Non ci sono più dubbi: una sentenza della CGUE – Corte di giustizia dell’Unione europea ha chiarito che basta la richiesta di revoca al consenso presentata a un titolare del trattamento per ottenerla anche da tutti gli altri titolari con cui l’operatore ha scambiato i dati.
Questo perché il titolare del trattamento deve predisporre adeguate procedure per informare della revoca gli altri titolari, sia nel caso abbia ricevuto da loro o abbia inviato loro i dati. La sentenza è giunta in conclusione della causa che ha visto contrapposti il provider telco Proximus e un abbonato che chiedeva la revoca del consenso all’inserimento dei propri dati in un elenco pubblico.
La sentenza rappresenta un utile approfondimento sui temi del diritto alla riservatezza e del consenso sancito dal GDPR. La decisione, in particolare, fa chiarezza su chi abbia la responsabilità in questo ambito.
Responsabili del trattamento: audit e controlli da parte del titolare del trattamento
Indice degli argomenti
L’antefatto
La sentenza citata della CGUE è relativa alla causa C-129/21 relativa alla richiesta di un abbonato rivolta al provider belga Proximus di non far comparire i suoi dati negli elenchi telefonici, sia compilati dall’operatore che da terza. Proximus, si legge in una nota stampa della Corte, “compila anche elenchi telefonici e servizi di consultazione di elenchi telefonici. Tali elenchi telefonici contengono il nome, l’indirizzo e il numero di telefono degli abbonati dei diversi fornitori di servizi telefonici accessibili al pubblico. Tali dati di contatto sono comunicati alla Proximus dagli operatori, salvo il caso in cui un abbonato abbia espresso la volontà di non comparire negli elenchi telefonici. La Proximus trasmette del pari i dati di contatto da essa ricevuti a un altro fornitore di elenchi telefonici”. Un operatore di servizi telefonici in Belgio “trasmette dati di contatto dei suoi abbonati a fornitori di elenchi telefonici, in particolare alla Proximus”. Proprio uno di questi abbonati ha avanzato la richiesta, in seguito alla quale Proximus ha modificato lo status del soggetto affinché i suoi dati non fossero più pubblici.
In seguito, l’operatore di servizi telefonici ha informato Proximus che i dati non erano stati segnalati come riservati: “Tali informazioni sono stato oggetto di un trattamento automatizzato da parte della Proximus e sono state registrate in modo tale che esse comparivano nuovamente negli elenchi telefonici. Ad una nuova richiesta dell’abbonato di non far comparire i propri dati, la Proximus ha risposto che aveva eliminato i dati dagli elenchi telefonici e che aveva contattato Google affinché fossero eliminati i relativi link verso il sito Internet della Proximus”, spiega la CGUE, aggiungendo che Proximus aveva anche informato l’abbonato di aver trasmesso i dati ad altri fornitori ed erano stati informati della richiesta di eliminazione. L’abbonato nel mentre ha sporto segnalazione al Garante privacy belga che ha imposto a Proximus “misure correttive e ha irrogato un’ammenda dell’importo di 20mila euro per violazione di diverse disposizioni del GDPR”.
Proximus ha quindi impugnato alla Corte d’appello di Bruxelles, ritenendo che “non era necessario il consenso dell’abbonato per la pubblicazione dei suoi dati personali negli elenchi telefonici, ma che gli abbonati stessi devono chiedere di non comparire in tali elenchi, secondo un cosiddetto sistema di opt-out”, si legge nella nota CGUE. Invece, il Garante belga ricorda che la direttiva relativa alla vita privata e alle comunicazioni elettroniche “richiede il consenso degli abbonati, ai sensi del GDPR, affinché i fornitori di elenchi telefonici possano trattare e trasmettere i dati personali degli abbonati”. La Corte d’appello ha rinviato la questione alla CGUE.
Revoca del consenso, cosa dice la Corte europea
Nella sua sentenza, la Corte di giustizia europea ha spiegato che “per la pubblicazione in un elenco telefonico pubblico dei dati personali di un abbonato è necessario il consenso dell’abbonato debitamente informato e che il consenso si estende a qualsiasi trattamento ulteriore dei dati da parte di imprese terze attive nel mercato dei servizi di consultazione degli elenchi telefonici accessibili al pubblico e degli elenchi telefonici, sempre che tali trattamenti perseguano lo stesso scopo”.
