1. 

La domanda di pronuncia pregiudiziale in oggetto, sollevata dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania) trae origine da una controversia tra un fornitore di servizi di telecomunicazione e un’autorità nazionale per la protezione dei dati personali in merito agli obblighi del primo nell’ambito di un negoziato contrattuale con un cliente in relazione alla produzione e alla conservazione di copie di un documento di identità.

2. 

Essa offrirà alla Corte l’occasione di precisare ulteriormente la nozione di «consenso» di una persona interessata, caratteristica essenziale del diritto dell’Unione in materia di protezione dei dati, che trova la sua origine, in ultima analisi, nel fondamentale diritto alla protezione dei dati. A tal riguardo, la Corte dovrebbe altresì affrontare la questione relativa all’onere della prova riguardo al fatto che la persona interessata abbia dato o meno il suo consenso.

3.

Ai sensi dell’articolo 2, lettera h), della direttiva 95/46/CE ( 2 ), ai fini della direttiva in parola, «si intende (…) per “consenso della persona interessata”: qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento».

4.

Il capo II di tale direttiva è dedicato alle condizioni generali di liceità dei trattamenti di dati personali.

5.

L’articolo 6 della medesima direttiva, concernente i «[p]rincipi relativi alla qualità dei dati» ( 3 ), è così formulato:

«1.   Gli Stati membri dispongono che i dati personali devono essere:

(…)

2.   Il responsabile del trattamento è tenuto a garantire il rispetto delle disposizioni del paragrafo 1».

6.

L’articolo 7 della direttiva 95/46 riguarda i «[p]rincipi relativi alla legittimazione del trattamento dei dati» ( 4 ). In base a tale disposizione:

«[g]li Stati membri dispongono che il trattamento dei dati personali può essere effettuato soltanto quando:

(…)».

7.

Ai sensi dell’articolo 4, paragrafo 11, del regolamento (UE) 2016/679 ( 5 ), ai fini di tale regolamento si intende per “consenso dell'interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

8.

L’articolo 6, paragrafo 1, lettere a) e b), del regolamento in parola così dispone:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

9.

L’articolo 7, paragrafo 1, del medesimo regolamento stabilisce che «[q]ualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali».

10.

La legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (legge n. 677/2001, per la tutela delle persone con riguardo al trattamento dei dati a carattere personale, nonché alla libera circolazione di tali dati) ( 6 ) prevede la trasposizione delle disposizioni della direttiva 95/46 nel diritto nazionale.

11.

L’articolo 32 di detta legge così dispone:

«Il trattamento dei dati a carattere personale da parte di un operatore o di una persona incaricata da quest’ultimo, con violazione delle previsioni degli articoli 4-10 o senza tenere debito conto dei diritti previsti agli articoli 12-15 oppure all’articolo 17, costituisce illecito amministrativo, se non è compiuto in condizioni tali da costituire illecito penale, e viene punito con una sanzione pecuniaria da 10000000 vecchi lei [1000 lei rumeni (RON)] a 250000000 vecchi lei [RON 25000]».

12.

La Orange România SA è un fornitore di servizi di telecomunicazione mobile sul mercato rumeno, che offre servizi sia con il sistema «PrePay» ( 7 ) sia tramite la conclusione di contratti di fornitura di servizi ( 8 ).

13.

Il 28 marzo 2018 la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autorità nazionale di sorveglianza del trattamento dei dati a carattere personale, Romania; in prosieguo: la «ANSPDCP»), sulla base delle previsioni dell’articolo 32 della legge 677/2001, in combinato disposto con quelle dell’articolo 8 della stessa legge, ha redatto un verbale che contemplava l’irrogazione di una sanzione amministrativa alla Orange România per il motivo che la conservazione e la raccolta delle copie dei documenti di identità dei suoi clienti sarebbero state effettuate in mancanza del consenso espresso di questi ultimi.

14.

Al riguardo, la ANSPDCP ha rilevato che la Orange România aveva concluso presso sue sedi contratti su supporto cartaceo per la fornitura di servizi di telecomunicazione mobile con clienti persone fisiche e che ai menzionati contratti erano state allegate copie dei documenti di identità. Nei contratti in discussione era indicata inter alia la circostanza che i rispettivi clienti erano stati informati e avevano espresso il loro consenso riguardo al fatto che dette copie fossero raccolte e conservate (dalla Orange România) e della sussistenza del consenso dei clienti è dato atto tramite l’apposizione di un segno in una casella presente nella documentazione scritta che attesta i contratti.

