Volendo immaginare la procedimentalizzazione del trattamento dati sancita dal GDPR come una ragnatela, si potrebbe probabilmente affermare che ciascuno dei suoi fili, convergendo verso il centro, conduca al principio dell’accountability del titolare del trattamento.      

A confermarlo sono, una volta di più, due recenti provvedimenti con cui il Garante Privacy ha sanzionato una primaria società del settore energetico, rispettivamente per trattamento illecito di dati a) nell’ambito di attività promozionali (8,5 milioni di Euro) e b) nell’ambito dell’attivazione di contratti non richiesti (3 milioni di Euro). In entrambi i casi, le segnalazioni degli utenti pervenute all’Autorità sono state considerate, anche alla luce di quanto emerso nella fase ispettiva, la spia di un sistematico comportamento irregolare nella raccolta, gestione e utilizzo dei dati da parte della società sanzionata.

In particolare, nel caso a) riguardante le contestate attività di telemarketing e di teleselling, il Garante ha riscontrato l’effettuazione di telefonate pubblicitarie fatte non solo in assenza del consenso dell’interessato, ma anche in presenza di un diniego formulato dall’interessato alla società sanzionata e precedente all’acquisizione, da parte della medesima, delle cd. “liste di contattabilità” contenenti anche i dati dei suddetti interessati; ancora, il mancato rispetto dei principi in tema di esercizio dei diritti da parte dell’interessato, soprattutto a causa della carenza di misure tecnico-organizzative; la conservazione dei dati per tempi superiori a quelli legati alle finalità del trattamento.    

Nel caso b), relativo a contratti non richiesti nel libero mercato, la problematica riguarda invece l’esistenza di trattamenti contrari ai principi di correttezza, esattezza e aggiornamento dei dati, per il tramite soprattutto di agenzie esterne alla società, qualificabili come responsabili del trattamento.

Le carenze organizzative addebitate dal Garante alla società sanzionata puntano i riflettori, in particolare, sulla nuova e più organica visione della privacy introdotta dalla General Data Protection Regulation. Una tutela che non deve più limitarsi all’adempimento di vuoti formalismi, ma deve invece porsi al centro del sistema aziendale, permearne i profili di gestione dell’attività commerciale, essere concreta, effettiva, basata su criteri di correttezza, liceità, trasparenza, minimizzazione dei dati.          

Contrariamente a quanto riscontrato dal Garante durante la fase istruttoria, quando la base giuridica del trattamento dei dati è rappresentata dal consenso dell’interessato (art. 6, par. 1, lett. a del Regolamento), tale consenso dovrebbe essere informato, libero, specifico ed inequivocabile: informato, perché espresso sulla base di un’informativa scritta in termini chiari e di semplice comprensione (soprattutto con riferimento alle informazioni ‘essenziali’, vale a dire quelle relative al titolare del trattamento, alle finalità del trattamento e ai diritti dell’interessato); libero, in quanto espresso senza alcun tipo di condizionamenti; specifico, perché relativo a una singola finalità di trattamento (perciò, se i dati sono trattati per più finalità, per ciascuna di esse sarà necessario un apposito consenso); inequivocabile, infine, in quanto fornito con una dichiarazione di volontà precisa e dunque non equivocabile.     

Su questo punto, il Garante evidenzia nei provvedimenti che il potenziamento sostanziale dei requisiti del consenso lecitamente raccolto, così come prescritto dal GDPR, mira a «conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso». Tuttavia, tale forma di controllo risulta nei fatti impossibile quando, come avvenuto nel caso in commento, il trattamento dei dati personali contenuti nelle “liste di contattabilità” avvenga sulla base dell’utilizzo di un iniziale e generico consenso a copertura di un trasferimento di dati personali ‘a cascata’, fatto addirittura prevalere su uno specifico (sebbene precedente) diniego espresso dall’interessato direttamente alla società che si trova a trattare tali dati. Un passaggio di dati duplice o triplice, quello evidenziato dal Garante, che non soddisfa quindi i fondamentali requisiti di trasparenza e di correttezza e manca di una base giuridica lecita, anche in considerazione del fatto che «l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali» (Considerando 42, Reg. UE 679/2016).      

Sotto il profilo della libera circolazione dei dati personali, in effetti, occorre rimarcare che, sebbene il GDPR intenda valorizzarla e facilitarla, tale operazione dovrebbe tuttavia rientrare, come ogni altra operazione di trattamento dei dati, in ben determinati criteri di procedimentalizzazione, di cui le adeguate misure tecniche ed organizzative invocate dal Garante sono una delle espressioni. I trattamenti dei dati, infatti, dovrebbero basarsi su una «corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati» e sull’ «implementazione di procedure e prassi organizzative», quali la mappatura dei trattamenti, la formazione del personale, la creazione di procedure per la gestione delle richieste e dei reclami fatti dagli interessati.

Tutto quanto finora detto pone il tema centrale della responsabilizzazione del titolare del trattamento. L’accountability, quale pietra angolare del sistema privacy, consiste nella responsabilità generale del titolare di creare un «sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati», cioè nell’implementazione della tutela dei dati personali come parte essenziale e inscindibile delle dinamiche e delle politiche gestionali dell’azienda.   

Da ciò derivano, peraltro, i corollari della privacy by design e by default, terminologia con la quale si indica a) la necessità che, al fine di minimizzare i rischi, la protezione dei dati sia un principio adottato fin dalla progettazione del servizio e del trattamento dati (by design) e b) che, al fine di minimizzare i dati raccolti, le impostazioni predefinite del sistema siano di massima tutela e riservatezza per l’utente, il quale potrà poi eventualmente decidere in prima persona di ampliare la gamma di dati personali comunicati (by default).

La responsabilizzazione del titolare del trattamento, in definitiva, non rappresenta una misura dalle intenzioni limitanti o soffocanti, bensì il riconoscimento in capo al titolare stesso di un maggior grado di autonomia nella modulazione delle proprie policy interne in funzione dell’attività di trattamento dati effettivamente svolta, naturalmente sempre avendo come linee guida i criteri e gli strumenti dettati (talvolta suggeriti) dal GDPR, quali l’effettuazione di una valutazione d’impatto, la nomina del Data Protection Officer, la tenuta del Registro dei trattamenti, la notifica dei data breach.       

Il tutto, naturalmente, con l’obiettivo finale, chiarito fin dai primi Considerando del Regolamento, di creare uno spazio di libertà, sicurezza, giustizia e progresso sociale ed economico, sulla base della considerazione che la circolazione sicura dei dati personali, e la fiducia degli utenti nel sistema così delineato, rappresenta un elemento fondamentale dello sviluppo del Digital Single Market.

© Graziadei Studio Legale 

Ulteriori Informazioni: link ai due provvedimenti del Garante Privacy