell’articolo 7, lettera a), della direttiva medesima:
«Gli Stati membri dispongono che il trattamento di dati personali può essere effettuato soltanto quando:
a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile (…)».
7. L’articolo 10 di tale direttiva è formulato nei seguenti termini:
«Gli Stati membri dispongono che il responsabile del trattamento, o il suo rappresentante, debba fornire alla persona presso la quale effettua la raccolta dei dati che la riguardano almeno le informazioni elencate qui di seguito, a meno che tale persona ne sia già informata:
a) l’identità del responsabile del trattamento ed eventualmente del suo rappresentante;
b) le finalità del trattamento cui sono destinati i dati;
c) ulteriori informazioni riguardanti quanto segue:
– i destinatari o le categorie di destinatari dei dati,
– se rispondere alle domande è obbligatorio o volontario, nonché le possibili conseguenze di una mancata risposta,
– se esistono diritto di accesso ai dati e di rettifica in merito ai dati che la riguardano
nella misura in cui, in considerazione delle specifiche circostanze in cui i dati vengono raccolti, tali informazioni siano necessarie per effettuare un trattamento leale nei confronti della persona interessata».
Il regolamento 2016/679
8. I considerando 32 e 42 del regolamento 2016/679 sono così formulati:
«(32) Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.
(…)
(42) Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio [del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU 1993, L 95, pag. 29)] è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio».
9. L’articolo 4, punto 11, del regolamento citato dispone quanto segue:
«”consenso dell’interessato” qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;».
10. A termini dell’articolo 5 del medesimo regolamento:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
(…)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
11. L’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679 enuncia:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
(…)».
12. Ai sensi dell’articolo 7, paragrafi 1, 2 e 4, del regolamento 2016/679:
«1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
(…)
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».
13. L’articolo 13, paragrafi 1 e 2, di tale regolamento stabilisce quanto segue:
«1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
(…)
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
(…)
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;».
14. L’articolo 94, paragrafo 1, del regolamento 2016/679 così recita:
«La direttiva 95/46/CE è abrogata a decorrere da[l] 25 maggio 2018».
15. Ai sensi del suo articolo 99, paragrafo 2, il regolamento 2016/679 si applica a decorrere dal 25 maggio 2018.
Il diritto rumeno
16. La legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (legge n. 677/2001, per la tutela delle persone con riguardo al trattamento dei dati personali, e la libera circolazione di tali dati) (Monitorul Oficial al României, parte I, n. 790, del 12 dicembre 2001) è finalizzata a recepire le disposizioni della direttiva 95/46 nel diritto nazionale.
17. L’articolo 5, paragrafo 1, di tale legge così recita:
«1) Qualsiasi trattamento di dati personali, salvo se riguardi dati rientranti nelle categorie menzionate all’articolo 7, paragrafo 1, e agli articoli 8 e 10, può essere effettuato unicamente se la persona interessata ha espressamente e inequivocabilmente manifestato il proprio consenso a tale trattamento.
(…)».
18. L’articolo 8 della stessa legge prevede:
«1) Il trattamento del codice numerico personale o di altri dati personali che hanno una funzione di identificazione di portata generale può essere effettuato solo se:
a) la persona interessata ha fornito espressamente il suo consenso; oppure
b) il trattamento è previsto espressamente da una disposizione di legge.
2) L’autorità di controllo può stabilire anche altri casi nei quali si può effettuare il trattamento dei dati previsto al comma (1), solo a condizione di istituire garanzie adeguate per il rispetto dei diritti delle persone interessate».
19. Ai sensi dell’articolo 32 della legge 677/2001:
«Il trattamento di dati personali da parte di un responsabile del trattamento o di una persona incaricata da quest’ultimo, con violazione delle previsioni degli articoli da 4 a 10 o senza tenere debito conto dei diritti previsti agli articoli da 12 a 15 oppure all’articolo 17, costituisce illecito amministrativo, se non è compiuto in condizioni tali da costituire illecito penale, e viene punito con una sanzione pecuniaria da [1 000 lei rumeni (RON)] a RON [25 000]».
Procedimento principale e questioni pregiudiziali
20. L’Orange România è un fornitore di servizi di telecomunicazione mobile nel mercato rumeno.
21. Con decisione del 28 marzo 2018, l’ANSPDCP ha inflitto all’Orange România un’ammenda per aver conservato copie di documenti d’identità di suoi clienti senza aver dimostrato che tali clienti avessero prestato il loro valido consenso, ingiungendole al contempo di distruggere tali copie.
