Proponiamo di seguito due massime estratte da provvedimenti recenti dell’Autorità Garante per la protezione dei dati personali.
Provv. 774 del 12 dicembre 2024
Massima: “il consenso rilasciato ad un partner, anche se agisce in qualità di responsabile del trattamento, non può superare il diniego espressamente manifestato nei confronti del committente, titolare del trattamento.”
Commento: il contesto è quello di trattamenti di dati personali da parte di una grande società di telecomunicazioni al fine di proporre la sottoscrizione da remoto di contratti relativi ai propri servizi (telemarketing). In tali circostanze, il fatto che le liste di prospect (c.d. liste fredde) o lead (c.d. liste calde) includano contatti, come usa dirsi, “consensati”, non esclude che tali contatti siano inutilizzabili laddove gli interessati, pur avendo concesso il consenso ad altri titolari per la condivisione con terzi dei loro dati per finalità di marketing, abbiano espresso direttamente al titolare del trattamento la volontà di non essere contattati. Questa espressione di volontà supera, annullandole, altre manifestazioni “indirette” di consenso.
Provv. 802 del 19 dicembre 2024
Massima: “È di tutta evidenza che il ruolo di RPD (DPO, n.d.a.) è pertanto del tutto incompatibile con quello di rappresentante legale della società presso la quale è designato, in quanto il medesimo soggetto che determina i mezzi e le finalità dei trattamenti non può avere la necessaria indipendenza per esercitare anche i compiti di sorveglianza, sull’osservanza della disciplina e sulle politiche del titolare in materia di protezione dei dati personali, previsti dall’art. 39, par. 1, lett. b).”
Commento: il contesto è quello di una società il cui business consiste nell’offrire a persone fisiche servizi di riabilitazione creditizia. La società risulta gravemente lacunosa nella GDPR compliance. Tra le varie violazioni riscontrate, l’Autorità Garante evidenzia un principio ormai consolidato per cui il ruolo di DPO interno non può essere ricoperto da funzioni organizzative la cui posizione implica il potere ed onere di assumere decisioni volte ad assicurare il conseguimento degli obiettivi propri dell’organizzazione stessa (e, dunque, decidere circa le finalità e i mezzi del trattamento). Ciò, in ragione del fatto che la lettera del Regolamento non lascia dubbi in merito che il DPO (esterno o interno, persona fisica o società) sia un soggetto terzo rispetto al titolare (o al responsabile) del trattamento (e dunque, agli organi decisionali o di vertice, incarnazione dello stesso). Tale separazione, trae significato dalla necessaria terzietà propria del DPO, che, in quanto garante dei diritti di terzi (gli interessati) non può svolgere il proprio compito ove sia portatore diretto degli interessi propri del titolare (o del responsabile). Cfr. anche Linee Guida WP243_Rev01 e FAQ pubblicate dal Garante sul proprio sito.
Conclusioni
Monitorare le decisioni del Garante Privacy è un’attività fondamentale per restare aggiornati su come in concreto deve essere applicata la normativa sulla protezione dei dati personali. In questo caso, ci aiuta a ricordare quanto sia insidioso il trattamento di dati di contatto proveniente da liste acquistate online per finalità di marketing. Ci ricorda, inoltre, quanto sia importante valutare con attenzione chi nominare DPO, per evitare sanzioni. Torna a visitarci e troverai presto nuove massime!
L’articolo ti ha sollecitato dubbi o domande in merito alla compliance della tua organizzazione? Vuoi ulteriori chiarimenti o informazioni? Non esitare a contattarci, attraverso questo form!
