Come ormai noto, il Garante della Privacy ha nei giorni scorsi emesso ben due sanzioni nei confronti di Eni Gas e Luce, per un importo complessivo pari a circa 11,5 milioni di euro.
A tal riguardo, mentre per l’esame dei documenti non possiamo che rinviare al sito del Garante, in questa sede ci interessa individuare quelli che sono gli aspetti della decisione da cui dedurre delle best practice, se non addirittura delle regole generali che, d’ora in avanti, non potranno non essere debitamente considerate in occasione dell’adeguamento GDPR di un’azienda.
In primo luogo, dopo aver letto il provvedimento n. 232/19, possiamo sfatare immediatamente un falso mito: una società ad oggi adeguata, non è libera per gli eventuali trattamenti illeciti del passato.
Non è una banalità se si pensa che negli ultimi mesi si è diffusa molto l’idea opposta secondo cui, per evitare la sanzione, sarebbe sufficiente dimostrare la buona volontà e il mero avvio di un percorso di adeguamento. Così non è, ed il Garante lo afferma in modo perentorio quando, con riferimento ad un trattamento eseguito dai teleseller di Eni Gas e Luce precisa:
“le nuove procedure per la verifica dell’operato dei teleseller, introdotte da EGL a partire da luglio 2019, non sono idonee a escludere, per il passato, condotte illecite da parte dei teleseller”.
Una simile impostazione, se da un lato colpisce duramente chi non si è adeguato per tempo al GDPR, dall’altro potrebbe portare all’effetto negativo di disincentivare chi oggi adeguato non è. Questi difatti, conscio di essere ormai in torto, potrebbe ritenere superfluo avviare una procedura di messa in compliance, svilendo in questo modo le intenzioni del legislatore europeo.
La verità, però, è che l’eventuale adeguamento tardivo, pur non sanando l’illiceità del trattamento passato, assume valore come attenuante ai fini della decisione, circostanza quest’ultima del tutto da non sottovalutare.
Allo stesso modo non è da sottovalutare l’importanza della corretta raccolta del consenso il quale, come noto, deve essere specifico, libero e informato.
Indice degli argomenti
Il dissenso specifico vince sul consenso generico
Di norma, si è soliti ritenere che, in presenza di plurime espressioni di volontà di un soggetto, prevale l’ultima in ordine temporale. In tal senso, risulta del tutto coerente quanto indicato all’art. 1 comma 6 della L. 5/2018 dove, nel disciplinare il funzionamento del c.d. Registro delle Opposizioni si afferma “È valido il consenso al trattamento dei dati personali prestato dall’interessato, ai titolari da questo indicati, successivamente all’iscrizione nel registro”.
Non è quindi un caso che, proprio su tale assunto si sia fondata la difesa di Eni relativamente a questo punto.
Il Garante tuttavia ha voluto fornire risalto agli elementi del consenso, così come ben delineati anche nelle linee guida del Gruppo Articolo 29, facendo quindi emergere l’importanza della specificità della manifestazione di volontà la quale risulta un elemento fondamentale per valutare se effettivamente vi sia una successione dei consensi tale da potersi attuare la generale regola del consenso più recente.
Sulla base di tale impostazione, il Garante ha quindi osservato come la presenza di un dissenso specifico a ricevere trattamenti da quella particolare società, superi il consenso generico successivamente fornito ad una ulteriore società al fine di ricevere informazioni commerciali da parte di non precisate società terze.
Semplificando, è come se l’interessato, con la seconda espressione di volontà abbia affermato “acconsento a ricevere informazioni da terzi, eccetto che dalle società a cui ho negato espressamente il consenso”.
Le conseguenze di tale approccio, non è difficile immaginarlo, saranno di rilevanza non discutibile.
L’acquisto di database dai vari list provider diventerà quantomeno poco sicuro, se non quasi aleatorio, non essendo più sufficiente verificare la presenza di un consenso ai contatti per iniziative commerciali, dovendosi difatti verificare altresì l’assenza di dinieghi specifici, circostanza questa possibile solo incrociando diversi database.
Non solo, sempre l’attività dei list provider viene presa in considerazione con riferimento ai passaggi multipli di liste per i quali viene affermata la seguente regola: ogni cessione di dati (anche a pagamento) deve essere coperta da consenso.
Per spiegare questo passaggio è necessario partire dal caso concreto in cui il Garante ha potuto rilevare come gli interessati fossero persone che avevano utilizzato il sito Facile.it rilasciando un consenso ad essere contattati da terzi per finalità di marketing.
Facile.it, sulla base di questo consenso, ha ceduto le liste ad un soggetto terzo il quale, a sua volta, ha poi ceduto le medesime liste ad Eni. Proprio quest’ultimo passaggio, secondo il Garante, non è da considerarsi legittimo in quanto non coperto da base giuridica idonea.
In particolare, afferma l’Autorità: “tale consenso, tuttavia se poteva risultare idoneo a legittimare il trasferimento dei relativi dati personali da Facile.it S.p.A. a C4b S.r.l., nella sua qualità di autonomo titolare del trattamento, non poteva di certo estendere la sua efficacia anche al successivo trasferimento da quest’ultima a EGL, poiché tale comunicazioni di dati non risultava supportata da consenso specifico ed informato rilasciato dagli interessati a C4b”.