22. In tale decisione, l’ANSPDCP ha rilevato che, nel periodo compreso tra il 1º e il 26 marzo 2018, l’Orange România aveva concluso per iscritto contratti per la fornitura di servizi di telecomunicazione mobile con persone fisiche e che le copie dei documenti d’identità di tali persone erano allegate a detti contratti. Secondo l’ANSPDCP, essa non ha fornito la prova che i suoi clienti, ai cui contratti erano allegate copie del loro documento di identità, avessero prestato il loro consenso valido in merito alla raccolta e alla conservazione di copie dei loro documenti d’identità.
23. Le clausole pertinenti dei contratti di cui trattasi erano così formulate:
«- Il cliente dichiara che:
i) è stato informato, prima della conclusione del contratto, relativamente al piano tariffario scelto, alle tariffe applicabili, alla durata minima del contratto, alle condizioni di cessazione del medesimo e a quelle per ottenere e utilizzare i servizi, inclusa l’area di copertura dei servizi (…);
ii) l’Orange România ha posto a disposizione del cliente tutte le informazioni necessarie affinché quest’ultimo potesse esprimere il consenso senza vizi, espresso, libero e specifico relativamente alla conclusione del contratto e all’impegno che esso comporta, inclusa tutta la documentazione contrattuale, i Termini e Condizioni generali per l’utilizzo dei servizi di Orange e il documento informativo di tariffe e servizi;
iii) è stato informato ed ha espresso il consenso relativamente:
– al trattamento dei dati personali ai fini previsti all’articolo 1.15 dei Termini e Condizioni generali per l’utilizzo dei servizi di Orange;
– al fatto che copie dei documenti contenenti dati personali volti alla sua identificazione siano conservate;
– all’accordo per il trattamento di dati personali (numero di contatto, e-mail) a fini di marketing diretto;
– all’accordo per il trattamento di dati personali (numero di contatto, e-mail) al fine di svolgere studi di mercato;
– ho letto e fornisco il consenso espresso affinché copie di quei documenti contenenti dati personali relativi allo stato di salute siano conservate;
– che i dati menzionati all’articolo 1.15 comma (10) dei Termini e Condizioni generali per l’utilizzo dei servizi di Orange non siano inclusi nei servizi di informazione relativi agli abbonati e ai registri degli abbonati».
24. L’Orange România ha proposto ricorso avverso la decisione del 28 marzo 2018 dinanzi al Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania).
25. Secondo quanto accertato dal giudice del rinvio, esistono, da un lato, contratti in cui una crocetta è stata inserita nella casella concernente la clausola relativa alla conservazione di copie degli atti contenenti dati personali a fini di identificazione e, dall’altro, contratti in cui tale crocetta manca. Detto giudice precisa che, indipendentemente dalle indicazioni incluse nei Termini e condizioni generali di vendita, l’Orange România non ha rifiutato ai clienti la sottoscrizione dei contratti di abbonamento anche se questi ultimi avevano rifiutato di acconsentire a che copia del loro documento di identità fosse conservata. Tale giudice rileva inoltre che le «procedure interne» di vendita dell’Orange România prevedevano che tale rifiuto dovesse essere documentato in un modulo specifico, da far firmare a tali clienti prima della conclusione del contratto.
26. Il giudice del rinvio si chiede se, in tali circostanze, si possa ritenere che i clienti interessati abbiano validamente acconsentito alla raccolta del loro documento di identità e a che le copie di quest’ultimo siano allegate ai contratti. Inoltre, esso si chiede se la sottoscrizione di un contratto, nel quale figura la clausola relativa alla conservazione di copie degli atti contenenti dati personali a fini di identificazione, consenta di dimostrare l’esistenza di un siffatto consenso.
27. In tali circostanze, il Tribunalul București (Tribunale superiore di Bucarest) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Ai sensi dell’articolo 2, lettera h), della direttiva 95/46 (…), [si chiede] quali sono le condizioni che devono essere soddisfatte per poter considerare che una manifestazione di volontà è una manifestazione specifica e informata.
2) Ai sensi dell’articolo 2, lettera h), della direttiva 95/46 (…), [si chiede] quali sono le condizioni che devono essere soddisfatte per poter considerare che una manifestazione di volontà è una manifestazione liberamente espressa».
Sulle questioni pregiudiziali
28. In limine, occorre esaminare l’applicabilità della direttiva 95/46 e del regolamento 2016/679 ai fatti di cui al procedimento principale.
