GUIDA NORMATIVA

Google Analytics e diritti dell’interessato: ecco come richiedere la cancellazione dei dati

Una richiesta di esercizio dei diritti, in particolare una richiesta di cancellazione dati legata a Google Analytics, offre lo spunto per una serie di riflessioni in merito a questa importante parte della normativa privacy

07 Lug 2022
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Negli ultimi giorni una mail (a firma di tale Federico Leva) relativa alla richiesta di esercizio dei diritti privacy in merito a dati trattati da Google Analytics è stata inoltrata a molti titolari di siti web.

Questo ha scatenato una serie di reazioni la cui trattazione meriterebbe un libro a parte, ma non è mio interesse affrontare questi aspetti per i quali vi rimando per alcune considerazioni al mio precedente approfondimento: Le parole della privacy: valutare la competenza dei consulenti attraverso terminologia e comportamenti.

In questo articolo non entro, infatti, nel merito della richiesta, ma mi limito a esporre una serie di riflessioni suggerite dai commenti a corredo di alcuni articoli apparsi sul tema: commenti che denotano una limitata comprensione dell’importanza che riveste la capacità di prendere in carico e gestire correttamente un esercizio dei diritti, qualunque esso sia.

Google Analytics fuorilegge e soluzioni: ecco quelle che non funzionano

Prendere in carico e gestire correttamente un esercizio dei diritti

I rischi derivanti dal sottovalutare una richiesta di questo tipo sono infatti molteplici.

Da un lato vi è il mancato rispetto della normativa, che di per sé stesso è sanzionabile.

Dall’altro, e questo è il rischio più elevato, è che il soggetto che si vede negato il proprio diritto possa scalare la propria richiesta, con una segnalazione all’Autorità Garante la quale, come minimo, chiederà delucidazioni al Titolare salvo poi decidere di effettuare una visita ispettiva con tutte le possibili conseguenze del caso.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Nell’affrontare alcuni degli spunti emersi non vanno dimenticati una serie di assunti fondamentali tra i quali:

  1. la normativa privacy è eccezionalmente articolata e stratificata, ricca di incongruenze e contraddizioni, sia in termini pratici, sia nella formulazione dei testi normativi;
  2. è eccezionalmente complesso, se non impossibile, il puntuale rispetto delle prescrizioni normative;
  3. le varie normative privacy, che regolano aspetti diversi dei trattamenti, non sono fra loro perfettamente coordinate.

Ma vediamo alcuni aspetti tratti dal caso in esame (o meglio dai vari commenti) da cui trae spunto questo articolo.

Richiedere l’esercizio dei diritti a molti titolari contemporaneamente

Innanzitutto, è lecito che un interessato possa richiedere l’esercizio dei propri diritti a molti titolari contemporaneamente?

La risposta non può che essere positiva; l’esercizio dei diritti pone qualche vincolo solo nel caso in cui la stessa richiesta venga effettuata ad intervalli troppo ristretti allo stesso titolare.

Art. 12

5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:

a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure

b) rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Nulla vieta, viceversa, che la stessa richiesta venga effettuata ad una serie di titolari contemporaneamente.

L’articolo 12 evidenzia, però, anche un altro aspetto.

Il titolare che si vede recapitare una richiesta infondata può non dare seguito alla medesima.

Tuttavia, questo non lo esenta dal mettere in atto la procedura richiesta per la gestione dell’esercizio dei diritti, la quale dovrà ovviamente comprendere il rispondere all’interessato motivando la scelta di non dare seguito alla sua richiesta.

Il trattamento delle coordinate di contatto del titolare da parte dell’interessato

Il secondo aspetto da analizzare è quanto sia lecito che l’interessato tratti le coordinate di contatto del titolare o di una molteplicità di titolari.

Per esercitare i propri diritti l’interessato rivolge le sue richieste alle coordinate fornite dal Titolare, siano queste di posta ordinaria, e-mail, PEC e qualunque modalità di richiesta è valida (il Titolare ad esempio non può imporre l’uso della PEC anche perché se la richiesta viene da un privato, come avviene nella maggior parte dei casi, è molto probabile che questi non disponga della PEC).

A parte il fatto che tali coordinate di contatto nella quasi totalità dei casi non sono dati personali (in quanto generici indirizzi relativi a persone giuridiche o comunque non fisiche, del tipo privacy@dominio.xxx), ciò che rileva è che la richiesta viene effettuata dall’interessato che – appunto in tale qualità – esercita i diritti che la legge gli riconosce: ovviamente le regole di trattamento (e il concetto stesso di trattamento di dati personali) sono dettate per i soggetti attivi del trattamento (titolare e responsabile) e non per quello passivo (Interessato), che subisce il trattamento su cui la legge gli consente di esercitare ex post il proprio controllo, appunto attribuendogli specifici diritti e regolandone l’esercizio[1].

Delimitare l’ambito di applicazione della normativa privacy

Infine, un ultimo aspetto da analizzare nella faccenda: l’interessato invita, nella sua richiesta di esercizio dei diritti, a compilare un form per dare evidenza di aver dato seguito alla sua richiesta.

Al riguardo alcune note che non riguardano il caso specifico, ma vanno lette in un contesto più generale.

