Nel contesto del Regolamento UE n. 679/2016 in materia di trattamento dei dati personali, gli attori principali sono titolari e responsabili del trattamento, laddove i primi definiscono le finalità e le modalità del trattamento, i secondi, trattando dati per conto dei titolari, devono rispettare le istruzioni loro impartite dagli stessi e adeguarsi alle disposizioni che la disciplina europea ha specificamente previsto per essi.
Tuttavia, da un punto di vista pratico, la situazione non appare sempre così lineare e alle volte individuare i ruoli non è così semplice; sinora le aziende, collaborando a vario titolo, hanno condiviso, o trasmesso ad altre, senza molte preoccupazioni, i dati personali dei clienti (sebbene, in verità, la questione era già stata regolata dalla direttiva n. 45/96/CE e a livello interno dal Codice Privacy). Con l’entrata in vigore del Regolamento n. 679 che impone regole ferree, i trasferimenti di dati personali tra organizzazioni devono essere regolati in maniera più chiara e precisa; gli scambi di dati personali non possono avvenire, infatti, senza una base giuridica che renda lecita la condivisione dei dati stessi e legittimi il trattamento da parte dell’azienda partner che non avrebbe alcun titolo a trattare quei dati se non sulla base di un accordo di collaborazione con l’azienda che li ha raccolti e legittimamente li tratta perché sono dati appartenenti nella maggior parte dei casi a suoi clienti o anche dipendenti.
Il partner commerciale, comunque, non può rientrare nella qualifica del responsabile del trattamento; se è vero, infatti, che tratta i dati personali raccolti da un altro titolare, non lo fa per conto di questi, ovvero perché è un suo fornitore e dunque gli eroga un servizio, ma lo fa soprattutto per ricevere un vantaggio proprio. In tali casi, un titolare del trattamento che intende condividere i dati personali di suoi clienti con un partner commerciale perché questi invii ai clienti del titolare proprie comunicazioni promozionali, proprie iniziative o offerte, come deve comportarsi per non violare la disciplina in materia di trattamento dei dati personali?
In merito alla questione, la Commissione Nationale de l’Informatique et des libertes (CNIL), ossia l’Autorità Garante dei dati personali francese ha pubblicato un’utile guida a supporto delle aziende, individuando sinteticamente le condizioni che deve soddisfare per rispettare il Regolamento n. 679 la trasmissione dei dati personali da parte di un titolare del trattamento verso un partner commerciale o altre terze parti affinchè queste inviino ai clienti del titolare email o SMS per proprie finalità commerciali, tenendo presente che una delle prime regole da seguire è quella di essere trasparenti e chiari nelle informazioni e consentire alle persone di mantenere il controllo sui propri dati personali.
Innanzitutto, deve essere richiesto e ottenuto il consenso espresso da parte del cliente (interessato) cui i dati da trasmettere al partner commerciale si riferiscono.
L’interessato poi deve essere chiaramente informato nel modulo mediante cui viene eseguita la raccolta dei dati (o nell’informativa) che i suoi dati verranno trasferiti a terzi ed essere messo nelle condizioni di identificare il/i soggetto/i cui il titolare intende trasmettere i dati personali che lo riguardano.
In particolare, è opportuno:
- elencare i partner in una lista esaustiva e regolarmente aggiornata messa a disposizione dell’interessato in fase di raccolta del dato e di espressione del consenso (se si tratta di uno o due partner è possibile inserirla a corredo della dichiarazione con cui si chiede il consenso quindi nel modulo di raccolta del dato; se la lista appare molto lunga, è preferibile inserirla nella privacy policy e utilizzare un link nel modulo di raccolta del dato che rimanda alla pagina web del sito dove essa è stata inserita;
- predisporre un collegamento anche alla privacy policy/informativa privacy del/i partner.
L’interessato deve essere sempre informato se l’elenco dei partner cambia o se alla lista inizialmente resa nota si aggiungono altri partner commerciali. Ad esempio, queste informazioni possono essere rese disponibili su due livelli per monitorare più da vicino il ciclo di vita dei dati e consentire agli interessati di esercitare i propri diritti in modo più efficace:
- l’aggiornamento alla lista o la modifica può essere comunicato con un messaggio di posta elettronica inviato dalla società che ha avviato la raccolta dei dati;
- ogni nuovo partner che riceve i dati dal titolare, deve rendere una propria informativa quando comunica per la prima volta con la persona i cui dati sono trattati, al più tardi entro un mese dal ricevimento del dato.
L’informativa, in particolare, deve precisare il nome della società che ha trasmesso i dati al partner, i diritti dell'interessato e in particolare il suo diritto di opporsi al trattamento dei dati per finalità commerciale da parte del nuovo partner.
Occorre tenere presente che il consenso reso all’organizzazione che ha comunicato i dati non è sufficiente per nuovi e diversi trattamenti di dati compiuti dal nuovo partner che li ha ricevuti che, pertanto, dovrà chiedere ed ottenere uno specifico consenso per realizzare le proprie finalità.
I partner non possono, a loro volta, trasmettere i dati ricevuti a propri partner, senza raccogliere nuovamente il consenso informato delle persone, in particolare per quanto riguarda l’identità delle nuove organizzazioni ossia i destinatari della trasmissione dei dati (in particolare gli indirizzi e-mail). In altri termini, il consenso originario non può essere trasferito automaticamente. I partner che a loro volta inviano comunicazioni agli interessati devono indicare, nella loro prima comunicazione, come questi possono esercitare i loro diritti, puntualizzando il diritto di opposizione, nonché la fonte da cui provengono i dati trattati.
Come esprimere il diritto di opposizione?
L’interessato può esprimere il diritto di opposizione direttamente al nuovo partner; oppure rivolgersi alla società che originariamente ha effettuato la raccolta dei dati che dovrà comunicare l’esercizio del diritto chiaramente ai suoi partner destinatari dei dati. L’informativa del titolare originario dovrà riportare anche tale informazione, chiarendo a chi potrà rivolgersi l’interessato per esercitare tale diritto di opposizione (titolare o partner); la medesima informazione dovrà essere contenuta nell’informativa resa dal/i partner.