15.

Il passaggio pertinente dei contratti di cui trattasi è così formulato:

– «il cliente dichiara che:

16.

Secondo la ANSPDCP, la Orange România non avrebbe dimostrato che i suoi clienti avessero compiuto una scelta informata relativamente alla raccolta e alla conservazione di copie dei loro documenti d’identità.

17.

La Orange România ha proposto dinanzi al giudice del rinvio un ricorso contro la sanzione pecuniaria irrogata il 28 marzo 2018.

18.

In base alle conclusioni del giudice del rinvio, vi sono contratti in cui la scelta liberamente espressa dal cliente quanto alla conservazione di una copia del suo documento d’identità è manifestata dall’apposizione di un segno in una casella, come anche esempi contrari, nei quali i clienti hanno rifiutato di esprimere un simile accordo. Dalle «procedure interne» di vendita della Orange România risulterebbe che, in questi ultimi casi, la società abbia inserito la necessaria informazione sul rifiuto del cliente quanto alla conservazione di una copia del documento di identità compilando un modulo specifico in tal senso, e abbia successivamente proceduto alla conclusione del contratto. Pertanto, indipendentemente dalle indicazioni incluse nei Termini e condizioni generali della Orange România, la società non ha rifiutato ai clienti la sottoscrizione dei contratti di abbonamento anche se questi ultimi hanno rifiutato di acconsentire a che copia del documento di identità fosse conservata.

19.

Il giudice del rinvio ritiene che, in tali circostanze, sia eccezionalmente importante che la Corte si pronunci sui criteri in base ai quali un consenso vada considerato «specifico» e «informato» e, se del caso, sul valore probatorio della sottoscrizione di contratti come quelli di cui trattasi nel procedimento principale.

20.

Ciò premesso, con ordinanza del 14 novembre 2018, pervenuta alla Corte il 29 gennaio 2019, il Tribunalul Bucureşti (Tribunale superiore di Bucarest) ha sollevato le seguenti questioni pregiudiziali:

21.

Osservazioni scritte sono state depositate dalle parti del procedimento principale, dai governi rumeno, italiano, austriaco e portoghese e dalla Commissione europea. La Orange România, il governo rumeno e la Commissione europea erano rappresentati all’udienza tenutasi l’11 dicembre 2019.

22.

Nella presente causa, la Corte è chiamata a precisare le condizioni alle quali il consenso al trattamento dei dati personali può essere considerato valido.

23.

Regolamento 2016/679, applicabile a decorrere dal 25 maggio 2018 ( 9 ), ha abrogato la direttiva 95/46 con effetto a decorrere dalla medesima data ( 10 ).

24.

La decisione della ANSPDCP di cui al procedimento principale è stata adottata il 28 marzo 2018, vale a dire prima della data a partire dalla quale è applicabile il regolamento 2016/679. Tuttavia, la ANSPDCP non soltanto ha inflitto una sanzione pecuniaria alla Orange România ma l’ha altresì obbligata a distruggere le copie dei documenti di identità in oggetto. La controversia nel procedimento principale verte anche su quest’ultima ingiunzione. L’ingiunzione in parola produce i suoi effetti per il futuro, ragion per cui detto regolamento sembra essere pertanto applicabile ratione temporis.

25.

Di conseguenza, occorre rispondere alle questioni sollevate sulla base sia della direttiva 95/46 che del regolamento 2016/679 ( 11 ). Inoltre, nell’analisi delle disposizioni della direttiva 95/46 si dovrà tener conto di detto regolamento ( 12 ).

26.

Le due questioni sollevate dal giudice del rinvio sono formulate in modo troppo generico ed astratto e devono essere in qualche misura adattate in modo tale da farle corrispondere ai fatti di cui al procedimento principale, allo scopo di guidare il giudice del rinvio e fornire una risposta utile alle questioni. A tal fine, ritengo essenziale ripercorrere brevemente i fatti del procedimento principale quali risultano dall’ordinanza di rinvio e dalle informazioni fornite dalle parti nel corso del procedimento, in particolare all’udienza tenutasi dinanzi alla Corte.

