Il GDPR afferma che i dati personali devono essere conservati solo per il tempo necessario a conseguire la finalità in relazione alla quale sono stati raccolti e che tali dati devono, inoltre, essere esatti e trattati secondo il principio di minimizzazione del rischio (art. 5 del GDPR).
Questa settimana ho constatato personalmente come questi principi, peraltro già noti sotto la vigenza del nostro Codice Privacy, sono ignorati o, se vogliamo essere benevoli, non tenuti in debita considerazione anche da imprenditori con significative attività di trattamento di dati personali.
Dovendo, infatti, pubblicare un necrologio su di un quotidiano locale per partecipare al lutto di un amico, ho contattato telefonicamente la società che gestisce questo servizio per conto della testata giornalistica della mia Provincia.
Una volta dettato l’annuncio, l’operatrice mi ha gentilmente richiesto i miei dati personali per inviarmi (per posta ordinaria, in quanto l’invio telematico non è previsto!) la relativa fattura per effettuare il pagamento.
Una volta comunicatole il mio nome e cognome, quasi con una punta di orgoglio, l’operatrice mi ha inaspettatamente indicato il mio vecchio indirizzo di residenza (non più attuale da oltre 5 anni) e, davanti al mio stupore ed alla mia risposta di non risiedere più in quel luogo, mi ha chiesto la data di nascita per confrontarla con il codice fiscale in suo possesso per avere conferma della mia identità.
Chiarito che fossi proprio io la persona che l’operatrice aveva rinvenuto nel database a sua libera disposizione, ha quindi aggiornato i miei dati di residenza e mi ha avvisato che la fattura mi sarebbe arrivata (cartacea) direttamente a casa.
Terminata la conversazione, ho cercato di ricordare quando avessi fornito a questa società i miei dati personali e mi sono reso conto che erano trascorsi sicuramente più di 8 anni dalla mia precedente richiesta di pubblicazione sul quel quotidiano.
La società in questione ha, quindi, conservato nei propri archivi i miei dati personali per oltre otto anni pur essendo evidente che la finalità sulla base della quale li aveva raccolti si era oggettivamente esaurita con il pagamento da parte mia della fattura, avvenuto quasi due lustri prima!
Considerato il lasso di tempo trascorso, anche eventuali motivazioni di data retention connessi agli obblighi di conservazione fiscale, appaiono improbabili.
E’ di tutta evidenza che non vi è alcuna valida ragione che possa giustificare la disponibilità di quei dati da parte dell’operatrice che mi ha risposto a distanza di quasi un decennio dal mio precedente contatto.
Per curiosità, sono, poi, andato a cercare l’informativa privacy di questa società che gestisce, anche on-line, il servizio di necrologie per il quotidiano locale per capire quale fosse il termine di conservazione dei dati dichiarato dalla stessa società per questo tipo di trattamento.
Anche in questo caso, le sorprese non sono mancate.
Nell’informativa pubblicata sul sito del quotidiano, l’editore afferma che “I dati raccolti saranno conservati – per ciascuna tipologia di dati trattati – esclusivamente per il tempo necessario ad adempiere alle specifiche finalità indicate nelle specifiche informative di sintesi visualizzate nelle pagine del sito e predisposte per particolari servizi“.
Purtroppo, però, recandomi alla “pagina del sito predisposta per particolari servizi” (cioè alla pagina dedicata alle necrologie) non è reperibile alcuna “informativa di sintesi” e neppure viene dichiarato chi sia l’effettivo titolare del trattamento dei dati che vengono comunicati all’operatrice telefonica da parte degli interessati che fruiscono del servizio!
Di fatto, il servizio in questione viene erogato senza fornire alcuna informativa agli utenti/interessati e ciò è, a mio avviso, tanto più grave se si considera anche la natura dei dati che vengono comunicati e quindi trattati nell’occasione.
Mi pare altrettanto evidente che la cortese operatrice con cui ho parlato al telefono non era stata adeguatamente formata sulle modalità di trattamento dei dati degli utenti del servizio con cui entra in contatto quotidianamente, dato che non si è posta alcun problema nel comunicarmi il mio vecchio indirizzo di residenza senza prima accertarsi di chi fossi.
Il titolare del trattamento di questo servizio ha, comunque, una grave responsabilità e certamente molto lavoro da fare per mettersi in regola con le norme del GDPR, anche considerata la mole di dati personali che probabilmente ha accumulato nel corso di lunghi anni di annunci quotidiani, tanto da doversi domandare se, di fatto, i dati in suo possesso non costituiscano, ormai, una vera e propria schedatura di gran parte della popolazione su base regionale.
L’esempio di questa società è, comunque, da annoverare tra i casi da non seguire.
Secondo voi è verosimile che, con la fattura che mi verrà recapitata a casa, vi possa essere anche l’informativa privacy tanto vanamente cercata on-line?
Chi vuole scommettere?