29. Con effetto dal 25 maggio 2018, la direttiva 95/46 è stata abrogata e sostituita dal regolamento 2016/679, in forza dell’articolo 94, paragrafo 1, e dell’articolo 99, paragrafo 2, di tale regolamento.
30. Pertanto, poiché la decisione dell’ANSPDCP di cui trattasi nel procedimento principale è stata adottata il 28 marzo 2018, quindi prima del 25 maggio 2018, il giudice del rinvio ritiene correttamente che la direttiva 95/46 si applichi ratione temporis alla controversia principale.
31. Ciò premesso, dal fascicolo sottoposto alla Corte risulta altresì che, con la sua decisione, l’ANSPDCP non si è limitata ad infliggere un’ammenda all’Orange România, ma le ha altresì ingiunto di distruggere le copie dei documenti d’identità in oggetto, e che la controversia principale verte anche su quest’ultima ingiunzione. Orbene, poiché nessun elemento di tale fascicolo indica che sia stato dato seguito a detta ingiunzione prima del 25 maggio 2018, non è escluso che, nel caso di specie, il regolamento 2016/679 sia applicabile ratione temporis per quanto la riguarda (v., in questo senso, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punto 41).
32. In tali circostanze, al fine di consentire alla Corte di fornire risposte utili alle questioni sollevate dal giudice del rinvio, occorre rispondere a tali questioni sulla base tanto della direttiva 95/46 quanto del regolamento 2016/679 (v., per analogia, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punto 43).
33. Con le sue due questioni pregiudiziali, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l’articolo 2, lettera h), e l’articolo 7, lettera a), della direttiva 95/46, nonché l’articolo 4, punto 11 e l’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679 debbano essere interpretati nel senso che un contratto relativo alla fornitura di servizi di telecomunicazioni che contiene una clausola secondo la quale la persona interessata è stata informata e ha acconsentito alla raccolta e alla conservazione di una copia del suo documento di identità a fini di identificazione è idoneo a dimostrare che tale persona ha prestato validamente il proprio consenso, nell’accezione di tali disposizioni, a tale raccolta e a tale conservazione.
34. A questo riguardo, occorre ricordare che l’articolo 7 della direttiva 95/46 e l’articolo 6 del regolamento 2016/679 prevedono un elenco esaustivo dei casi in cui il trattamento di dati personali può essere considerato lecito (v., per quanto attiene all’articolo 7 della direttiva 95/46, sentenza del 19 ottobre 2016, Breyer, C-582/14, EU:C:2016:779, punto 57 e giurisprudenza ivi citata, nonché del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punto 53). In particolare, l’articolo 7, lettera a), di tale direttiva e l’articolo 6, paragrafo 1, lettera a), di detto regolamento prevedono che il consenso dell’interessato possa rendere un siffatto trattamento lecito.
35. Per quanto attiene ai requisiti cui è assoggettato tale consenso, l’articolo 7, lettera a), della citata direttiva dispone che la persona interessata deve aver «manifestato il proprio consenso in maniera inequivocabile», mentre l’articolo 2, lettera h), della direttiva 95/46 definisce il termine «consenso» come «qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento». Posto che tali disposizioni prevedono che la persona interessata proceda ad una «manifestazione di volontà» al fine di fornire «in maniera inequivocabile» il suo consenso, solo un comportamento attivo da parte di tale persona al fine di manifestare il proprio consenso può essere considerato a tal fine rilevante (v., in questo senso, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punti 52 e 54).
36. Questo stesso requisito si applica anche nell’ambito del regolamento 2016/679. Infatti, la formulazione dell’articolo 4, punto 11, di tale regolamento, che definisce il «consenso dell’interessato» ai fini, in particolare, del suo articolo 6, paragrafo 1, lettera a), risulta ancora più rigorosa di quella dell’articolo 2, lettera h), della direttiva 95/46, in quanto richiede una manifestazione di volontà «libera, specifica, informata e inequivocabile» dell’interessato, consistente in una dichiarazione o in un’«azione positiva inequivocabile», che sancisca il consenso dello stesso al trattamento di dati personali che lo riguardano. In tal modo risulta ormai espressamente previsto un consenso attivo (v., in tal senso, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punti da 61 a 63).