Si tratta, di fatto, dell’applicazione del medesimo principio di cui al punto precedente: la specificità del consenso. Principio che si fonda sulla necessità di permettere all’interessato di decidere e controllare l’utilizzo dei propri dati.
Spiega il Garante, “il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mirano a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso.
Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato.
Pertanto, le cessioni, da C4b s.r.l. a EGL, nonché i correlati successivi trattamenti da parte di quest’ultima, di liste di contattabilità provenienti da Facile.it S.p.A., le quali non sono sorrette da alcun consenso rilasciato dagli interessati a C4b s.r.l., così come tutte le altre cessioni e i correlati trattamenti di liste provenienti da editori, acquisite da list provider e cedute a EGL senza che i list provider si siano dotati di un consenso specifico alla comunicazione dei dati, sono illeciti e ne deve essere disposto il divieto.
Le condotte poste in essere dalla società configurano la violazione delle disposizioni di cui all’ art. 5, par. 1, lett. a), all’art. 5, par. 2, all’art. 6, par. 1, lett. a), all’art. 7, par. 1, del Regolamento”.
Si tratta di un’affermazione molto chiara che mira ad evitare che da un singolo consenso possa propagarsi una serie infinita di passaggi che, di fatto, depotenzierebbero la portata dell’intero GDPR.
È quindi assolutamente condivisibile questa impostazione dell’Autorità anche se, è inutile negarlo, risulterà molto penalizzante per tutti coloro che hanno fatto della vendita di lead una professione. D’ora in avanti questi saranno obbligati ad individuare una nuova base giuridica che giustifichi il passaggio dal titolare originario al nuovo titolare, non potendo più fare affidamento sul consenso al marketing di terze parti rilasciato dall’Interessato.
Controlli e accountability
Molta importanza, specialmente nel provvedimento 231/19, è data all’attuazione in concreto di quello che, a parere di chi scrive è il principio cardine del GDPR: il principio di accountability.
L’essenza di tale impostazione diviene evidente nella parte in cui il Garante arriva a ritenere ENI responsabile per condotte (parrebbe) fraudolente portate avanti da agenzie partner della stessa.
Afferma il Garante: “ai sensi del predetto principio di accountability, il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili (v. c. 74 e artt. 5, par. 2 e 24 del Regolamento (UE) 2016/679); ciò non soltanto mediante la corretta e puntuale predisposizione degli adempimenti imposti dalla normativa di protezione dei dati (informativa, registro delle attività di trattamento, nomina del responsabile della protezione dei dati ove obbligatoria, valutazione di impatto ove necessaria ecc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo Regolamento (UE) 2016/679”.
Non basta quindi una buona nomina ex art 28 per liberare il titolare da ogni responsabilità, risultando invece necessari controlli continui, oltre a procedure e adeguata formazione volta a individuare per tempo ogni possibile deviazione dalla regola.
Si tratta di una presa di posizione che avrà sicuramente conseguenze perché, è inutile negarlo, sino ad oggi in molti hanno pensato che con una nomina fatta bene, il titolare fosse esente da pericoli. Invece non è così. Ma allora torna nuovamente un ormai insistente interrogativo: se il titolare deve implementare un meccanismo di controllo costante dell’attivita del responsabile, come è possibile liberarsi dalla responsabilità per trattamenti effettuati, ad esempio, dai servizi cloud (es. Google e simili)?
È del resto chiaro che se il titolare per liberarsi da responsabilità deve dimostrare di aver controllato l’operato del proprio responsabile, egli non avrà alcuna speranza di deresponsabilizzarsi nei confronti di tutta una serie di servizi (in primis i cloud) per i quali è oggettivamente impossibile pretendere un qualche controllo di qualità.
È sicuramente un interrogativo difficilmente risolvibile questo appena illustrato. Chiaro è che nella maggior parte dei casi, dove le parti sono in situazione paritaria, è chiesto al titolare un impegno attivo al fine di liberarsi da eventuali responsabilità.
In particolare, nel caso di Eni (che sicuramente non è soggetto debole) al titolare è chiesto di implementare un sistema controlli stringenti volti a verificare l’attendibilità e la veridicità dei contratti conclusi dai propri agenti/partner. Una maggiore attenzione alle misure tecniche organizzative, la creazione di programmi di controllo periodico, una maggiore formazione e processi di cross-checking. Questi sono i suggerimenti del Garante nei confronti del titolare.
In molti hanno da sempre ritenuto il GDPR una norma burocratica; l’importanza di queste due sanzioni è proprio quella di aver dimostrato che l’aspetto documentale è marginale rispetto alla creazione di procedure corrette.
Un provvedimento tanto atteso quanto importante quello del Garante Privacy che dona un nuovo slancio all’attuazione del GDPR nel nostro paese, fornendo un’interpretazione di alcuni passaggi del Regolamento che, con molta probabilità, verrà presa ad esempio per diverso tempo.
