Il Regolamento n. 679/2016 all’art. 21 prevede che l’interessato possa opporsi al trattamento dei suoi dati personali in qualsiasi momento, per motivi connessi alla sua situazione personale, quando i dati personali sono trattati per il perseguimento del legittimo interesse del titolare del trattamento o di terzi e anche quando il trattamento dei dati è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, compresa la profilazione.
In tali circostanze, sempre secondo quanto stabilito dal medesimo articolo 21, il titolare del trattamento è tenuto ad astenersi dal trattare ulteriormente i dati personali a meno che non dimostri che esistano motivi legittimi cogenti per procedere al trattamento, i quali devono prevalere sugli interessi, sui diritti e sulle libertà dell'interessato oppure quando continuare a trattare i dati sia necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Se poi la finalità del trattamento dei dati è quella di marketing diretto (ad esempio i dati vengono trattati per l’invio di offerte e promozioni), compresa la profilazione connessa a tale finalità, l’interessato può opporsi al trattamento in qualsiasi momento, per libera scelta e quindi anche se non sussistono motivi particolari per farlo.
Se l’interessato si oppone al trattamento, il titolare deve fare in modo che i dati non siano più oggetto di trattamento con riferimento alla finalità specifica in ordine alla quale l’interessato abbia esercitato il proprio diritto di opposizione.
All’interessato deve essere comunicata espressamente, quando viene resa l’informativa e secondo i modi previsti dall’art. 21 punto 4 del Regolamento, la possibilità di esercitare il diritto di opposizione, fornendo chiare istruzioni su come procedere.
L’iter, dunque, dovrebbe ormai essere chiaro a tutti gli operatori che trattano dati personali, eppure non sono rare situazioni in cui interessati che abbiano esercitato opportunamente il diritto di opposizione al trattamento dei loro dati personali effettuato, ad esempio per finalità di marketing diretto, vengano ancora contattati dalle aziende che si ritrovano poi a subire segnalazioni o reclami al Garante per non aver rispettato l’esercizio di tale diritto e quindi per non aver dato riscontro alle richieste degli utenti e non aver bloccato i trattamenti in corso.
Recentemente, infatti, il Garante per la protezione dei dati personali ha sanzionato tre call center (dopo aver sanzionato anche le compagnie telefoniche) per aver continuato a disturbare, con offerte commerciali indesiderate, utenti che pensavano di aver adeguatamente esercitato il loro diritto di opposizione.
Oltre alla sanzione, nel caso di specie, l’Autorità ha ribadito che le telefonate di marketing vanno effettuate solo dietro consenso degli interessati e che i titolari devono adottare opportune misure organizzative e tecniche per rispettare la volontà degli utenti, rispettando altresì il principio di privacy by design, ossia prevedere un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati stabiliti dal Regolamento Ue (Gdpr).
In un'altra recente questione (Ordinanza ingiunzione del Garante del 25 marzo 2021) giunta all'attenzione del Garante, l'Autorità ha ammonito una società per non aver dato riscontro alle richieste di opposizione al trattamento da parte di utenti che non volevano più ricevere comunicazioni di marketing, ingiungendole di adottare opportune misure correttive.
In questo ultimo caso, la società si era difesa sostenendo che il mancato riscontro alle richieste degli utenti era causato da una casella pec rimasta incontrollata da diversi mesi a causa di problemi organizzativi e che comunque gli utenti avrebbero dovuto esercitare i loro diritti avvalendosi del modulo presente al link “contattaci”, come indicato nell’informativa privacy pubblicata nel sito web.
Spiegazioni che il Garante ha ritenuto invalide. Esaminando le email ricevute dai reclamanti, il Garante ha infatti appurato che la sola modalità di individuare in maniera certa un canale di comunicazione era l’indirizzo pec, ricavabile dai registri pubblici e che peraltro il tasto unsubscribe inserito nelle newsletter era non funzionante.
Queste vicende aiutano a comprendere come non sia sufficiente prevedere misure di natura tecnica quando poi quelle di natura organizzativa che dovrebbero presidiare a quelle tecniche, risultano invalide.
E allora come prepararsi affinchè il diritto di opposizione esercitato da un utente sia effettivamente garantito?
Innanzitutto, è necessario formare adeguatamente e sensibilizzare coloro i quali dovranno occuparsi di ricevere le istanze per l’esercizio del diritto di opposizione e che quindi dovranno rispondere adeguatamente all’utente e attivare l’iter di cancellazione o blocco del trattamento dei dati personali in questione (quest’ultima operazione va effettuata nel caso in cui i dati siano trattati anche per altre finalità di trattamento oltre a quella per cui l’utente esercita il diritto di opposizione).
Prevedere una policy interna che descriva nel dettaglio la procedura da adottare in tali circostanze e assegni i relativi compiti; la policy dovrebbe includere anche dei modelli di risposta da fornire all’utente e riportare i casi, con opportuni esempi, in cui si debba procedere a non accogliere la richiesta dell’utente perché infondata o eccessivamente onerosa; se la gestione è demandata ad un responsabile del trattamento, è opportuno prevedere penali nel caso in cui tale fornitore non proceda adeguatamente in merito ad una richiesta di opposizione al trattamento.
Nel caso in cui le richieste siano formulate verbalmente, occorre inoltre individuare una procedura di verbalizzazione.
Verificare poi che nell’informativa siano state fornite adeguate informazioni circa l’esercizio del diritto di opposizione e che le modalità indicate nell’informativa per esercitare tale diritto siano attive nel concreto, dunque che ad esempio la casella email indicata, il numero telefonico o il tasto unsubscribe, se si tratta di newsletter, siano funzionanti e presidiati correttamente.
Disporre di procedure che garantiscano che sia fornita risposta all’utente in maniera tempestiva e comunque entro un mese dalla richiesta.
Infine, prevedere metodi adeguati per cancellare o interrompere il trattamento dei dati affinchè l’esercizio del diritto di opposizione sia assicurato nel concreto.
Si tenga comunque conto del fatto che tali operazioni sono quelle basilari che vanno compiute, ogni situazione andrebbe analizzata nel concreto, verificando, nel contempo, il funzionamento dei sistemi informatici in uso e controllando che gli stessi risultino rispettosi anche del principio della privacy by design.