37. A tal riguardo, sebbene il considerando 32 di tale regolamento precisi che l’espressione del consenso possa essere tra l’altro realizzata mediante la selezione di una casella durante la consultazione di un sito web, esso esclude invece espressamente che configuri consenso «il silenzio, l’inattività o la preselezione di caselle». Come la Corte ha già dichiarato, in un’ipotesi del genere risulta praticamente impossibile determinare in modo oggettivo se, non deselezionando una casella preselezionata, l’utente di un sito Internet abbia effettivamente manifestato il proprio consenso al trattamento dei suoi dati personali, nonché, in ogni caso, se tale consenso sia stato manifestato in modo informato. Non può, infatti, essere escluso che detto utente non abbia letto l’informazione che accompagna la casella preselezionata, o addirittura che lo stesso non abbia visto tale casella, prima di continuare la propria attività sul sito Internet che visita (v., in tal senso, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punti 55 e 57).
38. Inoltre, l’articolo 2, lettera h), della direttiva 95/46 e l’articolo 4, punto 11, del regolamento 2016/679 richiedono una manifestazione di volontà «specifica», nel senso che deve riferirsi precisamente al trattamento dei dati interessati e non può essere desunta da una manifestazione di volontà avente un oggetto distinto (v., per quanto concerne l’articolo 2, lettera h), della direttiva 95/46, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punto 58).
39. A tal riguardo, l’articolo 7, paragrafo 2, prima frase, di tale regolamento precisa che, qualora il consenso dell’interessato sia prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie. In particolare, da quest’ultima disposizione, in combinato disposto con il considerando 42 di detto regolamento, si evince che una siffatta dichiarazione deve essere presentata in forma comprensibile e facilmente accessibile ed essere formulata in un linguaggio semplice e chiaro, in particolare quando si tratti di una dichiarazione di consenso da redigere preventivamente da parte del responsabile del trattamento dei dati personali.
40. Per quanto riguarda il requisito risultante dall’articolo 2, lettera h), della direttiva 95/46 e dall’articolo 4, punto 11, del regolamento 2016/679, in forza del quale il consenso deve essere «informato», tale requisito implica, in conformità all’articolo 10 di tale direttiva, letto alla luce del considerando 38 di quest’ultima, nonché all’articolo 13 di tale regolamento, letto alla luce del suo considerando 42, che il responsabile del trattamento fornisca alla persona interessata un’informazione alla luce di tutte le circostanze che corredano il trattamento dei dati, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, di modo che tale persona venga a conoscenza del tipo di dati che devono essere trattati, dell’identità del responsabile del trattamento, della durata, nonché delle modalità e delle finalità che esso persegue. Una siffatta informazione deve consentire a detta persona di individuare agevolmente le conseguenze di un eventuale consenso prestato e assicurare che questo sia espresso con piena cognizione di causa (v., per analogia, sentenza del 1° ottobre 2019, Planet49, C-673/17, EU:C:2019:801, punto 74).
41. Inoltre, come rilevato dalla Commissione nelle sue osservazioni presentate alla Corte, dall’articolo 10, lettera c), secondo trattino, della direttiva 95/46 e dall’articolo 13, paragrafo 2, lettere b) e c), del regolamento 2016/679, letto alla luce del considerando 42 di quest’ultimo, risulta che, per garantire all’interessato un’effettiva libertà di scelta, le clausole contrattuali non devono indurre la persona interessata in errore circa la possibilità di stipulare il contratto anche qualora essa rifiuti di acconsentire al trattamento dei suoi dati. In mancanza di informazioni di tal genere, non si può ritenere che il consenso di tale persona al trattamento dei suoi dati personali sia stato prestato liberamente né, peraltro, in modo informato.
42. Occorre aggiungere che, in forza dell’articolo 6, paragrafo 1, lettera a), e paragrafo 2, della direttiva 95/46 nonché dell’articolo 5, paragrafo 1, lettera a), del regolamento 2016/679, il responsabile del trattamento dei dati personali è tenuto a garantire in particolare la liceità del trattamento di tali dati e, come precisa il paragrafo 2 di detto articolo 5, deve essere in grado di comprovare tale liceità. Per quanto riguarda, più in particolare, un eventuale consenso della persona interessata, l’articolo 7, lettera a), di tale direttiva prevede che la persona interessata debba avere manifestato il proprio consenso «in maniera inequivocabile», il che implica, come esposto dall’avvocato generale al paragrafo 56 delle conclusioni, che l’onere della prova dell’esistenza di un valido consenso incombe al titolare del trattamento. L’articolo 7, paragrafo 1, del medesimo regolamento stabilisce che qualora il trattamento sia basato sul consenso, tale titolare deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
43. Nel caso di specie, nelle sue osservazioni presentate alla Corte l’Orange România ha affermato che, nella procedura per la stipulazione dei contratti di cui al procedimento principale, i suoi agenti di vendita informano i clienti interessati, preventivamente alla conclusione dei contratti, segnatamente sulle finalità della raccolta e della conservazione delle copie dei documenti di identità nonché sulla scelta di cui i clienti disporrebbero riguardo a tale raccolta e conservazione, prima di ottenere oralmente il consenso di tali clienti a tale raccolta e conservazione. Secondo l’Orange România, la casella relativa alla conservazione delle copie di documenti d’identità era quindi selezionata unicamente sulla base dell’assenso liberamente espresso in tal senso dagli interessati al momento della conclusione del contratto.