27.

L’autorità nazionale di protezione dei dati della Romania, la ANSPDCP, ha sanzionato la Orange România per aver raccolto e conservato copie dei documenti d’identità dei suoi clienti senza il loro consenso. Detta autorità ha dichiarato che la società aveva concluso contratti per la fornitura di servizi di telecomunicazione mobile e che ai menzionati contratti erano state allegate copie dei documenti di identità. I contratti in parola avrebbero stabilito che i clienti erano stati informati e avevano espresso il loro accordo riguardo alla raccolta e alla conservazione di tali copie, come attestato dall’apposizione di un segno in una casella presente nelle clausole contrattuali. Tuttavia, secondo quanto accertato dalla ANSPDCP, la Orange România non aveva provato che, al momento della conclusione dei contratti, i clienti interessati avessero effettuato una scelta informata relativamente alla raccolta e alla conservazione delle suddette copie.

28.

Quando una persona che ha intenzione di instaurare un rapporto contrattuale con la Orange România viene ragguagliata da un rappresentante di detta società circa le clausole di uno specifico contratto, il rappresentante in parola lavora, di norma su un computer, con un modello di contratto che contiene una casella di spunta relativa alla conservazione di un documento di identità. Il cliente sembra venir informato del fatto che non è necessario spuntare la casella in parola. Se il cliente non accetta che il suo documento di identità sia fotocopiato e conservato, deve documentarlo, nel contratto e con annotazione a mano. Quest’ultimo requisito dell’annotazione a mano sembra evincersi dal regolamento interno di vendita della Orange România. Inoltre, il cliente è informato, ma solo verbalmente e non in forma scritta, che ha la possibilità di rifiutare.

29.

In tale contesto, interpreto le due questioni, che dovrebbero essere esaminate congiuntamente, nel senso che il giudice del rinvio chiede che si stabilisca se una persona interessata che intende instaurare con un’impresa un rapporto contrattuale per la fornitura di servizi di telecomunicazione presti il proprio consenso «specific[o] e informat[o]» e «liber[o]» ai sensi dell’articolo 2, lettera h), della direttiva 95/46 e dell’articolo 4, paragrafo 11, del regolamento 2016/679, a tale impresa qualora debba dichiarare, con annotazione a mano, su un contratto per il resto standardizzato, che egli rifiuta di prestare il proprio consenso alla produzione di copie e alla conservazione dei propri documenti di identità.

30.

A tal riguardo, il giudice del rinvio sembra aver necessità di indicazioni per quanto riguarda l’onere della prova e i criteri probatori di tale operazione.

31.

La causa di cui trattasi riguarda il trattamento di dati personali nella stipulazione di un contratto per la fornitura di servizi di telecomunicazione.

32.

Ogni trattamento dati personali deve, da un lato, essere conforme ( 13 ) ai principi relativi alla qualità dei dati elencati all’articolo 6 della direttiva 95/46 o all’articolo 5 del regolamento 2016/679 e, dall’altro, rispondere ad uno dei principi legittimanti un trattamento dati enumerati all’articolo 7 di detta direttiva o all’articolo 6 di detto regolamento ( 14 ). Come sottolineato dalla Commissione, i sei principi di cui all’articolo 7 della direttiva 95/46 sono di fatto espressione di un principio più ampio, sancito all’articolo 6, paragrafo 1, lettera a), di detta direttiva, in base a cui i dati personali devono essere trattati lealmente e lecitamente.

33.

L’articolo 7 della direttiva 95/46 prevede un elenco esaustivo dei casi in cui il trattamento dei dati personali può essere considerato lecito ( 15 ). Il trattamento di dati personali può essere effettuato soltanto se si applica almeno uno dei sei principi relativi alla legittimazione del trattamento dei dati. L’esistenza di un consenso manifestato in maniera inequivocabile da parte della persona interessata costituisce uno di questi criteri.

34.

Il consenso della persona interessata è a sua volta definito nell’articolo 2, lettera h), della direttiva 95/46 come qualsiasi manifestazione di volontà libera, specifica e informata con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento.

35.

