La revoca del consenso privacy investe l’intera catena di trattamento

Con la sentenza del 27 ottobre 2022, la Corte di giustizia europea ha stabilito che la revoca del consenso privacy, così come il suo conferimento, vale per tutta la filiera di trattamento, introducendo notevoli obblighi a carico delle parti che raccolgono e ricevono i dati personali.

La vicenda che ha dato vita alla controversia sulla revoca del consenso privacy

 Nella recente causa C-129/21, un utente si era rivolto alla società di telecomunicazioni belga Proximus (un fornitore di servizi di telecomunicazioni che compila e gestisce la consultazione di elenchi telefonici, di seguito “Proximus”), manifestando la volontà di essere cancellato dagli elenchi pubblici, revocando quindi il proprio consenso. I dati dell’utente erano stati inizialmente forniti da parte del proprio operatore telefonico a Proximus, la quale li aveva inseriti negli elenchi telefonici pubblici, offrendone al contempo la possibilità di consultazione. Alla richiesta di cancellazione dei propri dati di contatto, la Proximus aveva inizialmente provveduto alla modifica dello status dell’utente nel suo sistema informatico, precludendone la visibilità al pubblico. Ciononostante, la società di telecomunicazioni aveva ricevuto un aggiornamento dei dati trattati dall’operatore telefonico dell’utente, nonostante gli stessi non dovessero essere più consultabili pubblicamente.

Di conseguenza, l’utente si è rivolto al garante privacy belga, lamentando come, nonostante egli avesse esplicitato la volontà di ritirare i propri dati dagli elenchi in cui erano inseriti, la revoca del consenso non fosse stata comunicata agli altri soggetti coinvolti nella catena del trattamento. De facto, i dati di contatto erano ancora visibili negli elenchi telefonici e consultabili pubblicamente.

Revoca del consenso privacy: i principi esplicitati dalla Corte di Giustizia europea

La decisione piuttosto articolata della CGUE è riassumibile in alcuni concetti principali, sottesi dalla ratio di voler imporre una condotta responsabile alle società di telecomunicazioni. Nella information society in cui viviamo, dove i dati personali sono portatori di valore monetizzabile, è essenziale imporre degli obblighi di condotta per queste imprese, richiedendo l’adozione di procedure che trasmettano capillarmente la revoca del consenso al trattamento dei dati personali a tutti gli altri titolari a cui i dati sono stati forniti o da cui sono stati ricevuti. In altre parole, con un unico “no” deve essere possibile per l’utente bloccare l’intero flusso di trattamento dei propri dati.

Secondo la Corte di giustizia europea, gli interessati hanno il diritto di stabilire se e quali dati possono essere pubblicati negli elenchi telefonici ed è compito del soggetto a cui viene notificata la volontà di rettificare, verificare o ritirare tali dati di provvedere a che ciò avvenga lungo tutta la catena del trattamento. La decisione della CGUE ha voluto dunque mettere un freno alla perdita di controllo dei dati degli utenti una volta immessi nella rete, ribadendo che diritto alla privacy significa anche poter decidere dove ed in che modo vengano diffusi i propri dati.

Con questa recente pronuncia, la CGUE ha chiarito dunque i seguenti punti:

  • per restare valida, la catena del trattamento necessita di un consenso a monte per poter inserire i dati di un contatto all’interno degli elenchi telefonici e nei servizi di consultazione degli elenchi telefonici accessibili al pubblico;
  • ai sensi dell’articolo 17 del GDPR, un abbonato può comunicare alle società di telecomunicazioni la volontà di revocare il consenso al trattamento dei propri dati, e la violazione di questo diritto alla cancellazione potrebbe comportare l’irrogazione di una sanzione fino a 20 milioni di euro; e
  • a livello procedurale, nel momento in cui un operatore di telefonia riceve una richiesta di cancellazione, dovrà riferire prontamente la richiesta agli soggetti della “catena” del trattamento, in conformità agli articoli 5 e 24 del GDPR. Secondo l’articolo 17 poi, l’operatore dovrà fare il possibile per comunicare l’avvenuta cancellazione ai gestori dei vari motori di ricerca online che trattano i dati in questione, pena l’incorrere in sanzioni multimilionarie.

Venuto meno il consenso, qualsiasi ulteriore trattamento che si fonda sullo stesso da parte dell’operatore o di altri fornitori di elenchi telefonici è illecito. In sostanza, il diritto alla revoca del consenso nella società dell’informazione ne esce rafforzato, in particolare con riferimento ai dati messi a disposizione dai gestori di motori di ricerca che trattano dati pubblicati su internet.

La posizione della Corte di giustizia europea si allinea alla ratio con cui ha fatto ingresso in Italia, nel luglio del 2022, il nuovo registro delle opposizioni (RPO). Gli utenti devono poter esprimere il proprio dissenso ad essere oggetto di pratiche di telemarketing aggressive, manifestato attraverso l’iscrizione del proprio nominativo in questi registri Anche in questo caso, il “no” così manifestato vale per interrompere il flusso di trattamenti delle società di telecomunicazioni, basato su un unico iniziale consenso.

La decisione potrebbe avere una portata più ampia applicabile a qualsiasi azienda

La CGUE ha confermato il principio per cui, al venir meno del consenso alla base della pubblicazione e scambio dei propri dati di contatto da parte di società di telecomunicazioni a cui erano stati forniti, l’intera catena di trattamenti deve interrompersi. Quindi la Corte di giustizia europea ribadisce la necessità di adottare le misure tecniche e organizzative adeguate a informare gli altri titolari del trattamento coinvolti dalla richiesta di cancellazione: pertanto, il soggetto a cui è stata indirizzata la richiesta dell’interessato dovrà fare in modo di fornire i dati oggetto della revoca del consenso anche agli altri titolari della “catena” di trattamento.

Il principio non si applica solo al settore delle telecomunicazioni. Questa interpretazione della CGEU potrebbe essere letta nel senso che ad esempio qualora un interessato revochi il proprio consenso a comunicazioni di marketing da parte di terzi, il soggetto che ha inizialmente raccolto detto consenso dovrebbe comunicare la revoca a tutti i terzi a cui ha comunicato i dati, anche se agiscono come titolari autonomi del trattamento.

Si tratta quindi una decisione di rilievo perché potrebbe imporre a tutte le aziende di adottare misure tecniche e organizzative per comunicare la revoca del consenso.

Su un simile argomento può essere interessante l’articolo “Al via da luglio il nuovo Registro Pubblico delle Opposizioni (RPO) (dirittoaldigitale.com).”