In questi elenchi telefonici è contenuto il nome, l’indirizzo e il numero di telefono degli abbonati dei diversi fornitori di servizi telefonici che sono accessibili al pubblico e Proximus fornisce appunto il servizio di comunicare ai vari operatori telefonici questi dati perché vengano utilizzati per fini commerciali, una ulteriore riprova, se ce ne fosse ancora davvero bisogno, del valore economico dei dati personali nell’economia moderna. Tutto ciò avviene a meno che gli interessati, cioè gli abbonati, non abbiano espresso la volontà di non comparire negli elenchi pubblici.
Indice
1. Il caso
La società Telenet, un operatore di servizi telefonici belga, trasmetteva dati di contatto dei suoi abbonati a vari fornitori di elenchi telefonici, tra cui figurava appunto la società Proximus.
A seguito di specifica richiesta di un interessato, che aveva esercitato il suo diritto a non far comparire i propri dati di contatto negli elenchi telefonici compilati da tutti i soggetti coinvolti nel trattamento, Proximus correttamente modificava la posizione dell’abbonato, in modo che i suoi dati di contatto non venissero resi pubblici.
Tuttavia, in un secondo tempo Proximus riceveva da Telenet un aggiornamento dei dati dello stesso, che non erano segnalati come riservati. Fidandosi di questa informazione, Proximus trattava i dati sottoponendoli a procedure di trattamento automatizzate, e l’abbonato che aveva negato il suo consenso si vedeva nuovamente comparire begli elenchi telefonici.
Esercitando per la seconda volta i propri diritti, l’interessato reiterava la richiesta a Proximus di non fare comparire i propri dati, ricevendo in risposta l’assicurazione che i dati erano stati eliminati dagli elenchi e che altresì la società aveva contattato Google affinché fossero eliminati i relativi link verso il sito Internet aziendale. Inoltre, Proximus informava l’interessato di aver trasmesso i suoi dati ad altri fornitori di elenchi telefonici, che tuttavia erano stati correttamente informati della richiesta di non comparire negli elenchi pubblici.
Potrebbero interessarti anche
- Telemarketing selvaggio: in arrivo il registro delle opposizioni per i cellulari, ma sarà davvero risolutivo?
- Garante privacy: niente telemarketing per chi è iscritto al Registro Pubblico delle Opposizioni
- Il Garante privacy sanziona la società Sky s.r.l. per “telemarketing selvaggio”
2. Il contenzioso
L’interessato, ritenendo violati i propri diritti ai sensi del Regolamento Europeo 679/2016 sul trattamento dei dati personali (GDPR) ed in particolare l’art. 17 relativo al diritto di cancellazione (o diritto all’oblio), presentava denuncia presso l’Autorità belga per la protezione dei dati personali, la quale imponeva a Proximus misure correttive e irrogava un’ammenda dell’importo di 20.000 euro per violazione di diverse disposizioni del GDPR.
Proximus impugnava detta pronuncia dinanzi alla Corte d’appello di Bruxelles, sostenendo:
- Che non sarebbe necessario il consenso preventivo dell’abbonato per la pubblicazione dei suoi dati personali negli elenchi telefonici;
- Che gli abbonati dovrebbero esercitare un successivo “opt-out” da tali elenchi;
- Che in mancanza di opt-out l’abbonato può comparire in tali elenchi.
Al contrario, l’Autorità Garante riteneva che il previo consenso fosse essenziale ai sensi del Regolamento affinché i fornitori di elenchi telefonici possano trattare e trasmettere i dati personali degli abbonati.
La Corte d’appello di Bruxelles sottoponeva la questione alla Corte di giustizia dell’Unione Europea.
Nella sua sentenza qui esaminata, la Corte ha confermato che per la pubblicazione in un elenco telefonico pubblico dei dati personali di un abbonato è necessario il consenso dell’abbonato.
Il consenso deve essere informato, ovvero prestato a seguito di un’informativa fornita ai sensi degli artt. 13 e 14 del Regolamento e si estende a qualsiasi trattamento ulteriore dei dati da parte di imprese terze attive nel mercato dei servizi di consultazione degli elenchi telefonici accessibili al pubblico e degli elenchi telefonici, sempre che tali trattamenti abbiano le medesime finalità e perseguano i medesimi scopi.
La Corte ha ribadito le caratteristiche del consenso, che deve consistere in una azione positiva inequivocabile, che non lasci dubbi circa l’accettazione (e la comprensione) da parte dell’interessato del trattamento dei suoi dati. Dunque, deve trattarsi di una manifestazione di volontà libera, specifica, informata e inequivocabile, nonché evidentemente revocabile in qualsiasi momento.
La Corte ha proseguito evidenziando che un consenso come quello sopra descritto non presuppone che, nel momento in cui esso è stato prestato, anche se validamente, venga emesso da un interessato a conoscenza di tutti i fornitori di elenchi telefonici successivi a cui i suoi dati personali verranno trasmessi e che si troveranno a trattare i suoi dati.
Pertanto, è necessario assicurare che un abbonato abbia la possibilità di fare eliminare i suoi dati (art. 17 GDPR) come estrinsecazione del suo diritto a essere dimenticato, o diritto all’oblio. Il principio che ne deriva è che l’interessato, per esercitare il proprio diritto, deve soltanto rivolgersi a uno dei soggetti che trattano i propri dati, essendo poi onere di quest’ultimo comunicare ai soggetti successivi la revoca di detto consenso.
Dunque spetta a ciascuno Titolare, nell’esercizio della propria accountability, porre in essere misure tecniche ed organizzative adeguate a garantire ed essere in grado di dimostrare di riuscire a gestire tutto l’iter di cancellazione e comunicazione ai successivi Titolari autonomi a cui i dati sono stati trasmessi.
Qualora, come nel caso in esame, diversi titolari del trattamento si basino sul consenso unico dell’interessato per trattare i dati personali di quest’ultimo, è sufficiente, infatti, perché la revoca del consenso sia valida, che egli si rivolga ad uno qualsiasi dei titolari del trattamento.
La portata di questa decisione potrebbe avere conseguenze davvero notevoli non solo per le aziende operanti nel settore del telemarketing, ma anche nella vita degli interessati. Nell’impossibilità di rintracciare tutti i consensi negli anni espressi, più o meno validamente, o carpiti con inganni più o meno evidenti, l’esercizio del diritto all’oblio ex art. 17 GDPR nei confronti dell’ultimo operatore che pone in essere un trattamento (magari quella telefonata molesta proprio durante l’ora di cena) potrebbe (almeno da un punto di vista squisitamente giuridico) mettere finalmente la parola fine ai trattamenti illegittimi da parte di tutti.
Questa pronuncia, in combinato disposto con il registro delle opposizioni, da luglio attivo anche per i numeri cellulari, ad oggi costituiscono le nostre migliori armi per opporci al telemarketing selvaggio, in alternativa al sempre valido metodo di salutare, possibilmente in maniera educata, riagganciare e poi bloccare il numero di telefono.
Volume consigliato
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | 2019 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento