TRATTAMENTO DEI DATI PERSONALI E ABUSO DI POSIZIONE DOMINANTE. L’AG RANTOS SI PRONUNCIA SUL TRATTAMENTO NECESSARIO ALL’ESECUZIONE DI UN CONTRATTO DI CUI L’INTERESSATO È PARTE O PER IL PERSEGUIMENTO DEL LEGITTIMO INTERESSE DEL TITOLARE DEL TRATTAMENTO O DI TERZI

marketude Contenzioso, Diritto Europeo e della Concorrenza, Marco Stillo, Protezione dei Dati e Cybersecurity, Pubblicazioni

In data 20 settembre 2022, l’Avvocato Generale Rantos ha reso note le sue Conclusioni nella Causa C-252/21, Meta Platforms e a. contro Bundeskartellamt, pronunciandosi, da un lato, sulla competenza di un’autorità nazionale garante della concorrenza ad esaminare, in via principale o incidentale, i comportamenti di un’impresa alla luce di talune disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1] e, dall’altro, sull’interpretazione di tali disposizioni per quanto riguarda, in particolare, il trattamento di dati personali sensibili, le pertinenti condizioni di liceità del trattamento di dati personali e la manifestazione del libero consenso ad un’impresa in posizione dominante.

Tale domanda era stata proposta nell’ambito di una controversia tra, da un lato, la Meta Platforms Inc., la Meta Platforms Ireland Limitede la Facebook Deutschland GmbH (congiuntamente “Meta”) e, dall’altro, il Bundeskartellamt (Autorità federale tedesca garante della concorrenza) in merito alla decisione con la quale quest’ultimo aveva vietato alla Meta il trattamento dei dati previsto dalle condizioni d’uso della sua rete sociale Facebook nonché l’attuazione di tali condizioni imponendo misure correttive.

La Meta gestisce diversi servizi in linea, tra i quali Facebook, attraverso un modello economico che consiste, da un lato, nell’offrire servizi di rete sociale gratuiti per gli utenti privati e, dall’altro, nel vendere pubblicità in linea, personalizzata per il singolo utente della rete sociale e finalizzata a mostrargli i prodotti e i servizi che potrebbero interessargli in base, in particolare, al suo personale comportamento di consumo, ai suoi interessi, al suo potere d’acquisto e alle sue condizioni di vita. AI fini della raccolta e del trattamento dei dati degli utenti, la Meta si basa sul contratto di licenza d’uso concluso con i propri utenti tramite l’attivazione da parte di questi ultimi del pulsante “Iscriviti”, con la quale essi accettano le condizioni d’uso di Facebook, presupposto essenziale per l’utilizzo della rete sociale[2].

Ritenendo che il trattamento dei dati costituisse uno sfruttamento abusivo della posizione dominante della Meta sul mercato delle reti sociali per gli utenti privati in Germania, il Bundeskartellamt aveva avviato un procedimento nei confronti di quest’ultima vietandole il trattamento stesso nonché l’attuazione delle condizioni d’uso di Facebook. Di conseguenza, la Meta aveva proposto ricorso dinnanzi all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land di Düsseldorf; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia sette questioni pregiudiziali.

Con la prima questione, il giudice del rinvio chiedeva se i) un’autorità garante della concorrenza, che stia indagando su violazioni delle regole di concorrenza, possa, da un lato, pronunciarsi, in via principale, sulla violazione delle norme relative al trattamento dei dati del GDPR da parte di un’impresa la cui filiale principale, che ha la responsabilità esclusiva del trattamento dei dati personali per l’intera Unione, si trova in un altro Stato Membro e, dall’altro, ordinare di porre fine a tale violazione, e ii) in caso affermativo, se l’autorità di controllo capofila competente in forza dell’articolo 56, paragrafo 1[3], del GDPR possa continuare a sottoporre a procedimento di indagine le condizioni per il trattamento dei dati operate da detta impresa.

Secondo l’AG, tuttavia, il Bundeskartellamt non aveva sanzionato una violazione del GDPR da parte di Meta, e bensì aveva proceduto, al solo fine dell’applicazione delle regole di concorrenza, all’esame di una presunta violazione del divieto di abuso di posizione dominante della stessa, tenendo conto, inter alia, della non conformità del suo comportamento risetto alle disposizioni del GDPR. Di conseguenza, la prima questione è inconferente.

