Revoca del Consenso al Trattamento dei Dati Personali

La Revoca del Consenso al Trattamento dei Dati Personali in Italia è il documento con cui un interessato ritira il consenso precedentemente prestato al trattamento dei propri dati. Lo strumento si fonda sull'art. 7, paragrafo 3, del Regolamento (UE) 2016/679 (GDPR), che riconosce il diritto di revocare il consenso in qualsiasi momento, e si coordina con il D.Lgs. 196/2003 (Codice Privacy), come adeguato al GDPR.

L'art. 7, paragrafo 3, GDPR stabilisce che l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, con la stessa facilità con cui lo ha prestato; la revoca non pregiudica la liceità del trattamento basato sul consenso prima della revoca. Quando il consenso è la base giuridica del trattamento (art. 6, par. 1, lett. a, GDPR, o art. 9, par. 2, lett. a, per le categorie particolari di dati), il suo ritiro impone al titolare di cessare il trattamento per le finalità interessate, salvo che sussista un'altra base giuridica idonea. Il titolare deve informare l'interessato di tale facoltà prima di prestare il consenso.

Lo strumento è impiegato per interrompere trattamenti di marketing diretto, profilazione, newsletter, comunicazioni promozionali e ogni altro trattamento fondato sul consenso, quando l'interessato non desidera più che i propri dati siano utilizzati per quelle finalità. La revoca è particolarmente rilevante alla cessazione di un rapporto commerciale o quando mutano le preferenze dell'interessato.

La dichiarazione deve identificare l'interessato (con dati idonei a individuarlo univocamente nei sistemi del titolare), indicare il titolare del trattamento, specificare i trattamenti e le finalità per cui si revoca il consenso e la data. L'invio tramite PEC o e-mail tracciabile assicura prova della ricezione. Sul portale forms-legal.com sono disponibili i modelli collegati di consenso al trattamento dei dati, consenso per newsletter e marketing e consenso al trattamento dei dati del minore.

La Revoca del Consenso al Trattamento dei Dati Personali in Italia è necessaria ogni volta che un interessato desidera interrompere un trattamento per il quale aveva in precedenza prestato consenso specifico ai sensi dell'art. 6 par. 1 lett. a) GDPR o consenso esplicito ai sensi dell'art. 9 par. 2 lett. a) GDPR per categorie particolari di dati (sanitari, genetici, biometrici, relativi all'orientamento sessuale, alle convinzioni religiose o politiche). Le situazioni più frequenti in cui il documento si rende indispensabile comprendono: cessazione di un rapporto commerciale con un'azienda che tratta dati per finalità di marketing diretto ai sensi dell'art. 7 GDPR e dell'art. 130 D.Lgs. 196/2003 (che in Italia disciplina le comunicazioni indesiderate nelle reti di comunicazione elettronica); interruzione dell'iscrizione a newsletter, mailing list o servizi di comunicazione commerciale; revoca del consenso alla pubblicazione di immagini o video su piattaforme digitali e social media (art. 10 c.c. e artt. 96-97 L. 22 aprile 1941 n. 633 sul diritto d'autore); cessazione del trattamento di dati sanitari o genetici da parte di strutture mediche private, laboratori di analisi o compagnie assicurative (art. 9 GDPR); revoca del consenso prestato per ricerche scientifiche, sondaggi, profilazione comportamentale o analisi di mercato; interruzione della raccolta di dati tramite cookie di profilazione e tracciamento sui siti web (art. 22 GDPR e Provvedimento Garante n. 231/2021 sui cookie). Il documento è altresì necessario quando il titolare del trattamento non ha predisposto modalità automatizzate di revoca (ad esempio un link di disiscrizione funzionante o un pannello di gestione del consenso) o quando l'interessato intende avere prova documentale certa dell'avvenuta revoca da conservare ai fini di eventuali reclami al Garante per la protezione dei dati personali o di ricorsi giurisdizionali ex art. 79 GDPR. Anche in ambito lavorativo, il dipendente può revocare consensi eventualmente prestati per trattamenti non strettamente necessari all'esecuzione del contratto di lavoro, fermo restando che l'art. 88 GDPR e l'art. 111 D.Lgs. 196/2003, nonché l'accordo collettivo del 4 maggio 2017 sullo smart working, regolano il trattamento dei dati nel contesto lavorativo con specifiche garanzie e limiti di validità del consenso.

