Quando un cliente se ne va e vuole “tutti i suoi dati”
Qualche giorno fa abbiamo accennato al diritto di accesso previsto nella regolamentazione privacy dal Gdpr all’art. 15, un diritto molto ampio che consente all’interessato di conoscere non solo se qualcuno sta trattando i suoi dati e perché, ma anche di averne copia, una sorta di diritto “introduttivo” agli altri diritti previsti per tutti noi: https://studiolegalebroglia.com/2023/01/22/il-diritto-di-sapere-se-qualcuno-ha-e-usa-i-nostri-dati/.
L’accesso (Art. 15 Gdpr)
Il diritto di accesso riguarda in pratica qualunque informazione che un’azienda abbia, sull’interessato, nei propri sistemi o archivi, come per esempio i dati relativi alla profilazione e alle analisi che abbia svolto sulle attività del cliente.
Come hanno precisato anche i Garanti Europei (l’EDPB), infatti, se raccogliamo dal nostro eCommerce i dati dei prodotti visualizzati e di quelli acquistati ed eseguiamo delle analisi per proporre prodotti o servizi similari, in caso di richiesta di accesso dovremo “consegnare” all’interessato anche tutte queste informazioni che, di fatto, abbiamo elaborato noi.
La portabilità (Art. 20 Gdpr)
L’ipotesi di esercizio del diritto alla portabilità presenta alcune similitudini con il diritto di accesso ma anche alcune peculiarità.
Innanzi tutto in caso di esercizio del diritto di accesso la richiesta è legittima anche se relativa a dati trattati in modo cartaceo, nel caso della portabilità, invece, deve vertere su dati trattati in modo automatizzato.
Un’altra differenza risiede nel fatto che, in caso di esercizio del diritto d’accesso, se la richiesta non è avanzata con mezzi elettronici (per esempio telefonicamente oppure oralmente, di persona) il titolare è libero di scegliere la modalità e il formato con il quale consegnare la copia; in caso di portabilità, invece, egli è tenuto a fornire i dati in un formato strutturato, di uso comune e leggibile.
Oltre a riguardare, quindi, esclusivamente dati che siano trattati in modo automatizzato (con sistemi e sw), il trattamento in essere deve anche essere
- basato sul consenso dell’interessato oppure
- sulla necessità di eseguire un contratto o
- dare corso a misure precontrattuali: se il trattamento è fondato su un’altra base giuridica, il diritto di cui all’art. 20 non si applica.
Un’altra importante differenza riguarda la tipologia di dati soggetta al diritto che stiamo brevemente esaminando.
L’interessato avrà diritto di avere, nel formato strutturato di cui abbiamo detto e con le modalità già viste:
- tutti i dati che lo riguardano e che siano chiaramente a lui riferibili (lieste di acquisti, dati dei tabulati, tutti i messaggi di posta che abbia inviato o che gli siano stati recapitati, ecc.) e
- tutti i dati che egli abbia direttamente fornito, magari anche in modo non completamente consapevole, come per esempio i dati di navigazione sul nostro sito.
Quali dati, quindi, non sono ricompresi nel diritto alla portabilità e quali presentano criticità?
Sono da escludere i dati che l’azienda titolare abbia autonomamente creato o generato, magari mediante propri sistemi o algoritmi, in base al proprio know how.
Un altro aspetto cui è fondamentale fare attenzione è quello della tutela dei terzi, perché è immaginabile che in molte occasioni i dati del cliente che li ha “richiesti” possono essere intrecciati con quelli di altri interessati.
In tali casi è necessario adottare particolari misure per tutelarne i diritti, come per esempio oscurare i nomi o le immagini nelle fotografie.
Insomma: un impegno non da poco quando un cliente se ne va sbattendo la porta!