Il garante privacy rumeno infligge un’ammenda a un operatore di telecomunicazione per la raccolta e la conservazione di dati personali dei clienti senza il loro consenso espresso.
Il 28 marzo 2018 il garante privacy rumeno, il garante privacy romeno ha inflitto una sanzione ad un operatore di telefonia per la conservazione di copie di dati personali, quali documenti d’identità dei suoi clienti senza il loro consenso espresso. In particolare, i contratti di fornitura di servizi di telecomunicazione mobile stipulati dall’impresa tra l’1 e il 26 marzo 2018 contenevano una clausola la cui casella di spunta attestava che i clienti erano stati informati e avevano espresso il loro consenso circa la raccolta e la conservazione di una copia del loro documento di identità per finalità identificative. In contrasto con quanto richiesto dal GDPR, tuttavia, tale spunta era stata selezionata dal responsabile del trattamento prima della stipula del contratto.
Questo ha portato il Tribunale Superiore di Bucarest a rivolgersi alla Corte di Giustizia europea per ottenere una precisazione circa le condizioni in base alle quali il consenso di clienti al trattamento dei dati personali può essere considerato valido.
Nella sentenza, la CGUE ha stabilito che non basta acquisire un consenso affinché questo sia valido; è necessario, dimostrare che sia stato “espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano […]”. Ciò comporta che non può intendersi validamente prestato in caso di silenzio, inattività o caselle preselezionate, come avvenuto nel caso in esame. I clienti, infatti, non avevano selezionato autonomamente la casella sulla raccolta e la conservazione delle copie del loro documento d’identità che era stata, invece, preselezionata dal responsabile del trattamento. Questo, secondo la Corte di Giustizia europea, poteva essere indice di un consenso non propriamente informato ai sensi del GDPR e, dunque, non effettivamente consapevole. Secondo la CGUE, “non può, infatti, essere escluso che detto utente non abbia letto l’informazione che accompagna la casella preselezionata, o addirittura che lo stesso non abbia visto tale casella, prima di continuare la propria attività”.
Di conseguenza, veniva dimostrata l’incapacità dell’operatore di telefonia di assolvere esaustivamente l’onere della prova su questo punto, poiché il “mero fatto che tale casella sia stata spuntata non è idoneo a dimostrare una manifestazione positiva” del consenso dell’interessato.
Inoltre, la Corte di Giustizia europea rilevava un’ulteriore violazione del GDPR da parte dell’operatore nel momento in cui esigeva ai clienti che non avessero voluto acconsentire al trattamento dei propri dati personali di dichiararlo per iscritto. Secondo la CGUE, un tale requisito supplementare non solo incide indebitamente sulla libera scelta di opposizione al trattamento, ma contrasta con l’obbligo della società di dimostrare che i propri clienti abbiano prestato il consenso con un comportamento attivo. I clienti non possono, dunque, essere obbligati a manifestare il rifiuto attivamente.
Su di un simile argomento, è possibile leggere l’articolo “Sanzione privacy di € 1,24 milioni nei confronti di una compagnia di assicurazioni in Germania per attività di marketing senza consenso”.