La Revoca del Consenso al Trattamento dei Dati Personali in Italia deve contenere una serie di elementi essenziali per essere valida, completa ed efficace sul piano giuridico. Il primo elemento fondamentale è l'identificazione precisa dell'interessato: nome e cognome, codice fiscale (necessario per la corretta identificazione univoca), luogo e data di nascita, indirizzo di residenza e recapiti di posta elettronica o PEC. Il codice fiscale è particolarmente importante perché consente al titolare di recuperare in modo univoco tutti i dati associati all'interessato nei propri sistemi di trattamento, come richiesto dal principio di accountability dell'art. 5 par. 2 GDPR. Il secondo elemento è l'indicazione del titolare del trattamento a cui la revoca è indirizzata: denominazione completa, indirizzo della sede legale, indirizzo email o PEC e, se nominato, il Responsabile della Protezione dei Dati (DPO) ai sensi dell'art. 37 GDPR. Il terzo elemento consiste nell'indicazione specifica e granulare dei trattamenti revocati e delle relative finalità per cui il consenso era stato prestato: marketing diretto, profilazione, comunicazione a soggetti terzi, trattamento di dati sanitari, uso dell'immagine. La granularità è richiesta dall'art. 7 GDPR stesso: il consenso originario deve essere stato specifico per ogni finalità, e la revoca deve specularmente indicare quale consenso specifico si revoca. Il quarto elemento è la dichiarazione esplicita di revoca del consenso con richiamo testuale all'art. 7 par. 3 del Regolamento UE 2016/679: la formula «ai sensi dell'art. 7 par. 3 GDPR, revoco con effetto immediato dalla ricezione della presente il consenso al trattamento dei miei dati personali per le seguenti finalità» è quella raccomandata dalle Linee guida EDPB. Il quinto elemento è la richiesta di riscontro scritto entro 30 giorni ai sensi dell'art. 12 par. 3 GDPR, con indicazione delle modalità di cessazione del trattamento adottate dal titolare e dell'eventuale base giuridica alternativa su cui intende fondare il trattamento residuo. Il sesto elemento, facoltativo ma spesso opportuno, è l'esercizio congiunto del diritto alla cancellazione ai sensi dell'art. 17 GDPR (diritto all'oblio), del diritto di limitazione del trattamento ex art. 18 GDPR, o del diritto alla portabilità dei dati ex art. 20 GDPR. La comunicazione deve essere datata e sottoscritta. forms-legal.com raccomanda di allegare sempre una copia del documento di identità ai fini dell'identificazione dell'interessato ai sensi dell'art. 12 par. 6 GDPR, specialmente quando il titolare potrebbe avere dubbi sull'identità del revocante.

La Revoca del Consenso al Trattamento dei Dati Personali in Italia si compila seguendo una procedura strutturata per sezioni. Nel campo «Dati dell'interessato» inserire nome e cognome completi, luogo e data di nascita, codice fiscale, indirizzo di residenza anagrafica e recapito email o PEC: questi dati sono indispensabili per consentire al titolare di identificare univocamente l'interessato e recuperare tutti i consensi prestati nei propri archivi. Nel campo «Titolare del trattamento» indicare la denominazione dell'azienda, dell'ente o della persona fisica responsabile del trattamento, il suo indirizzo fisico o email, e il nome e recapito del DPO se disponibile (reperibile nell'informativa privacy ricevuta al momento della raccolta del consenso, ai sensi dell'art. 13 par. 2 lett. b) GDPR, o nel Registro pubblico tenuto dall'EDPB). Nel campo «Consensi revocati» descrivere con la massima precisione le finalità per cui si revoca il consenso: «consenso al trattamento dei miei dati personali per finalità di marketing diretto tramite email e SMS», «consenso alla profilazione comportamentale per finalità pubblicitarie», «consenso alla comunicazione dei miei dati a società terze del gruppo», indicando, se possibile, la data e la modalità in cui il consenso era stato originariamente prestato (es. «consenso prestato tramite modulo online in data 15/01/2024», oppure «consenso prestato contestualmente alla sottoscrizione del contratto di fornitura»). Nella sezione «Richieste aggiuntive» indicare se si intende esercitare contestualmente: il diritto alla cancellazione ex art. 17 GDPR (che impone al titolare di cancellare i dati personali senza ingiustificato ritardo, salvo eccezioni); il diritto di limitazione del trattamento ex art. 18 GDPR (che consente di bloccare il trattamento pur mantenendo i dati); il diritto alla portabilità dei dati ex art. 20 GDPR (per ricevere i dati in formato strutturato e trasferirli a un altro titolare). Indicare il luogo e la data di sottoscrizione e apporre la firma autografa o la firma digitale qualificata ai sensi del D.Lgs. 7 marzo 2005 n. 82 (Codice dell'Amministrazione Digitale). Inviare tramite PEC (che ha valore legale equiparato alla raccomandata AR, art. 48 CAD) o raccomandata con avviso di ricevimento; conservare sempre copia dell'invio e della ricevuta di consegna.