Tale formulazione corrisponde in gran parte ( 16 ) a quella dell’articolo 4, paragrafo 11, del regolamento 2016/679, in base a cui per consenso dell’interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento ( 17 ).

36.

Il requisito del consenso della persona interessata è una caratteristica essenziale sottesa al diritto dell’Unione sulla protezione dei dati ( 18 ). Esso figura nella Carta dei diritti fondamentali dell’Unione europea, in cui si stabilisce, all’articolo 8, che i dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. In un contesto più ampio, la nozione di consenso consente alla persona interessata di decidere personalmente circa la legittimità delle restrizioni al suo diritto alla protezione dei dati personali ( 19 ).

37.

Il principio cardine su cui si fonda il diritto dell’Unione in materia di protezione dei dati è quello di una decisione di una persona fisica autodeterminata in grado di compiere scelte riguardanti l’uso e il trattamento dei suoi dati ( 20 ). Si tratta del requisito del consenso che consente al medesimo di compiere detta scelta e che al contempo lo protegge in situazioni per loro stessa natura asimmetriche ( 21 ). Solo se il consenso è libero, specifico e informato esso ottempera ai criteri della direttiva 95/46 e del regolamento 2016/679.

38.

Nella fase in oggetto, occorre formulare tre brevi precisazioni sull’apparente differenza nel tenore letterale di tali disposizioni.

39.

In primo luogo, l’articolo 4, paragrafo 11, del regolamento 2016/679, al contrario dell’articolo 2, lettera h), della direttiva 95/46 fa riferimento ad una manifestazione «inequivocabile». Direi che il motivo di ciò è alquanto semplice: l’articolo 7, lettera a), della suddetta direttiva sui principi relativi alla legittimazione del trattamento dei dati, già indicati in precedenza, richiede che la persona interessata manifesti il proprio consenso «in maniera inequivocabile», mentre la corrispondente disposizione del regolamento 2016/679, ossia l’articolo 6, paragrafo 1, lettera a), non contiene tale specificazione. In altri termini, detto principio della manifestazione di volontà inequivocabile è semplicemente passato nella più generale disposizione di cui al regolamento 2016/679.

40.

In secondo luogo, l’articolo 4, paragrafo 11, del regolamento 2016/679 precisa che la persona interessata si esprime «mediante dichiarazione o azione positiva inequivocabile». Detto chiarimento è in realtà una novità del regolamento e non trova un riscontro semantico nella direttiva 95/46.

41.

In terzo luogo, per quanto riguarda il carattere «informato» del consenso della persona interessata, la versione francese della direttiva 95/46 si differenzia da quella del regolamento 2016/679. Mentre l’articolo 2, lettera h), della direttiva in parola fa riferimento ad una «manifestation de volonté (…) informé», l’articolo 4, paragrafo 11, di detto regolamento parla di una «manifestation de volonté (…) eclairée».

42.

Ritengo che tale cambiamento di formulazione induca più confusione che chiarezza, dal momento che, per quanto mi consta, la versione francese è l’unica o almeno una delle poche versioni in cui viene compiuta tale distinzione. Alcune versioni, tra cui incidentalmente quelle delle altre lingue romanze, più semplicemente usano al riguardo esattamente i medesimi termini ( 22 ), mentre altre versioni linguistiche possono differenziarsi leggermente sul punto, ma non raggiungono il grado di diversità che si riscontra nella versione francese ( 23 ).

43.

Tornerò in prosieguo sulla nozione di consenso «informato».

44.

Il requisito della «manifestazione» della volontà della persona interessata evoca chiaramente un comportamento attivo e non uno passivo ( 24 ) e richiede che l’interessato abbia un elevato grado di autonomia quando sceglie se dare o meno il consenso ( 25 ). Per quanto riguarda la specifica situazione di una lotteria online su un sito Internet, la Corte ha stabilito che il consenso espresso mediante una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito Internet ( 26 ).

45.

A mio avviso, una siffatta constatazione è parimenti applicabile al mondo analogico: il consenso espresso mediante una casella di spunta preselezionata non implica un consenso attivo da parte della persona che ha a che fare con un documento fisico che in ultima analisi egli sottoscrive. Infatti, in quest’ultima situazione, non è noto se tale testo pre-formulato sia stato letto e compreso. La situazione non è inequivocabile. Il testo può essere stato letto o meno. Il «lettore» può non averlo fatto per pura negligenza, rendendo impossibile stabilire se il consenso sia stato espresso liberamente ( 27 ).

