Considerazioni sull’importanza di impostare corrette procedure per rendere effettivo l’esercizio dei diritti dell’interessato
Di recente l’Autorità Garante è tornata ad affrontare una tematica particolarmente “sentita” dalla collettività, ossia quella relativa al corretto svolgimento delle attività di trattamento dei dati personali per finalità marketing. In particolare, come emerge chiaramente dallo stesso titolo della newsletter dello scorso 18 maggio (“Telemarketing: sanzionata un’azienda per mancato riscontro a un cliente”), il provvedimento sopra richiamato affronta, tra le altre, anche la delicata tematica del soddisfacimento delle richieste di esercizio dei diritti dell’interessato da parte del titolare del trattamento.
In estrema sintesi la vicenda trae origine da un’attività istruttoria avviata a seguito di un reclamo proposto da un interessato. Quest’ultimo, essendo stato contattato telefonicamente da una società nell’ambito di un’attività di telemarketing, aveva contestato l’omesso riscontro alle proprie legittime richieste di esercizio dei diritti riconosciuti dal GDPR (in particolare l’art. 15, 17 e 21).
Il Garante preso atto di queste circostanze, ha adottato dei provvedimenti prescrittivi nei confronti della suddetta società irrogando tra l’altro una sanzione amministrativa piuttosto ragguardevole se parametrata a quella specifica realtà aziendale (si trattava di una S.r.l.s.).
La vicenda, pur prestandosi alla disamina di diverse delicate tematiche, permette di svolgere alcune considerazioni su di un argomento che dovrebbe essere ben chiaro soprattutto a quelle imprese che eseguono un trattamento di dati personali nel settore del telemarketing.
Spesso infatti non si presta la dovuta attenzione a progettare e sviluppare delle idonee misure che permettano all’interessato di ricevere tutte quelle informazioni e comunicazioni che, oltre che ad essere previste dalla normativa, svolgono un ruolo fondamentale nel permettergli l’effettiva applicazione del principio di autodeterminazione informativa.
È forse superfluo ricordare che il titolare del trattamento non ha solo l’obbligo di informare l’interessato nella fase prodromica all’acquisizione dei dati personali (si pensi all’art. 13 e 14 del GDPR) ma deve anche fornire, per tutta la durata del trattamento, le comunicazioni che vengono previste dagli articoli artt. 15 -22 e 34 del GDPR. Solo attraverso questo “dialogo” tra le parti sarà possibile rispettare quei principi di trasparenza e correttezza che devono necessariamente guidare ogni attività di trattamento dei dati personali.
Purtroppo spesso quest’ultimo aspetto viene sottovalutato e ci si viene ad imbattere in delle realtà aziendali in cui ci si preoccupa solo di predisporre delle informative che, anche se formalmente accettabili, all’atto pratico si dimostrano deficitarie qualora, ad esempio, vengano poste “sotto esame” da una “semplice” richiesta di accesso ai dati ai sensi dell’art. 15 del GDPR.
Con questo non si vuol certo dire che l’informativa non sia un adempimento di fondamentale importanza. Tutt’altro. Quello che preme in questa sede evidenziare è che una mera “dichiarazione d’intenti” resa all’interessato, per quanto formalmente rispondente ai trattamenti eseguiti dall’azienda, rischia di essere non solo un “contenitore vuoto” ma si pone in contrasto con i principi di correttezza e trasparenza sopra richiamati.
In altri termini ha poco senso indicare all’interessato che gli vengono riconosciuti tutta una serie di diritti quando poi, di fatto, non viene data la possibilità di esercitarli.
La cosa che desta preoccupazione è che capita piuttosto frequentemente di imbattersi in tali situazioni.
Sebbene le cause che le possono determinare siano le più svariate, ci si rende conto che nella maggior parte dei casi vi sono dei “banali” difetti di tipo organizzativi su cui non vi si è prestata la dovuta attenzione. Manca cioè un atteggiamento proattivo da parte della direzione aziendale, un atteggiamento cioè volto a progettare ed a rendere esecutive delle congrue procedure che permettano di agevolare l’esercizio dei diritti dell’interessato.
Pensiamo ad esempio ad una richiesta di accesso ai dati pervenuta a mezzo PEC, come nel caso del provvedimento sanzionatorio di cui si poco sopra.