Una prima nota riguarda il fatto che tale form sia presente su un sito internet.

Visto il contesto tale sito deve rispettare la normativa privacy?

La risposta, in realtà, non è assoluta.

Va infatti ricordato che il GDPR non è una normativa che si applica sempre, ma il perimetro di applicazione è definito dall’articoli 2:

Articolo 2 – Ambito di applicazione materiale (C 15-21)

1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

2. Il presente regolamento non si applica ai trattamenti di dati personali:

a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;

b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;

c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico; (C18);

d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n. 45/2001 e gli altri atti giuridici dell’Unione applicabili a tale trattamento di dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.

4. Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.

e dall’articolo 3 del GDPR stesso:

Articolo 3 – Ambito di applicazione territoriale

1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI Garante per la protezione dei dati personali trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. (C22).

2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: (C23, C24):

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. (C25).

Non ha alcun senso pensare di poterla applicare al di fuori di tale perimetro.

Quindi nel caso in specie è necessario capire se si rientra o meno in quanto previsto, in particolare, dall’articolo 2, visto che l’ambito territoriale previsto dall’articolo 3 è sicuramente coperto.

Secondo l’articolo 2 c) un trattamento di dati personali a fini esclusivamente personali è escluso dall’ambito di applicazione del GDPR.

Quindi, se la finalità del sito su cui è presente il form proposto dall’interessato è quella di gestire unicamente l’esercizio dei propri diritti, sono propenso a considerare che tale trattamento sia da considerare a fini esclusivamente personali e quindi fuori dall’ambito di applicazione del GDPR.

Diverso sarebbe il caso in cui i dati raccolti siano anche destinati ad un’altra finalità, ad esempio la pubblicazione di un’indagine statistica su come hanno risposto i Titolari interpellati.

In questo secondo caso si va oltre la semplice finalità esclusivamente personale e il nostro interessato è effettivamente Titolare dei dati trattati sul sito con il suo form.

È interessante notare tuttavia, che in questo secondo caso, l’applicabilità del GDPR non dipende dai dati raccolti nel form, che in linea di massima non sono dati personali (in quanto riferiti a persone giuridiche), ma dalla finalità perseguita.

I dati personali trattati in questo caso non sono tanto quelli presenti nei form, ma quelli relativi all’attività di navigazione sul sito dei soggetti che interagiscono con i form.

È evidente che tali dati sono trattati anche nel primo caso, ma in quel contesto vale l’ambito di applicazione dell’art. 2c, mentre nel secondo caso no.

Per quanto riguarda i cookies, se il sito usa solo cookies tecnici può essere omesso qualunque adempimento.

Continuiamo ora ad occuparci dei form proposti dall’interessato; tale soluzione è stata considerata in modo negativo da tutti i commenti apparsi on line, ma in realtà l’uso di un form con una serie di campi predefiniti consente al Titolare di risolvere un grosso problema; in un’ottica di accountability il Titolare deve infatti dimostrare di avere adempiuto alla richiesta dell’interessato (in particolare là dove tale richiesta non consista in un mero trasferimento dei dati personali dell’interessato al medesimo).

In questa situazione l’interessato mette a disposizione un form da compilare; tramite tale form il Titolare può dimostrare, secondo criteri definiti dallo stesso interessato (e quindi dal medesimo non contestabili) su come abbia dato seguito alla richiesta pervenuta.

L’idea del form è quindi molto buona ed agevola i Titolari nei loro adempimenti, ma probabilmente sarebbe stato meglio se questi non fossero presenti su un sito, ma fossero stati inseriti come allegati alla mail di richiesta di esercizio dei diritti, da ritornare al mittente dopo la loro compilazione.

Microsoft Office 365 e GDPR: ecco perché può diventare un nuovo caso “virale” in UE

Conclusioni

Gli esempi appena descritti, per quanto semplici anche se un po’ contorti, evidenziano come la normativa privacy sia estremamente complessa e richieda sempre una dettagliata analisi della singola situazione; la diffusa tendenza a generalizzare, e a non leggere il testo della normativa, può portare a errori molto costosi.

 

NOTE

  1. È utile invece considerare – dal punto di vista degli obblighi del Titolare – che il fatto stesso di ricevere una richiesta di esercizio dei diritti, in particolare il diritto di accesso, anche non fondata, implica sempre la necessità di trattare i dati personali del richiedente.

    Infatti il Titolare, anche solo per verificare che non sta effettuando alcun trattamento di dati del richiedente – e che pertanto la richiesta ricevuta va rigettata – deve comunque iniziare un trattamento. Deve cioè confrontare i dati personali inoltrati da chi esercita i diritti con quanto ha presente nei propri archivi, e questo ovviamente comporta un trattamento di dati personali.

    Dovrà inoltre rispondere al richiedente e conservare tutta la pratica della richiesta e della risposta, e questo comporterà un altro trattamento di dati personali.

    Per tutto questo ovviamente dovrà rilasciare un’informativa ed alla fine la risposta che potrà dare all’interessato sarà una sola: fino ad oggi non trattavo i tuoi dati, ma ora per rispondere alla tua richiesta tratterò i dati che mi hai inoltrato e quelli relativi alla pratica dell’esercizio dei diritti.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5