GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/733/01.jpg

Dettaglio news
Revoca del consenso: basta un solo NO per revocarlo a tutti


mercoledì 2 novembre 2022
di Dott. Alessandro Mammoli



Revoca del consenso: una sentenza della corte di Giustizia UE stabilisce che basta un solo NO per revocarlo a tutti gli altri titolari del trattamento.

 

L'antefatto: la causa C129/21

Revoca del consenso: la sentenza della Corte UE relativa alla causa C129/21 introduce una grande novità. Il caso concreto riguarda il fornitore di servizi di telecomunicazioni belga Proximus. Proximus, tra le varie cose, compila elenchi telefonici contenenti dati personali quali nome e cognome, indirizzo e numero di telefono degli abbonati ai servizi telefonici del paese.

Un utente ha richiesto la cancellazione dei propri dati da tali elenchi pubblici, ma l'operatore ha di nuovo rinviato i dati dell'utente non ritenuti riservati. In pratica ha reinserito negli elenchi i dati dell'utente che aveva espresso la volontà di non comparirvi più. L'utente ha proceduto quindi a presentare reclamo al Garante belga che ha optato per sanzionare Proximus per 20.000 euro e ha imposto misure correttive per evitare il ripetersi di casi simili. Proximus ha impugnato il caso e ha fatto ricorso alla Corte d'appello di Bruxelles. L'azienda ha ritenuto che

 “non era necessario il consenso dell’abbonato per la pubblicazione dei suoi dati personali negli elenchi telefonici, ma che gli abbonati stessi devono chiedere di non comparire in tali elenchi, secondo un cosiddetto sistema di opt-out”

come si legge nel teso del provvedimento.

 

Revoca del consenso: la sentenza della Corte europea

La Corte europea, nella sentenza, ha ribadito che

"per la pubblicazione in un elenco telefonico pubblico dei dati personali di un abbonato è necessario il consenso dell’abbonato debitamente informato e che il consenso si estende a qualsiasi trattamento ulteriore dei dati da parte di imprese terze attive nel mercato dei servizi di consultazione degli elenchi telefonici accessibili al pubblico e degli elenchi telefonici, sempre che tali trattamenti perseguano lo stesso scopo”.

Il consenso deve essere libero, specifico, informato e inequivocabile, espresso tramite azione positiva (non vale il silenzio assenso): questo perchè il consenso deve rendere manifesta la volontò di accettare il trattamento dei dati personali. Di conseguenza, nel caso specifico, Proximus deve adottare tutte le msiure tecnico organizzative necessarie per informare anche le terze parti, ovvero gli altri fornitori di elenchi telefonici, della revoca del consenso da parte dell'interessato. In breve, Proximus avrebbe dovuto informare gli altri fornitori di elenchi telefonici ai quali ha fornito i dati della revoca del consenso da parte dell'interessato. Gli operatori terzi devono quindi riaggiornare la propria lista di dati personali.

 

Revoca del consenso: i tre principi cardine della sentenza

Insomma la decisione della Corte stabilisce tre principi: 

  • per pubblicare i dati di un abbonato negli elenchi telefonici pubblici o nei servizi di consultazione degli stessi occorre il consenso esplicito. La Corte ha aggiunto, qui sta la novità, il fatto che il consenso puà essere dato ad un operatore per tutti;
  • la richiesta dell'abbonato di essere eliminato dagli elenchi afferisce al suo dirito di cancellazione, come previsto dall'art 17 GDPR. Se il responsabile del trattamento non da seguito alla richiesta si espone a sanzione;
  • il provider di telecomunicazioni deve dare notizia della revoca del consenso a tutti gli altri fornitori di elenchi con cui ha rapporti. Tale obbligo è desunto dagli art. 5 e 24 del GDPR: la violazione comporta sanzione. In questo obbligo di cancellazione rientra, stando alla decisione della Corte, anche il dovere del provider di attivarsi per ottenere la cancellazione dei dati anche ai gestori dei motori di ricerca.

 

Consenso e diritto alla riservatezza: quali novità?

La sentenza introduce quindi alcune novità, anzi sarebbe più corretto dire alcuni chiarimenti. Intanto fa chiarezza su come è suddivisa la responsabilità in merito al trattamento ei dati tra gli operatori. La sentenza è definitiva e non prevede ulteriore appello, dato che la Corte di Giustizia Europea è organo di ultima istanza. Ma la Corte ha anche il merito di aver chiarito che una volta che l'utente ha revocato il proprio consenso alla pubblicazione dei dati personali sugli elenchi può fare ricorso al Garante nazionale e avere la certezza di vedere accolte le sue richieste.

D'altronde era ormai irrimandabile la necessità di risolvere il prolema del continuo vagare di dati personali e sensibili da server a server, da servizi online ai motori di ricerca: ora è tutto chiaro, chi mette in giro dati se ne assume anche la responsabilità. Di conseguenza, per l'utente basta esprimere un solo NO, una sola revoca del consenso perchè essa valga per tutti gli ulteriori trattamenti dei propri dati effettuati da terzi.  

Per saperne di più > Telemarketing: novità normative per il Registro delle Opposizioni

 

Revoca del consenso: misure tecnico organizzative

Ora, se il principio giuridico è stato solo ribadito, il punto ulteriormente interessante è che affinché tale principio sia rispettato, i titolari del trattamento devono adeguarsi a livello tecnico ed organizzativo. Perché una revoca del consenso divenga effettiva e sia rispettata occorre che l'azienda abbia una governance dei dati chiara e che il titolare sia in grado di mantenere il pieno controllo sui dati che tratta, anche verso terzi indipendentemente dal fatto che questi terzi siano in grado (o abbiano la volontà) di dare seguito a tali richieste. 

Il titolare dovrà quindi strutturare il flusso dei dati verso terzi tenendo di conto anche l'obbligo di informarli di eventuali recovche ma avendo anche il dovere di vigilare che i terzi si adeguino. L'adeguamento non si esaurisce con la comunicazione della revoca del consenso, ma deve prevedere anche l'aggiornamento delle liste di dati trasmessi a terzi altrimenti la revoca del consenso viene violata nei fatti.

Qui la Corte ha sottolineato che

“l’interessato per revocare il consenso può rivolgersi a uno qualunque dei titolari coinvolti e sarà onere del contattato dover ripercorrere la catena di flusso dei dati per avvisare gli altri titolari. Infine, lo stesso titolare deve procedere anche al delisting, cioè a far richiesta di de-indicizzazione verso i motori di ricerca".

Si stiamo parlando proprio di lui, il diritto all'oblio.

La sentenza completa è disponibile qui




CONDIVIDI QUESTA PAGINA!