Le ragioni di un mancato riscontro potrebbero individuarsi in una scarsa consapevolezza della materia. Se il personale non è adeguatamente formato il rischio è che non si comprenda l’importanza di una simile comunicazione. Ciò con delle conseguenze indubbiamente pericolose che possono andare dalla cancellazione del messaggio ad una risposta del tutto inadeguata.
La direzione aziendale si dovrà porre dunque nell’ottica di rendere edotte le persone che trattano i dati personali (dipendenti, collaboratori etc) programmando dei corsi di formazione e di aggiornamento sul tema. Ma questo unico adempimento non basta perché tali corsi devono per prima cosa adattarsi alla singola realtà aziendale (diversificando le varie figure che operano nell’ambito del trattamento dei dati) ma anche permettere la possibilità di “testare” il livello di assimilazione dei concetti esposti.
Ed ancora. A poca cosa servirà l’essere formati se non è stata definita una procedura che individui con precisione i compiti e le responsabilità delle singole persone. Qual è il soggetto od il reparto che si occupa di ricevere simili richieste? Chi provvederà ad esaminare ed acquisire le informazioni da comunicare all’interessato? Chi si dovrà di rispondere all’interessato?
Tutte queste domande dovrebbe avere una risposta immediata e chiara nei soggetti che in azienda trattano i dati personali.
In assenza di simili risposte ciò potrebbe avere un impatto negativo sia sul contenuto della comunicazione resa ma anche sulle tempistiche di risposta.
In quest’ottica non è da sottovalutare il fatto la problematica sopra evidenziata potrebbe essere “amplificata” da alcuni fattori contingenti.
Si ricorda infatti che, sulla base della normativa vigente, l’interessato non è tenuto a presentare le proprie richieste secondo i canali espressamente indicati dal Titolare del trattamento.
La predisposizione dunque, ad esempio, da parte dell’azienda di una PEC dedicata all’esercizio dei diritti non preclude all’interessato la possibilità di inviare richieste all’indirizzo dell’amministrazione o del commerciale (od altro). Questo si traduce operativamente nell’esigenza di una cooperazione tra i vari reparti aziendali al fine di far pervenire, in maniera tempestiva, tale informazione al soggetto o al reparto che si occupa della disamina della questione.
Non si deve sottovalutare neppure il fattore tempo.
All’art.12 del Regolamento si legge a chiare lettere che il Titolare deve dare un riscontro “senza ingiustificato ritardo”. Questo significa che il termine di 30 giorni (indicato nel proseguo della norma) è stato posto come limite massimo per questi casi che richiedono indagini più approfondite in relazione a vari fattori (tipologia di dati trattati, strumenti del trattamento, finalità del trattamento etc.). Per fare un esempio, se il titolare del trattamento avesse già a disposizione tutti i dati da comunicare all’interessato dopo, ad esempio, 4 giorni dalla richiesta ed attendesse il 30 giorno starebbe violando, a parere dello scrivente, l’art. 12 del GDPR.
Questi sono solo alcune delle problematiche che possono emergere e che possono avere un impatto rilevante nella progettazione delle procedure di cui si è parlato. In questo senso possiamo pensare ai requisiti di forma che devono avere le comunicazioni provenienti dal Titolare del trattamento. Il primo paragrafo dell’art. 12 del GDPR utilizza termini come concisione, trasparenza, intelligibilità e accessibilità, semplicità e chiarezza nel linguaggio. Ciascuna di queste parole è densa di significato ed è importante che venga soppesata in maniera adeguata.
Alla luce delle considerazioni sopra espresse si può concludere affermando che un approccio corretto alla tematica del trattamento dei dati personali non può essere analizzato in maniera superficiale ritenendo che alcuni “documenti di facciata” possano essere utili per garantirci la conformità alla normativa. Quello che conta veramente è, invece, l’aspetto sostanziale che si manifesta soprattutto nella progettazione e predisposizione di procedure di gestione dei dati affidabili, procedure che tengano in considerazione delle peculiarità di quella specifica realtà aziendale.
La tematica del trattamento dei dati personali è un qualcosa che deve affondare le proprie radici nella mentalità e nella organizzazione operativa dell’azienda. Ma questo è, ahimè, ormai una raccomandazione che si continua a ripete da troppo tempo.
Roberto Scarchini