Tale consenso richiede “una manifestazione di volontà «libera, specifica, informata e inequivocabile» dell’interessato nella forma di una dichiarazione o di un’«azione positiva inequivocabile» che renda manifesta la sua accettazione del trattamento dei dati personali che lo riguardano. Un consenso del genere non presuppone, tuttavia, che, alla data in cui è stato prestato, l’interessato sia necessariamente a conoscenza di tutti i fornitori di elenchi telefonici che tratteranno i suoi dati personali”, si legge nel comunicato dell’istituzione.
Il nodo delle misure adeguate
La Corte in particolare afferma che “un titolare del trattamento di dati personali, come la Proximus, deve mettere in atto misure tecniche e organizzative adeguate per informare gli altri fornitori di elenchi telefonici ai quali ha fornito tali dati della revoca del consenso dell’interessato. Siffatto titolare del trattamento deve altresì provvedere a informare l’operatore di servizi telefonici che gli ha comunicato tali dati personali affinché quest’ultimo adegui la lista dei dati personali che trasmette automaticamente a tale fornitore di elenchi telefonici. Qualora, come nel caso di specie, diversi titolari del trattamento si basino sul consenso unico dell’interessato per trattare i dati personali di quest’ultimo, è sufficiente, infatti, affinché tale interessato revochi un consenso del genere, che esso si rivolga ad uno qualsiasi dei titolari del trattamento”.
Diritto alla riservatezza e consenso
Per l’avvocato Massimo Borgobello, si tratta di una sentenza importante su due fronti: “In primis perché fa chiarezza sulla suddivisione di responsabilità degli operatori, che non hanno più scusanti in quanto la CGUE è organo di ultima istanza che interpreta il diritto europeo. In secondo luogo, lato utente, una volta chiesta la revoca del consenso alla pubblicazione dei numeri di telefono nell’elenco dal momento in cui il numero comparisse comunque si può fare ricorso al Garante nazionale con la certezza di veder accolte le proprie istanze”.
Per l’avvocato Andrea Michinelli invece “nulla di innovativo giuridicamente, la pronuncia e il caso richiamano norme piuttosto chiare, cioè l’articolo 17.2 GDPR”. La norma indica, citandola testualmente:
“Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato […] a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”.
La CGUE, per Michinelli, “ha valutato che nel caso concreto, da contestualizzare, parliamo di revoca del consenso alla pubblicazione di un numero telefonico in elenchi pubblici, vi fossero i presupposti per la cancellazione, nessuna eccezione applicabile, e che gli altri titolari (cioè fornitori di elenchi telefonici) dovessero essere informati della revoca da parte del titolare originario. I principi di base coinvolti sono applicabili, con le dovute cautele, anche a casi diversi da quello degli elenchi telefonici”.
Come funziona la revoca del consenso
Va preso atto per Michinelli che “si tratta di una delle norme del GDPR forse più disattesa nella pratica. Difatti per essere rispettata richiede una governance, un controllo del proprio flusso dei dati anche verso terzi che non tutti i titolari sono in grado – o hanno la volontà – di mettere in atto. Impone un tracciamento dei rapporti con i terzi, come farlo la sentenza lo spiega estesamente: bisogna avere misure (organizzative soprattutto, quindi procedure e contratti adeguati) idonee a informare tali terzi; oggetto dell’informazione deve essere sia la revoca del consenso verso terzi titolari destinatari che la richiesta di adeguamento delle liste dei dati trasmessi automaticamente verso terzi titolari fonte dei dati, per evitare di ritrattare i dati oggetto della revoca.
Il delisting
Tanto più quando, come afferma la CGUE, “l’interessato per revocare il consenso può rivolgersi a uno qualunque dei titolari coinvolti, e sarà onere del contattato dover ripercorrere la catena di flusso dei dati per avvisare gli altri titolari. Infine, lo stesso titolare deve procedere anche al delisting, cioè a far richiesta di de-indicizzazione verso i motori di ricerca – si tratta del c.d. “diritto all’oblio” reso ben noto anche dalla storica sentenza Google Spain della CGUE. Insomma, dalla sentenza attuale si potrebbero ricavare delle linee guida utili per gestire correttamente una complessità di trattamento che rappresenta certamente una sfida per ogni titolare”.
