PROVVEDIMENTO DEL GARANTE SUL PRINCIPIO DI CORRETTEZZA PREVISTO DAL GDPR
di Antonio Ciccia Messina
Contratti irregolari per violazione della privacy: leggere al telefono le clausole di un contratto a un ritmo tambureggiante (600 parole al minuto per sei minuti) è una trasgressione del principio di correttezza, previsto dall’articolo 5 del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr). E per questo merita una sanzione amministrativa del Garante. Come è successo a un operatore telefonico, destinatario di una ingiunzione a pagare (anche per altre violazioni) 500 mila euro (provvedimento n. 379 del 10 novembre 2022). Le motivazioni dell’ingiunzione testimoniano, dunque, la forza espansiva dei principi del Gdpr, che può provocare effetti a cascata, addirittura, sul merito civilistico dei rapporti contrattuali. L’ingiunzione citata esprime il descritto principio rivoluzionario accanto ad altre analitiche prescrizioni relative alla privacy applicata al marketing: stop alle informative privacy mitragliate e ai consensi cumulativi; non sufficiente digitare un numero del telefonino per esprimere il consenso privacy a un risponditore automatico. Completa il disegno della privacy applicata al marketing un’altra ingiunzione (n.348 del 20 ottobre 2022), con la quale il Garante ha sanzionato (1,4 milioni euro) una catena internazionale di profumerie per non avere separato informative e consensi per marketing e cookies e per avere conservato troppo a lungo i dati dei clienti. Passiamo, dunque, ad illustrare alcuni passaggi delle due ingiunzioni, le quali riprendono, con rivisitazioni, l’impianto di provvedimenti del Garante anteriori al Gdpr.
PAROLE A MITRAGLIA. L’informativa privacy fornita da un operatore in carne e ossa al telefono deve essere comprensibile. Nel caso trattato dall’ingiunzione n. 379 il Garante ha accertato che un call center albanese ha bombardato l’interessato con 63 parole in 16 secondi affogate nel contesto di 200 parole al minuto per 6 minuti usati per leggere le condizioni di trasferimento di un contratto telefonico. Tutto ciò rappresenta violazione dei principi del Gdpr sulla correttezza dei trattamenti.
DIGITA UN NUMERO. Violano la privacy una sintetica informativa attraverso un risponditore automatico e il consenso per finalità promozionali espresso con la digitazione di tasti (ad esempio “#1”) del telefonino. L’informativa è lacunosa e la digitazione di una sequenza alfanumerica non rappresenta un comportamento inequivoco (ingiunzione 379/2022).
INFORMATIVE SEPARATE. Le informative privacy sono atti che richiedono molte attenzioni formali. L’ingiunzione 348/2022 ha imposto alla catena di profumerie di distinguere chiaramente informativa e consensi “privacy” dall’informativa e consensi per i cookies, Entrambe le informative, inoltre, devono essere tenute separate dai termini contrattuali di vendita di beni e servizi. Il Garante aggiunge, poi, che nell’informativa bisogna scrivere solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite, senza, dunque, dilungarsi in descrizioni di attività eventuali e future.
DATI A SCADENZA. Tenendo conto dei termini previsti dal provvedimento del garante del 24 febbraio 2005) per i programmi di fidelizzazione della clientela (12 mesi per finalità di marketing; 24 per finalità di profilazione), il Garante (ingiunzione n. 348) ha imposto la cancellazione di dati di clienti risalenti a oltre 10 anni prima. Inoltre ha imposto di cancellare o di pseudonimizzare quelli conservati da meno di 10 anni e, nel caso di pseudonomizzazione, ha obbligato a chiedere il rinnovo del consenso, e a cancellare chi non lo fa.
Fonte: 