Con la settima questione, il giudice del rinvio chiedeva se un’autorità garante della concorrenza che stia indagando su violazioni delle regole di concorrenza possa effettuare accertamenti, in via incidentale, in merito alla conformità al GDPR delle condizioni per il trattamento dei dati e della loro attuazione e, in caso affermativo, se l’esame da parte di tale autorità sia possibile anche qualora, nel contempo, l’autorità di controllo capofila competente sottoponga dette condizioni ad un procedimento di indagine.

Secondo l’AG, sebbene un’autorità garante della concorrenza non sia competente a constatare una violazione del GDPR, quest’ultimo tuttavia non osta, in linea di principio, a che, nell’esercizio delle loro competenze e poteri, autorità diverse da quelle di controllo possano tenere conto, in via incidentale, della compatibilità di un comportamento con le disposizioni del GDPR, in particolare, per quanto riguarda l’esercizio, da parte di un’autorità garante della concorrenza, delle competenze che le sono conferite dall’articolo 102 del Trattato sul Funzionamento dell’Unione Europea (TFUE) e dall’articolo 5, primo comma, del Regolamento (CE) n. 1/2003[4] o da qualsiasi altra norma nazionale corrispondente. Nell’esercizio delle sue competenze, infatti, un’autorità garante della concorrenza deve valutare, in particolare, se il comportamento in esame consista nell’avvalersi di mezzi diversi da quelli propri di una concorrenza fondata sui meriti, tenuto conto del contesto giuridico ed economico in cui tale comportamento si inserisce[5]. Di conseguenza, l’esame di un abuso di posizione dominante sul mercato può giustificare che un’autorità garante della concorrenza interpreti norme non contemplate dal diritto della concorrenza, come quelle del GDPR, a condizione che tale esame sia effettuato in via incidentale e non pregiudichi l’applicazione di tale regolamento data dalle autorità di controllo competenti[6].

In secondo luogo, l’AG ha ricordato che il diritto dell’Unione non prevede norme dettagliate sulla cooperazione tra un’autorità garante della concorrenza e le autorità di controllo ai sensi del GDPR in una situazione come quella del caso concreto. Più particolarmente, nel caso concreto non risultano applicabili né il meccanismo di cooperazione tra le autorità competenti ai sensi del GDPR in sede di applicazione dello stesso né altre specifiche norme sulla cooperazione tra autorità amministrative, come quelle sulla cooperazione tra le autorità garanti della concorrenza e la cooperazione tra queste ultime e la Commissione nell’applicazione delle regole di concorrenza. Nell’interpretare il GDPR, tuttavia, un’autorità garante della concorrenza è vincolata dal principio di leale cooperazione, in forza del quale l’Unione e gli Stati Membri, ivi comprese le loro autorità amministrative, si rispettano e si assistono reciprocamente nell’adempimento dei compiti derivanti dai trattati[7]. Di conseguenza, un’autorità garante della concorrenza, quando interpreta le disposizioni del GDPR, è soggetta, quanto meno, a obblighi di informazione, di intelligence e di cooperazione nei confronti delle autorità competenti ai sensi di tale regolamento, in applicazione delle norme nazionali che disciplinano le sue competenze (principio dell’autonomia procedurale degli Stati Membri) e nel rispetto dei principi di equivalenza e di effettività.

Nel caso in cui l’autorità di controllo capofila competente si sia pronunciata sull’applicazione di talune disposizioni del GDPR in relazione ad una prassi identica o simile, pertanto, l’autorità garante della concorrenza non potrà, in linea di principio, discostarsi dall’interpretazione di tale autorità, che è l’unica competente per quanto riguarda l’applicazione del regolamento in questione[8], e dovrà conformarsi, per quanto possibile, alle eventuali decisioni adottate da quest’ultima in merito allo stesso comportamento. In mancanza di una decisione dell’autorità di controllo competente, inoltre, incombe a quella garante della concorrenza informare detta autorità e cooperare con essa qualora quest’ultima abbia avviato l’esame della stessa pratica o manifestato l’intenzione di farlo, ed eventualmente attendere l’esito dell’esame condotto da quest’ultima prima di iniziare la propria valutazione, sempre che ciò sia appropriato e non pregiudichi, in particolare, il rispetto di un periodo di indagine ragionevole e dei diritti di difesa dei soggetti interessati.

Con la seconda questione, il giudice del rinvio chiedeva se l’articolo 9, paragrafo 1[9], del GDPR debba essere interpretato nel senso che la prassi controversa, quando riguarda la consultazione di pagine internet e di applicazioni di terzi, rientri nell’ambito del trattamento dei dati personali sensibili ivi elencati, che è vietato, e, in caso affermativo, se l’articolo 9, paragrafo 2, lettera e)[10], di detto regolamento debba essere interpretato nel senso che un utente rende manifestamente pubblici, ai sensi della disposizione in parola, i dati che sono, da un lato, rivelati consultando pagine internet e applicazioni o, dall’altro, i dati che sono inseriti mediante l’attivazione di pulsanti di selezione integrati in detti siti o applicazioni o che ne risultano.

L’AG ha preliminarmente rilevato che sebbene la mera raccolta di dati personali sensibili relativi alla visita di un sito internet o di un’applicazione non costituisca, di per sé, necessariamente un trattamento di dati personali sensibili ai sensi dell’articolo 9 del GDPR, il collegamento di tali dati con l’account Facebook dell’utente interessato o il loro utilizzo sono comportamenti che, al contrario, potrebbero più facilmente integrare un tale trattamento. Di conseguenza, per poter determinare se un trattamento di dati rientri nell’ambito di applicazione dell’articolo 9 del GDPR potrebbe essere utile distinguere tra, da un lato, il trattamento dei dati che possono essere prima facie classificati nella categoria dei dati personali sensibili, che da soli consentono una profilazione dell’interessato e, dall’altro, il trattamento dei dati che non sono di per sé sensibili, ma che richiedono un’ulteriore attività di aggregazione al fine di trarre conclusioni plausibili per la profilazione dell’interessato. L’esistenza di una categorizzazione ai sensi dell’articolo 9 del GDPR, tuttavia, è indipendente dalla questione se tale categorizzazione sia reale o corretta, in quanto ciò che conta è la possibilità che una categorizzazione del genere crei un rischio significativo per i diritti e le libertà fondamentali dell’interessato.

In secondo luogo, ai fini dell’applicabilità dell’eccezione al principio del divieto di trattamento dei dati personali sensibili, di cui all’articolo 9, paragrafo 2, lettera e), del GDPR, l’utente deve essere pienamente consapevole che, con un atto esplicito, sta rendendo pubblici dati personali. Ciò, tuttavia, non si verifica nel caso concreto, in quanto la consultazione di siti internet e di applicazioni rende i dati accessibili solo al gestore della pagina internet o dell’applicazione di cui trattasi e ai terzi ai quali quest’ultimo trasmette tali informazioni. Se è vero, inoltre, che mediante l’inserimento dei dati in siti internet e applicazioni l’interessato potrebbe fornire, in modo diretto e volontario, informazioni su determinati dati personali sensibili, tali informazioni sono accessibili solo al gestore del sito o dell’applicazione in questione e ai terzi ai quali quest’ultimo trasmette dette informazioni, di talché tali comportamenti non possono dimostrare la volontà di mettere tali dati a disposizione della collettività. Sebbene, infatti, azionando pulsanti di selezione integrati in siti internet o applicazioni, esprima chiaramente la volontà di condividere determinate informazioni con un pubblico esterno al sito o all’applicazione in questione, la persona interessata è consapevole di condividere informazioni con una specifica cerchia di persone, spesso definita dall’utente stesso, e non con la collettività.

Con le sue questioni dalla terza alla quinta, il giudice del rinvio chiedeva se l’articolo 6, paragrafo 1, lettere b), c), d), e) ed f)[11], del GDPR debba essere interpretato nel senso che la prassi della Meta rientra nell’ambito di applicazione di una delle giustificazioni previste da tali disposizioni e, nello specifico, i) la necessità per l’esecuzione del contratto o per il perseguimento dei legittimi interessi, tenuto conto del fatto che Meta gestisce una rete sociale finanziata dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza della rete, il miglioramento dei prodotti e l’uso coerente e senza interruzioni di tutti i prodotti del gruppo, ii) la tutela di tali legittimi interessi nel contesto di determinate situazioni, e iii) la necessità di rispondere a una legittima richiesta di dati specifici, la necessità di contrastare comportamenti dannosi e promuovere la sicurezza o le ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza.

L’AG ha preliminarmente ricordato che affinché il trattamento sia necessario all’esecuzione del contratto, non è sufficiente che esso sia i) effettuato in relazione all’esecuzione del contratto, ii) menzionato nel contratto, o iii) semplicemente utile per l’esecuzione del contratto, in quanto esso deve essere oggettivamente necessario all’esecuzione dello stesso, nel senso che non devono sussistere alternative realistiche e meno invasive, tenendo conto anche delle ragionevoli aspettative dell’interessato[12]. Di conseguenza, se il contratto è costituito da più servizi o da più elementi distinti di un servizio che possono ragionevolmente essere svolti indipendentemente l’uno dall’altro, l’applicabilità dell’articolo 6, paragrafo 1, lettera b), del GDPR dovrebbe essere valutata nel contesto di ciascuno di tali servizi separatamente.