46.

Non deve restare alcun tipo di dubbio circa il fatto che la persona interessata non sia stata sufficientemente informata ( 28 ).

47.

La persona interessata deve essere informata di tutte le circostanze riguardanti il trattamento dei dati e le relative conseguenze. In particolare, la medesima deve conoscere quali dati devono essere trattati, la durata di tale trattamento, con quale modalità e per quale finalità specifica. Deve altresì sapere chi tratta i dati e se i dati sono destinati ad essere trasferiti a terzi. È fondamentale che l’interessato sia informato circa le conseguenze nel caso si rifiuti di prestare il consenso: il consenso al trattamento dei dati è o meno una condizione per la conclusione del contratto? ( 29 )

48.

Resta in dubbio a chi spetti dimostrare che una persona interessata era in una situazione tale da poter prestare il suo consenso sulla base dei principi sopra determinati.

49.

L’articolo 7, paragrafo 1, del regolamento 2016/679 è chiaro e non lascia spazio a dubbi: qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati ( 30 ). La disposizione in parola costituisce una specificazione del principio di responsabilizzazione, sancito dall’articolo 5, paragrafo 2, del regolamento 2016/679. Ritengo che la finalità di tale disposizione richieda un’interpretazione estensiva nel senso che il titolare del trattamento deve provare non soltanto che l’interessato abbia prestato il proprio consenso, ma anche che siano state soddisfatte tutte le condizioni di efficacia ( 31 ).

50.

Alcuni autori mettono in dubbio il fatto che l’articolo 7, paragrafo 1, del regolamento 2016/679 verta sull’onere della prova, ricordando i lavori preparatori di detto regolamento ( 32 ). Si asserisce che, mentre sia la Commissione che il Parlamento hanno proposto una formulazione che faceva esplicito riferimento all’«onere della prova», una siffatta formulazione non si riflette nel testo adottato e dunque nella normativa vigente.

51.

Tale affermazione merita un’analisi più approfondita.

52.

La proposta iniziale della Commissione ( 33 ) menziona in effetti l’«onere di dimostrare» che incombe al titolare del trattamento. Nel medesimo ordine di idee, il Parlamento in prima lettura ( 34 ) non ha contestato tale formulazione. È stato il Consiglio ( 35 ) a sostituire i termini «onere di dimostrare» con i termini, riferiti al titolare del trattamento, «deve essere in grado di dimostrare». Il testo definitivo è stato poi adottato in tale forma.

53.

Non attribuirei un’importanza eccessiva a detto cambiamento di formulazione ( 36 ). Nei considerando della propria posizione il Consiglio non motiva in alcun modo la proposta di cambiare la formulazione ( 37 ). Ciò suggerisce che tale istituzione abbia semplicemente inteso modificare la formulazione della disposizione di cui trattasi, senza modificarne il significato. In tale prospettiva, l’espressione «deve essere in grado di dimostrare» descrive in realtà in maniera più accessibile ciò che si intende per «onere della prova» ( 38 ).

54.

Si può dunque supporre con sicurezza che l’articolo 7, paragrafo 1, del regolamento 2016/679 attribuisca al titolare del trattamento l’onere della prova in relazione al consenso dell’interessato al trattamento dei propri dati personali ( 39 ). Eventuali dubbi riguardo alla prestazione del consenso da parte della persona interessata devono essere eliminati con prove prodotte dal titolare del trattamento ( 40 ). L’onere di provare che la persona interessata è stata posta in una situazione che le consente di prestare un consenso libero, specifico e informato incombe completamente all’ente che procede al trattamento.

55.

La situazione giuridica prevista dalla direttiva 95/46 non è a tal riguardo diversa.

56.

Anche se la direttiva 95/46 non conteneva un’autonoma disposizione paragonabile a quella dell’articolo 7 del regolamento 2016/679 sulle condizioni del consenso, la maggior parte delle condizioni annoverate in tale articolo potrebbe parimenti essere individuata nella direttiva in parola. Benché la regola dell’onere della prova non sia espressamente prevista nella medesima direttiva, essa si evince almeno indirettamente dalla previsione ( 41 ) secondo cui «la persona interessata ha manifestato il proprio consenso in maniera inequivocabile» ( 42 ).

