Marco Trombadore – Consulente Privacy e DPO
In relazione alla filiera dei soggetti terzi, che operano per conto del titolare, l’Autorità ha di fatto evidenziato che l’accountability non può essere considerata adeguata esclusivamente tramite aspetti contrattuali/burocratici, ma che i controlli di procedure e processi adottati dalla filiera devono essere effettivi e incrementali, anche in ragione delle evidenze che giungono da segnalazioni dei soggetti interessati o da audit di primo livello.
I titolari del trattamento non possono limitarsi al disconoscimento di determinate azioni (inoltro messaggi o chiamate ad esempio), ma devono adottare delle procedure di verifica costante e di intervento che siano articolate ed implementate in modo incrementale in ragione delle evidenze in possesso del titolare stesso.
Come si evince dal provvedimento Wind Tre citato (reperibile all’indirizzo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9435901) l’Autorità ha effettuato approfondimenti specifici presso le sedi di call center e soggetti terzi affidatari di attività di trattamento dati ed ha riscontrato diverse non conformità relative al trattamento dati per finalità di marketing.
Tali riscontri si sono poi spinti all’analisi del rapporto tra committente ed affidatari di processi di trattamento verificando anche le procedure di controllo poste in essere dal committente, la loro effettività ed efficacia nonché la sussistenza di misure per prevenire o “sanzionare” comportamenti non rispondenti ai dettami normativi.
Nel caso in questione ad esempio, l’Autorità indica che sulla base delle informazioni in possesso del titolare si sarebbero dovute attivare procedure di intervento rafforzate sulla filiera per poter verificare in modo più puntuale l’operato della stessa e, sulla base dei riscontri di tali attività, si sarebbero dovute prendere in considerazione azioni più incisive rispetto a richiami formali.
In sostanza, l’Autorità ha effettuato una valutazione dell’accountability non solo teorica, ma anche basata su evidenze e presidi concreti, intervenendo sulla valutazione delle azioni correttive poste in essere dal titolare.
Nel contesto in esame, il Garante ha richiamato in modo diretto sia le considerazioni già espresse in via generale con il provvedimento del 15 giugno 2011 [doc. web n. 1821257], in base al quale i soggetti che agiscono per conto del proponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento, sia in relazione a quanto introdotto dalla legge n. 5/2018 in relazione al principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi.
Viene, tra le altre cose, ribadito che “Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni di legge anche nel caso di affidamento a terzi di attività di call center per l’effettuazione delle chiamate telefoniche”.
In conclusione, si ritiene che in relazione al caso in questione possano essere tracciate delle linee specifiche di operatività che devono essere applicate per poter dimostrare l’accountability dei titolari ed in particolare:
1) la corretta gestione contrattuale del rapporto con i fornitori “responsabili” è elemento cardine ma non sufficiente;
2) devono essere fornite policy ed istruzioni aggiornate dettagliate e adeguate;
3) le procedure di controllo devono essere “effettive e concrete” e devono prevedere incrementi graduali delle stesse;
4) gli interventi connessi ad eventuali non conformità nell’applicazione delle procedure e regole concordate con la filiera dei fornitori devono essere incisive e commisurate alla gravità della non conformità;
5) il committente, se non comprova di aver adottato procedure rigide effettive ed efficaci, non può veder esclusa la propria responsabilità dalle condotte dei terzi.
Tali indirizzi e più in generale la tematica del controllo dei responsabili del trattamento offrono un ulteriore spunto di riflessione consentendo di tracciare evidenti punti di contatto con il sistema della responsabilità amministrativa degli enti ex D.lgs. 231/01: le procedure di prevenzione ed il modello organizzativo dei titolari devono essere efficaci ed effettivi, ed il titolare deve dimostrare, contro ogni ragionevole dubbio, che eventuali azioni non lecite sono state effettuate in violazione fraudolenta del proprio sistema di prevenzione e controlli.
