fbpx
Napoli e Omignano-Scalo
+39 081 19750217
commerciale@selefor.it

IL CONTROLLO DELLA FILIERA DEI TRATTAMENTI

di Giovanni Crea

L’affidamento all’esterno di trattamenti di dati personali genera una ‘filiera’ di attività più o meno complessa in relazione al numero dei soggetti partecipanti (responsabili e sub-responsabili del trattamento, altri titolari del trattamento) e alla sua estensione geografica (tanto più se tale estensione implica trasferimenti di dati oltre i confini dell’UE).

I casi “B&T-Dorelan”, “Enel Energia” e “Google analytics vs. DSB” ci raccontano di situazioni che danno luogo a filiere di trattamenti la cui compliance alla disciplina del trattamento dei dati personali – quale che sia la loro complessità – ricade comunque sotto la “responsabilità generale” del titolare del trattamento. Sotto questo aspetto, va osservato come, in virtù del princìpio di responsabilizzazione di cui all’art. 5.2, GDPR e delle implicazioni di responsabilità previste all’art. 24, GDPR, il titolare del trattamento sia il centro di imputazione delle scelte effettuate con riguardo alle misure tecniche e organizzative in una prospettiva di compliance, a cui compete anche la dimostrazione (accountability) di tale conformità. Il controllo della filiera dei trattamenti va pertanto ricondotto al quadro delle predette scelte.

L’esternalizzazione dei trattamenti, dunque, implica il controllo della filiera che essa genera; controllo che, alla luce del citato princìpio della responsabilità generale, va realizzato attraverso misure tecniche e organizzative (modelli organizzativi) che consentano al titolare del trattamento di gestire sia le attività svolte dai responsabili del trattamento (compresi i sub-responsabili) per le proprie finalità sia l’acquisizione di dati da distinti titolari del trattamento (fornitori di banche dati, list provider).

L’assenza del controllo ha ricadute sugli interessati con riguardo (i) alle informazioni che questi dovrebbero ricevere ai sensi degli artt. 13 e 14, GDPR, (ii) all’azionabilità dei loro diritti previsti agli artt. 15-22, GDPR, (iii) alla possibilità di revoca del consenso (là dove ricorre questa base giuridica), (iv) alle violazioni dei loro dati (data breach) che potrebbero verificarsi lungo la filiera. Tali ricadute configurano altrettante violazioni della disciplina del trattamento dei dati personali ascrivibili al titolare del trattamento. 

Al riguardo, nelle vicende “Enel Energia” e “B&T-Dorelan” il Garante ha contestato, tra gli altri profili, una carenza informativa con riguardo all’individuazione dei soggetti destinatari dei dati personali, nonché l’impossibilità per gli interessati di esercitare i propri diritti, in particolare i diritti di accesso e opposizione al trattamento. Profili, questi, che sono apparsi legati alla mancata qualificazione dei ruoli e alla numerosità dei soggetti coinvolti nel trattamento, e per i quali non è valsa la dichiarazione della società Enel Energia dell’impossibilità del controllo di soggetti che si inseriscono abusivamente nella propria filiera dei trattamenti né, tanto meno, quella di B&T di ritenersi estranea al ruolo di titolare del trattamento.

L’esperienza del telemarketing – vale a dire la promozione e commercializzazione di beni attraverso servizi di comunicazione elettronica – ha messo in luce come, su tale versante, le relative attività generano filiere di trattamenti che, se non controllate dai titolari del trattamento, favoriscono la proliferazione, da un lato, di list provider – le cui procedure di raccolta dei consensi per la comunicazione dei dati di contatto agli stessi titolari o ai loro responsabili del trattamento (call center) non sono note – e, dall’altro, di operatori che si inseriscono in modo abusivo lungo la catena fino a individuare una porta di accesso ai sistemi informatici del titolare deputati all’attivazione delle offerte e dei servizi, attraverso la quale tali figure veicolano i risultati delle proprie attività.

Nella prospettiva del garante, dunque, la mancanza di un modello organizzativo per il controllo e la gestione della filiera dei trattamenti è la causa del fenomeno della formazione di un ‘sottobosco’ di attività svolte da soggetti che, sfruttando questa falla organizzativa, generano un allarme sociale dovuto a una diffusa perdita di riservatezza che in alcuni casi potrebbe anche costituire oggetto di attenzione da parte della criminalità. Nel caso Vodafone del 12 novembre 2020 il Garante per la protezione dei dati personali ha contestato alla società di telecomunicazioni di non aver implementato un sistema di controllo della filiera fin dal primo contatto dell’interessato idoneo a escludere che da chiamate promozionali illecite (effettuate sulla base di un utilizzo illecito di dati di contatto) possano seguire attivazioni di servizi o sottoscrizioni di contratti che implicano trattamenti su dati inutilizzabili ai sensi dell’art. 2-decies, d.lgs. 196/2003.

 

Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!

 

Giovanni Crea

Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.
Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” 
presso Master Universitari e Corsi specialistici.