44. Ciò premesso, la domanda di pronuncia pregiudiziale mira in sostanza a chiarire se il consenso in tal modo invocato a un siffatto trattamento dei dati personali possa essere stabilito sul fondamento delle clausole contrattuali contenute in tali contratti.
45. A tal riguardo, dalle indicazioni contenute nella menzionata domanda risulta che, sebbene detti contratti contengano una clausola secondo la quale i clienti interessati sono stati informati e hanno manifestato il loro consenso alla conservazione di una copia del loro documento d’identità a fini identificativi, la casella relativa a tale clausola era già stata selezionata dagli agenti di vendita dell’Orange România prima che tali clienti procedessero alla firma recante accettazione di tutte le clausole contrattuali, ossia tanto di detta clausola quanto di altre clausole non connesse alla protezione dei dati. In detta domanda viene inoltre indicato che, senza che i contratti di cui al procedimento principale lo precisino, l’Orange România accettava di stipulare tali contratti con clienti che rifiutassero di prestare il loro consenso alla conservazione di una copia del loro documento d’identità, esigendo al contempo, in tal caso, che detti clienti firmassero un modulo specifico che attestasse il loro rifiuto.
46. Orbene, dal momento che, secondo tali indicazioni, non sembra che i clienti interessati avessero essi stessi selezionato la casella relativa a detta clausola, il mero fatto che tale casella sia stata spuntata non è idoneo a dimostrare una manifestazione positiva del consenso di tali clienti a che una copia della loro carta d’identità sia raccolta e conservata. Infatti, come rilevato dall’avvocato generale al paragrafo 45 delle sue conclusioni, la circostanza che detti clienti abbiano sottoscritto i contratti contenenti la casella selezionata non consente, di per sé, di dimostrare un siffatto consenso, in assenza di indicazioni che confermino che tale clausola è stata effettivamente letta e assimilata. Spetta al giudice del rinvio effettuare le necessarie verifiche a tal riguardo.
47. Inoltre, poiché la clausola selezionata relativa al trattamento di tali dati non risulta essere stata presentata in una forma che la distingua chiaramente dalle altre clausole contrattuali, spetta ad esso valutare se, tenuto conto delle considerazioni di cui al punto 34 della presente sentenza, la sottoscrizione di tali contratti, che si riferisce a una pluralità di clausole contrattuali, possa essere considerata come espressione di un consenso specifico alla raccolta e alla conservazione dei dati personali, ai sensi dell’articolo 2, lettera h), della direttiva 95/46 e dell’articolo 4, punto 11, del regolamento 2016/679.
48. Peraltro, poiché la clausola contrattuale di cui trattasi nel procedimento principale si limita ad indicare, senza alcun’altra menzione, che le copie delle carte d’identità sono conservate a scopo d’identificazione, spetta al giudice del rinvio verificare se l’informazione fornita alle persone interessate soddisfi i requisiti di cui all’articolo 10 della direttiva 95/46 e all’articolo 13 del regolamento 2016/679, che enunciano le informazioni che il responsabile del trattamento deve fornire alla persona presso la quale raccoglie dati che la riguardano per garantire nei suoi confronti un trattamento leale dei dati.
49. Spetta parimenti a tale giudice valutare, in particolare, se le clausole contrattuali di cui trattasi nel procedimento principale potessero indurre la persona interessata in errore circa la possibilità di concludere il contratto nonostante il rifiuto di acconsentire al trattamento dei suoi dati, in assenza di precisazioni su tale punto, mettendo così in discussione il carattere informato del consenso espresso con detta firma.
