Il consenso dell’interessato, ai sensi della Legge Federale sulla Protezione dei Dati Personali (LPD), integra uno dei motivi giustificativi idonei a rendere leciti alcuni specifici trattamenti di dati personali (cfr. art. 31 LPD).
In particolare, risulta essere condizione necessaria per il trattamento dei dati personali degni di particolare protezione, per la profilazione sia a rischio elevato da parte di privati che per quella effettuata da parte di un organo federale (cfr. art. 6 LPD) oltre che necessario per effettuare il trasferimento dei dati personali al di fuori della Confederazione verso Stati che non assicurano una protezione adeguata, secondo la valutazione effettuata dal Consiglio Federale (cfr. art. 16 e 17 LPD e allegato 1 OPDa).
Si pensi, ad esempio, alle problematiche che potrebbero quindi sorgere nella gestione dei dati personali dei dipendenti/candidati di società appartenenti a gruppi societari internazionali ove la funzione HR sia localizzata nella società che ha sede in Stati ritenuti non adeguati ovvero ancora nelle ipotesi in cui tale società eroghi, in forza di accordi Intercompany, servizi IT per tutte le società del gruppo.
In tali casistiche, ogni singola società del Gruppo dovrà in primis informare gli interessati (ad es. dipendenti/candidati) in merito alla raccolta dei loro dati personali (cfr. art. 19 LPD) mediante apposita informativa e sottoporre agli stessi uno specifico form al fine di acquisire un consenso che sia libero, specifico, informato ed inequivocabile.
Ma come strutturare il form di richiesta dei consensi qualora i trattamenti che necessitano dell’approvazione dell’interessato siano molteplici?
La regola da seguire è quella della granularità.
Qualora le finalità per cui la Società tratti i dati personali siano molteplici, sarà necessario strutturare un form di acquisizione del consenso granulare al fine di consentire all’interessato di scegliere quale specifica finalità accettare senza dover acconsentire all’insieme delle finalità.
Di fatto, la normativa svizzera non impone principi e regole diverse da quelle della vicina Europa secondo cui il consenso non è stato espresso liberamente se il processo o la procedura seguiti per ottenerlo non permettano all’interessato di esprimere un consenso separato ai distinti trattamenti dei dati personali (cfr. considerando art. 43 GDPR)
Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse, come sottolineato dalle linee guida dell’EDPB del 05/2020, di fatto non c’è libertà.
Di fronte a form di consenso strutturati in modo granulare, diventa quindi fondamentale per la società adottare una politica di gestione dei consensi che permetta alla stessa di avere traccia nella propria documentazione delle singole finalità per cui è stato richiesto il consenso, della data in cui lo stesso è stato rilasciato ed eventualmente revocato (fatta salva la legittimità del trattamento effettuato in forza del consenso validamente rilasciato).
Trattasi di attività che le società possono decidere di svolgere, in base alle loro dimensioni aziendali e alla mole di dati trattati, avvalendosi di specifici programmi di gestione dei consensi ovvero di un semplice foglio Excel.
L’importante è che il titolare sia sempre in grado di dimostrare per quali finalità sia stato acquisito il consenso e se lo stesso sia ancora attuale. Questo perché l’onere della prova è posto a carico del Titolare del trattamento.
Diventa quindi fondamentale per la società valutare con quale specifica modalità possa essere sottoposto il form all’interessato: se in modo cartaceo o telematico. Ed in tale secondo caso, se si voglia impostare una procedura di convalida dell’indirizzo mail utilizzato dall’interessato (double opt-in) che seppur non sia imposta come obbligatoria né dalla normativa privacy svizzera né tantomeno da quella europea, risulta essere considerata una vera e propria best practice.
La scelta finale sta sempre all’azienda, che in forza del principio di accountability, dovrà valutare come meglio approcciarsi alla tematica della gestione del consenso.