Nel caso concreto, sebbene la personalizzazione dei contenuti possa, in una certa misura, essere nell’interesse dell’utente in quanto consente di presentare, in particolare nel “feed di notizie”, contenuti che, in base ad una valutazione automatizzata, corrispondono agli interessi dell’utente, non è evidente che essa sia anche necessaria per la prestazione del servizio della rete sociale in questione, di modo che il trattamento dei dati personali per tali finalità non richieda il consenso di tale utente. Del pari, sebbene un collegamento tra i vari servizi offerti dalla Meta possa essere utile all’utente, non è certo che un trattamento dei dati personali derivati da altri servizi del gruppo sia necessario per la prestazione dei servizi Facebook.

In secondo luogo, l’articolo 6, paragrafo 1, lettera f), del GDPR prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, ossia i) il perseguimento dell’interesse legittimo del titolare del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati[13], ii) la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo[14], e iii) il fatto che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati[15].

Nel caso concreto, sebbene possa essere considerato legittimo interesse del titolare del trattamento trattare dati personali per finalità di marketing diretto, i dati n questione sono generati da fonti esterne a Facebook, ponendosi quindi la questione di quale sia il grado di personalizzazione della pubblicità oggettivamente necessario a tal fine. Similmente, benché la sicurezza della rete possa costituire un legittimo interesse del titolare del trattamento, non è chiaro se il trattamento sia realmente necessario, anche in considerazione del fatto che i dati in questione provengono da fonti esterne a Facebook. Una giustificazione relativa al miglioramento del prodotto, infine, dovrebbe essere nell’interesse dell’utente piuttosto che in quello del titolare del trattamento, di talché è difficile capire in che misura essa possa costituire un legittimo interesse del titolare del trattamento e non richiedere il consenso dell’utente.

Secondo l’AG, infine, non si può escludere che talune clausole che caratterizzano la prassi della possano essere giustificate da legittimi interessi nelle circostanze menzionate dal giudice del rinvio e che, in talune situazioni, la prassi controversa possa essere giustificata sulla base dell’articolo 6, paragrafo 1, del GDPR. Poiché, tuttavia, non risulta se, e in quale misura, la Meta abbia indicato, per ciascuna finalità di trattamento e tipologia di dati trattati, i legittimi interessi concretamente perseguiti o le altre giustificazioni eventualmente pertinenti, spetta al giudice del rinvio esaminare in che misura la prassi controversa sia giustificata dall’esistenza di legittimi interessi della Meta al trattamento dei dati ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR o da un’altra delle condizioni enunciate alle lettere c), d) ed e), di tale articolo.

Con la sua sesta questione, infine, il giudice del rinvio chiedeva se l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a)[16], del GDPR debbano essere interpretati nel senso che sia possibile esprimere un consenso valido e libero ai sensi dell’articolo 4, paragrafo 11[17], di tale regolamento nei confronti di un’impresa in posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati.

L’AG ha preliminarmente ricordato che il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera[18] o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio, tenendo conto dell’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto stesso[19]

Nel caso concreto, secondo l’AG un’eventuale posizione dominante sul mercato in capo al titolare del trattamento dei dati personali che gestisce una rete sociale svolge un ruolo nella valutazione dell’esistenza di un libero consenso da parte dell’utente della rete sociale, in quanto una situazione di potere sul mercato da parte del titolare del trattamento dei dati personali può creare un evidente squilibrio di potere. Affinché sia rilevante sotto il profilo dell’applicazione del GDPR, tuttavia, una tale situazione di potere sul mercato non deve necessariamente essere equiparata al livello di posizione dominante ai sensi dell’articolo 102 TFUE; tale circostanza, inoltre, non può, da sola, privare di qualsiasi validità un consenso. Di conseguenza, la validità del consenso dovrà essere esaminata caso per caso, tenendo conto di tutte le circostanze del caso concreto nonché del fatto che l’onere di dimostrare che l’interessato abbia prestato il proprio consenso al trattamento dei propri dati personali grava sul titolare del trattamento.

Scarica l’articolo


[1] GUUE L 119 del 04.05.2016.

[2] L’elemento centrale della controversia riguarda la prassi consistente i) nella raccolta di dati generati da altri servizi propri del gruppo, nonché da siti internet e da applicazioni di terzi tramite interfacce in essi integrate oppure mediante cookies memorizzati nel computer o nel dispositivo mobile dell’utente, ii) nel collegamento di tali dati con l’account Facebook dell’utente interessato, e iii) nell’utilizzo di detti dati.

[3] L’articolo 56 GDPR, intitolato “Competenza dell’autorità di controllo capofila”, al paragrafo 1 dispone: “Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare e del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60…”.

[4] Regolamento (CE) n. 1/2003 del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli 81 e 82 del trattato, GUUE L 1 del 04.01.2003. L’articolo 5 del Regolamento, intitolato “Competenze delle autorità garanti della concorrenza degli Stati membri”, al paragrafo 1 dispone: “… Le autorità garanti della concorrenza degli Stati membri sono competenti ad applicare gli articoli 81 e 82 del trattato in casi individuali. A tal fine, agendo d’ufficio o in seguito a denuncia, possono adottare le seguenti decisioni:

– ordinare la cessazione di un’infrazione,

– disporre misure cautelari,

– accettare impegni,

– comminare ammende, penalità di mora o qualunque altra sanzione prevista dal diritto nazionale…”.

[5] CGUE 06.09.2020, Causa C‑413/14 P, Intel/Commissione, punto 136; CGUE 10.07.2014, Causa C‑295/12 P, Telefónica e Telefónica de España/Commissione, punto 128.

[6] CGUE 22.03.2022, Causa C‑117/20, bpost, punti 42-50.

[7] L’articolo 4 TUE al paragrafo 3 dispone: “… In virtù del principio di leale cooperazione, l’Unione e gli Stati membri si rispettano e si assistono reciprocamente nell’adempimento dei compiti derivanti dai trattati.

Gli Stati membri adottano ogni misura di carattere generale o particolare atta ad assicurare l’esecuzione degli obblighi derivanti dai trattati o conseguenti agli atti delle istituzioni dell’Unione.

Gli Stati membri facilitano all’Unione l’adempimento dei suoi compiti e si astengono da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell’Unione…”.

[8] CGUE 23.01.2018, Causa C‑179/16, F. Hoffmann-La Roche e a., punti 58-64.

[9] L’articolo 9 GDPR, intitolato “Trattamento di categorie particolari di dati personali”, al paragrafo 1 dispone: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona…”.

[10] L’articolo 9 GDPR al paragrafo 2 lettera e) dispone: “Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

(…)

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato…”.

[11] L’articolo 6 GDPR, intitolato “Liceità del trattamento”, al paragrafo 1 dispone: “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti…”.

[12] CGUE 09.11.2010, Cause riunite C‑92/09 e C‑93/09, Volker und Markus Schecke e Eifert, punto 86.

[13] CGUE 17.06.2021, Causa C‑597/19, M.I.C.M., punti 108-109; CGUE 11.12.2019, Causa C‑708/18, Asociaţia de Proprietari bloc M5A-ScaraA, punto 59); CGUE 24.09.2019, Causa C‑136/17, GC e a. (Deindicizzazione di dati sensibili), punto 53); CGUE 04.05.2017, Causa C‑13/16, Rīgas satiksme, punto 29; CGUE 19.10.2016, Causa C‑582/14, Breyer, punto 55); CGUE 13.05.2014, Causa C‑131/12, Google Spain e Google, punto 81.

[14] CGUE 17.06.2021, Causa C‑597/19, M.I.C.M., punto 110; CGUE 04.05.2017, Causa C‑13/16, Rīgas satiksme, punto 30.

[15] CGUE 17.06.2021, Causa C‑597/19, M.I.C.M., punto 111; CGUE 04.05.2017, Causa C‑13/16, Rīgas satiksme, punto 31.

[16] L’articolo 9 GDPR al paragrafo 2 lettera a) dispone: “Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1…”.

[17] L’articolo 4 GDPR, intitolato “Definizioni”, al paragrafo 11 dispone: “Ai fini del presente regolamento s’intende per:

(…)

11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento…”.

[18] Il considerando (42) del GDPR dispone: “… Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. In particolare, nel contesto di una dichiarazione scritta relativa a un’altra questione dovrebbero esistere garanzie che assicurino che l’interessato sia consapevole del fatto di esprimere un consenso e della misura in cui ciò avviene. In conformità della direttiva 93/13/CEE del Consiglio è opportuno prevedere una dichiarazione di consenso predisposta dal titolare del trattamento in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non contenga clausole abusive. Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio…”.

[19] L’articolo 7 GDPR, intitolato “Condizioni per il consenso”, al paragrafo 4 dispone: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto...”.