50. Peraltro, come rilevato dall’avvocato generale al paragrafo 60 delle sue conclusioni, il carattere libero di tale consenso sembra messo in discussione dalla circostanza che, nell’ipotesi di un suo rifiuto, l’Orange România, discostandosi dalla procedura normale che conduce alla conclusione del contratto, esigeva che il cliente interessato dichiarasse per iscritto di non acconsentire né alla raccolta né alla conservazione della copia del suo documento di identità. Infatti, come osservato dalla Commissione in udienza, un siffatto requisito supplementare è tale da incidere indebitamente sulla libera scelta di opporsi a tale raccolta e a tale conservazione, circostanza che spetta altresì al giudice del rinvio verificare.
51. In ogni caso, come risulta dalle considerazioni svolte ai punti 35, 36 e 42 della presente sentenza, spetta all’Orange România, in quanto responsabile del trattamento dei dati, dimostrare che i suoi clienti, con un comportamento attivo, hanno manifestato il loro consenso al trattamento dei loro dati personali, cosicché tale società non può pretendere che essi manifestino attivamente il loro rifiuto.
52. Alla luce delle considerazioni che precedono, occorre rispondere alle questioni sottoposte dichiarando che l’articolo 2, lettera h), e l’articolo 7, lettera a), della direttiva 95/46 nonché l’articolo 4, punto 11, e l’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679 devono essere interpretati nel senso che spetta al responsabile del trattamento dei dati dimostrare che la persona interessata, mediante un comportamento attivo, ha manifestato il proprio consenso al trattamento dei suoi dati personali e che essa ha ottenuto, previamente, un’informazione alla luce di tutte le circostanze che corredano tale trattamento, in forma comprensibile e facilmente accessibile e con un linguaggio semplice e chiaro, che le consenta di individuare agevolmente le conseguenze del consenso prestato, affinché sia garantito che questo sia espresso con piena cognizione di causa. Un contratto relativo alla fornitura di servizi di telecomunicazione che contiene una clausola secondo cui l’interessato è stato informato e ha acconsentito alla raccolta e alla conservazione di una copia del suo documento di identità a fini di identificazione non è idoneo a dimostrare che tale persona abbia validamente manifestato il proprio consenso, nell’accezione di tali disposizioni, a tale raccolta e conservazione, qualora
– la casella relativa a tale clausola sia stata selezionata dal responsabile del trattamento dei dati prima della sottoscrizione di tale contratto, o qualora
– le clausole contrattuali di detto contratto possano indurre in errore la persona interessata circa la possibilità di stipulare il contratto in questione anche se essa rifiuta di acconsentire al trattamento dei suoi dati, o qualora
– la libera scelta di opporsi a tale raccolta e a tale conservazione sia indebitamente pregiudicata da detto responsabile esigendo che la persona interessata, per rifiutare il proprio consenso, compili un modulo supplementare che attesti tale rifiuto.
Sulle spese
53. Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
P.Q.M.
la Corte (Seconda Sezione) dichiara:
L’articolo 2, lettera h), e l’articolo 7, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, nonché l’articolo 4, punto 11, e l’articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che spetta al responsabile del trattamento dei dati dimostrare che la persona interessata, mediante un comportamento attivo, ha manifestato il proprio consenso al trattamento dei suoi dati personali e che essa ha ottenuto, previamente, un’informazione alla luce di tutte le circostanze che corredano tale trattamento, in forma comprensibile e facilmente accessibile e con un linguaggio semplice e chiaro, che le consenta di individuare agevolmente le conseguenze del consenso prestato, affinché sia garantito che questo sia espresso con piena cognizione di causa. Un contratto relativo alla fornitura di servizi di telecomunicazione che contiene una clausola secondo cui l’interessato è stato informato e ha acconsentito alla raccolta e alla conservazione di una copia del suo documento di identità a fini di identificazione non è idoneo a dimostrare che tale persona abbia validamente manifestato il proprio consenso, nell’accezione di tali disposizioni, a tale raccolta e conservazione, qualora
– la casella relativa a tale clausola sia stata selezionata dal responsabile del trattamento dei dati prima della sottoscrizione di tale contratto, o qualora
– le clausole contrattuali di detto contratto possano indurre in errore la persona interessata circa la possibilità di stipulare il contratto in questione anche se essa rifiuta di acconsentire al trattamento dei suoi dati, o qualora
– la libera scelta di opporsi a tale raccolta e a tale conservazione sia indebitamente pregiudicata da detto responsabile esigendo che la persona interessata, per rifiutare il proprio consenso, compili un modulo supplementare che attesti tale rifiuto.