57.

Passo ora ad applicare i summenzionati criteri alla presente causa.

58.

In via preliminare, tengo a precisare che la questione se la Orange România possa o meno esigere dai suoi clienti che essi acconsentano alla produzione di copie e alla conservazione dei loro documenti di identità, non è oggetto della presente causa, dato che per detta impresa non si tratta di una condizione indispensabile per la conclusione di un contratto. Il caso di specie non riguarda, in altre parole, l’interpretazione dell’articolo 7, lettera b), della direttiva 95/46 e dell’articolo 6, paragrafo 1, lettera b), del regolamento 2016/679. Ciò premesso, mi sembra legittimo che un’azienda chieda ai clienti di fornire alcuni dati personali e, in particolare, di comprovare la propria identità ai fini della conclusione di un contratto. Esigere che un cliente accetti la produzione di copie e la conservazione dei propri documenti di identità mi pare, tuttavia, eccedere quanto necessario per l’adempimento del contratto.

59.

Sulla base delle informazioni a disposizione, a mio avviso, i clienti della Orange România non prestano il loro consenso libero, specifico e informato nelle circostanze descritte dal giudice del rinvio.

60.

Anzitutto, il consenso non è fornito liberamente. Obbligare un cliente a dichiarare, con un’annotazione a mano, che egli non acconsente alla produzione di copie e alla conservazione del suo documento di identità non gli permette di esprimere liberamente il consenso, nel senso che il cliente si trova in una situazione in cui si discosta visibilmente da una regolare procedura che porta alla conclusione del contratto. A tal riguardo, i clienti non devono avere l’impressione che negare il proprio consenso alla produzione di copie e alla conservazione dei loro documenti di identità non sia conforme a regolari procedure. Tengo a ricordare, a tal proposito, che la Corte ha posto l’accento sul comportamento attivo da parte della persona interessata al fine di manifestare il proprio consenso ( 43 ). Per prestare il consenso è necessaria un’azione positiva della persona interessata. Eppure, nel caso di specie, sembra verificarsi la situazione opposta: occorre un’azione positiva per negare il consenso. Tornando ancora una volta alla sentenza nella causa Planet49 ( 44 ), se rimuovere un segno da una casella di spunta preselezionata su un sito Internet è considerato troppo gravoso per un cliente, a fortiori non si può dunque ragionevolmente pretendere che un cliente neghi il proprio consenso con un’annotazione a mano.

61.

In secondo luogo, il consenso non è informato. Non si dice con chiarezza cristallina al cliente che il fatto di non accettare che venga raccolta e conservata copia del suo documento di identità non rende impossibile la conclusione di un contratto. Un cliente non sceglie in maniera informata se non è al corrente delle conseguenze.

62.

In terzo luogo, e soltanto in termini ipotetici, nulla indica che la Orange România sia riuscita a dimostrare che i clienti abbiano acconsentito al trattamento dei loro dati personali. A tal riguardo, un’evidente mancanza di chiarezza nelle procedure interne non contribuisce di certo a fornire la prova del consenso del cliente. Una siffatta mancanza di chiarezza e istruzioni contrastanti al personale di vendita non può naturalmente andare a spese del cliente, ossia la persona interessata nel caso di specie.

63.

Alla luce delle suesposte considerazioni, propongo alla Corte di rispondere come segue alle questioni pregiudiziali sollevate dal Tribunalul Bucureşti (Tribunale superiore di Bucarest, Romania):

Una persona interessata che intenda instaurare un rapporto contrattuale per la fornitura di servizi di telecomunicazione con un’impresa non presta il proprio «consenso», ossia non manifesta la propria volontà «libera, specifica e informata», ai sensi dell’articolo 2, lettera h), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e dell’articolo 4, paragrafo 11, del regolamento (UE) del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), a tale impresa qualora debba dichiarare, con annotazione a mano, su un contratto per il resto standardizzato, che rifiuta di prestare il proprio consenso alla produzione di copie e alla conservazione dei propri documenti di identità.