{{feedLink}}

Se non ti hanno nominato responsabile del trattamento, fallo tu!

responsabile del trattamento Christian Bernieri - Tempo di lettura: 4 min.
(Aggiornato il )
AI generated image

In questo periodo, seguire i provvedimenti emessi dall'Autorità Garante è noioso tanto quanto guardare un canale della RAI: barboso, inutile, ripetitivo, privo di contenuti. Si leggono solo provvedimenti fotocopia, sanzioni a privati, macellai e baristi colpevoli di aver installato impianti di videosorveglianza senza un cazzo di cartello, o capaci di riprendere un tratto di strada... ma di questo parlerò in un'altra occasione.

Oggi, forse a causa di un rigurgito di dignità, o forse per sfuggire alla stagnante noia che attanaglia — come noi — anche gli operosi funzionari dell'Autorità, è comparso qualcosa di interessante.

FINALMENTE!

Onestamente stavo iniziando a disperare. 

 

Il provvedimento riguarda un'azienda di marketing alla quale è stato affidato il compito di reperire contatti (i famigerati lead) e proporre le offerte dell'azienda committente. Questa è la narrazione politicamente corretta, in realtà le è stato chiesto di fare il lavoro sporco: raccattare numeri e fracassare i cabbasisi alla gente chiamandola ad ogni ora, senza alcun consenso.  Come spesso accade nel mondo del marketing, specialmente quando non c'è di mezzo un DPO adeguato, arrivano le lamentele delle persone illecitamente contattate che, in alcuni casi, portano la questione all'attenzione del Garante Privacy. 

La vicenda ha assunto toni surreali con uno scambio di accuse reciproche tra il committente (Titolare del trattamento) e l'agenzia di marketing (Fornitore incaricato di eseguire le attività), culminato con il più surreale degli argomenti difensivi: "IO NON LO SAPEVO".

Uno scherzetto costato all'agenzia ben 10.000€ !

In ambito aziendale, non sapere cosa fare non è mai la premessa ideale per mandare avanti l'impresa e, nel mondo della data protection, diventa addirittura una violazione sanzionabile. Il Titolare del trattamento, in questo caso, ha omesso di nominare il proprio fornitore quale RESPONSABILE DEL TRATTAMENTO, pensando forse che il contratto commerciale fosse sufficiente. No, non lo è.

Il Garante sottolinea un principio chiaro e costante che dovrebbe essere riconsiderato da molti DPO, fin troppo abituati a pensare che le responsabilità gravino tutte sulle spalle del Titolare:

Conversion Media (l'agenzia di marketing ndr) in qualità di soggetto professionalmente operante nel settore, avrebbe potuto e dovuto prontamente segnalare a Depurazione Acqua (il titolare del trattamento) le evidenti irregolarità riguardanti il processo di raccolta dei dati e dei susseguenti trattamenti effettuati per finalità promozionali. Analogamente la Società avrebbe potuto e dovuto segnalare a Depurazione che la mancata investitura formale ai sensi dell’art. 28 del Regolamento, costituiva una violazione della normativa vigente in materia di protezione dei dati personali.

 

Il caso odierno ricorda per molti aspetti un'altra decisione (quella sulle Poste Polacche) che ho già commentato in passato.

 

Prima morale della favola: non importa che tu sia gazzella o leone, inizia a correre. E se tratti dati per un cliente così pigro da non mandarti la designazione a Responsabile del trattamento, fallo tu: provvedi, prepara una bozza e sottoponila. Non gli stai dando fastidio, lo stai salvando da una brutta violazione del GDPR... e stai salvando anche te stesso.

 

Seconda morale della favola: se hai ricevuto una nomina a Responsabile del trattamento, non ti irrigidire. Non cercare di fare di tutto per schivarla: in realtà ti serve, non è una complicazione ma un adempimento a cui sei tenuto pure tu. E che tu sia gazzella o leone, continua a correre! 

 

In questa fantastica giornata, meravigliosa e benficata di entusiasmanti novità, mi permetto di sognare ad occhi aperti: vedo un Garante, non necessariamente il nostro, che decide di aiutare la gente, di sconfiggere l'ipocrisia e inizia a ripristinare una parvenza di legalità sanzionando i grandi provider che impongono schemi ribaltati, qualificando gli utenti come titolari del trattamento e, parallelamente, privandoli di ogni potere decisionale sul trattamento stesso. "Sogna ragazzo sogna"... direbbe Vecchioni.

 

Qui il provvedimento: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10223637 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...