ATM e trattamento dati personali: tanta sciatteria e impenetrabile ottusità.
Questo articolo fa riferimento alla pagina del sito ATM dedicata all'iscrizione degli utenti per effettuare attività online, acquisto di abbonamenti, richiesta della tessera su cui caricarli, ecc. È un passaggio obbligatorio per ogni studente milanese che debba utilizzare i mezzi pubblici.
La sua versione attuale è storicizzata qui.
Quanti saranno i genitore di figli in eta scolare, i ragazzi e le ragazze che studiano e vivono a Milano, quanti i lavoratore che si spostano con i mezzi pubblici? Quante persone avranno dovuto registrarsi sul sito dell'ATM?
A spanne, direi milioni e sono milioni di persone i cui dati sono stati ferocemente maltrattati da ATM.
Il sito ha delle criticità indegne del peggiore dei DPO. Voglio sperare che sia talmente mal pagato da non poter dedicare più di un paio d'ore all'anno di consulenza all'azienda municipale del trasposti milanese. L'alternativa è che il DPO abbia visto e segnalato le non conformità ma che l'azienda lo abbia serenamente ignorato. Capita anche questo.
Comunque sia, il sito è li, continua a raccogliere e trattare dati di persone in aperta violazione del GDPR.
Non sto parlando di qualche oscuro sofisma o di una norma esoterica ma di adempimenti di base della protezione dei dati personali: l'abc della privacy.
Purtroppo sul sito sono capitato anch'io, non per caso ma per necessità. Si, sono una delle milioni di persone che, di fatto, devono iscriversi e registrarsi. Anzi, peggio, lo devo fare per poter iscrivere mia figlia, quindi le persone che rappresento sono almeno due... oltre a tutte quelle che hanno dovuto fare lo stesso percorso e hanno incontrato la stessa pagina del portale.
Dopo l'iscrizione ho deciso di aiutare l'ATM e ho dedicato il mio tempo a preparare una breve segnalazione, documentando le violazioni e dando indicazioni sintetiche su come procedere. Lo faccio spesso, quando vedo errori gravi che possono riguardare molte persone, cerco di migliorare il mondo, pro bono. So bene che nella maggior parte dei casi, mi brucio ogni possibilità di lavoro con l'azienda che cerco di supportare perché le mie segnalazioni generano qualche imbarazzo e, a volte, saltano delle teste.
Non ho voluto entrare troppo nello specifico perché c'è un collega DPO che dovrà occuparsene e potrebbe avere un suo avviso, differente dal mio, ma sicuramente converrà sul fatto che le mie segnalazioni siano reali, gravi e correggere al più presto.
Ecco, dunque, il testo della mia segnalazione:
Spett.le ATMiscrivendo mia figlia al sito, per poter acquistare un abbonamento, mi sono imbattuto in errori piuttosto grossolani relativi all'informativa e, soprattutto, relativi alle caselle di acquisizione del consenso.Segnalo in sintesi:1) al punto 2 dell'informativa sono unite due finalità eterogenee, una richiede il consenso, l'altra no perchè ha una differente base di legittimazione."La finalità del trattamento è l’iscrizione al sito e/o all’app con l'invio della newsletter relativa ad eventi, iniziative, servizi, attività e convenzioni del Gruppo ATM."2) Nel modulo chiedete obbligatoriamente un consenso (grave errore) e chiedete di accettare l'informativa che, al contrario, è un vostro obbligo informativo verso l'utente e l'utente non ha assolutamente alcun onere di accettazione.Sono errori gravi che rischiano di tradursi in sanzioni da parte del Garante Privacy, vi consiglio di condividere urgentemente questi rilievi con il vostro DPOInfine consiglio una radicale revisione dell'informativa stessa che, con disarmante evidenza, non comprende gli elementi obbligatori previsti dal GDPR.Cordiali saluti
Egregio sig. Bernieri,
grazie per la cortese segnalazione (1).
Nello specifico, siamo a comunicarle come l’iscrizione a news istituzionali (2) non comporta l’acquisto di alcun prodotto/servizio (3) di società del Gruppo ATM.
Inoltre, ciascun iscritto potrà disiscriversi (4) dalla newsletter tramite il link (5) disponibile al termine della newsletter medesima alla voce “disiscriviti” o altrimenti esercitare il diritto di recesso tramite richiesta (6) ad ATM.
Cogliamo l’occasione per porgere i più cordiali saluti.
Staff Protezione e Trattamento Dati Personali (7)
...e il mio commento, punto per punto:
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.
Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.