La Revoca del Consenso al Trattamento dei Dati Personali in Italia è disciplinata da un corpus normativo europeo e nazionale articolato. Il Regolamento UE 2016/679 (GDPR), direttamente applicabile in tutti gli Stati membri dal 25 maggio 2018, costituisce la fonte primaria: l'art. 7 par. 3 stabilisce espressamente il diritto di revocare il consenso in qualsiasi momento, con effetto non retroattivo, e l'obbligo per il titolare di garantire che il ritiro sia possibile con la stessa facilità con cui è stato accordato. L'art. 12 par. 3 GDPR impone al titolare di fornire riscontro all'interessato senza ingiustificato ritardo e comunque entro un mese dalla ricezione della richiesta, prorogabile di ulteriori due mesi in caso di complessità (art. 12 par. 3 secondo comma) con comunicazione motivata entro il primo mese. L'art. 5 par. 2 GDPR stabilisce il principio di accountability: il titolare deve essere in grado di dimostrare la conformità del trattamento ai principi del Regolamento, anche rispetto alla corretta gestione delle revoche del consenso. L'art. 83 GDPR fissa le sanzioni amministrative pecuniarie: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per violazioni degli obblighi del titolare, e fino a 20 milioni di euro o al 4% per violazioni dei diritti degli interessati. Il D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy), profondamente modificato dal D.Lgs. 10 agosto 2018 n. 101 di adeguamento al GDPR, regolamenta sul piano nazionale le competenze del Garante per la protezione dei dati personali (artt. 153 ss.), il procedimento di reclamo (art. 141) e le sanzioni penali (art. 167 per trattamento illecito di dati). Per i dati di categorie particolari ex art. 9 GDPR (sanitari, genetici, biometrici, relativi all'orientamento sessuale, alle convinzioni religiose o politiche), la revoca del consenso esplicito determina la cessazione immediata e assoluta di qualsiasi trattamento fondato su tale base giuridica, senza possibilità per il titolare di invocare basi giuridiche alternative previste nell'art. 9 par. 2 lett. b)-j) GDPR, che sono tassativamente elencate.

La Revoca del Consenso al Trattamento dei Dati Personali in Italia è spesso vanificata da errori procedurali che ne riducono o eliminano l'efficacia giuridica e pratica. Il primo errore più frequente è inviare la revoca a un indirizzo email generico (ad esempio [email protected]) anziché all'indirizzo specifico del titolare del trattamento o del DPO nominato ai sensi dell'art. 37 GDPR: il termine di 30 giorni per il riscontro decorre soltanto dalla ricezione da parte del soggetto corretto, e un invio a indirizzo errato può non avviare il termine. Il secondo errore comune è revocare il consenso senza identificarsi in modo univoco con nome completo e codice fiscale: senza questi elementi il titolare potrebbe legittimamente non riuscire a identificare con certezza i dati da bloccare nel proprio sistema di trattamento, e può chiedere ulteriori informazioni identificative ai sensi dell'art. 12 par. 6 GDPR. Il terzo errore è confondere la disiscrizione da un servizio o la cancellazione dell'account con la revoca del consenso al trattamento dei dati: la cancellazione dell'account non implica automaticamente la cancellazione dei dati personali, che richiede un'apposita richiesta di esercizio del diritto alla cancellazione ex art. 17 GDPR, spesso separata dalla revoca del consenso. Il quarto errore è credere che la revoca del consenso cancelli automaticamente tutti i dati dell'interessato: il titolare può conservarli se dispone di un'altra base giuridica valida (adempimento di un obbligo legale, esecuzione di un contratto, legittimo interesse nei limiti dell'art. 6 GDPR), e deve informarne l'interessato prima che la revoca produca effetto. Il quinto errore critico è non conservare la prova dell'invio e della ricezione della revoca: senza questa prova, in caso di reclamo al Garante per la protezione dei dati personali o di ricorso giurisdizionale ex art. 79 GDPR, diventa impossibile dimostrare l'inadempimento del titolare rispetto all'obbligo di riscontro entro 30 giorni ex art. 12 par. 3 GDPR. La PEC (Posta Elettronica Certificata) costituisce lo strumento ideale perché fornisce ricevuta di accettazione e consegna con valore legale ai sensi del D.Lgs. 82/2005 art. 48.