Anche al Fantasanremo sarebbe servito un DPO

Volendo andare più a fondo rispetto alla questione, abbiamo scelto di consultare un altro Data Protection Officer oltre a Christian Bernieri che – col suo thread Twitter – ha sollevato un’interessante questione relativamente al trattamento dati del Fantasanremo che, dopo un’analisi, è risultato essere inadeguato. Il parere di Francesca Costabile, consulente legale e DPO, va nella stessa direzione di quello del collega evidenziando la necessità di avere un Data Protection Officer in tutti quei casi in cui sia prevista – per svolgere una qualunque attività – la gestione di enormi moli di dati.

LEGGI ANCHE >>> La questione delle privacy policies del Fantasanremo

Fantasaremo e il DPO mancato

«Se c’è un trattamento del dato che prevede finalità di marketing deve essere fatto firmare un consenso ad hoc specifico, non può esistere un unico consenso valevole per tutto», afferma senza indugio Costabile ai microfoni di Giornalettismo.

Il punto non è che dobbiamo tutti eliminare la nostra iscrizione da Sanremo ma che, come è giusto che sia, le piattaforme siano più puntuali nell’informare rispetto al trattamento dei dati, al di là del fatto che commettano o meno illeciti. Ed ecco che emerge la necessità di un DPO a seconda dell’occasione. Anche Costabile conferma che «non bisogna prestare il consenso all’informativa, che deve essere messa a disposizione dal titolare del trattamento». Nel caso del Fantasanremo è così, quindi non è l’assenza dell’informativa la problematica ma – piuttosto – la differenza tra ciò che viene affermato sul sito e ciò che effettivamente accade in fase di registrazione.

E non solo Fantasanremo…oltre i confini UE

Tutto considerato, «secondo l’art 37 GDPR ci sono tre casi in cui è obbligatoria la nomina di un DPO – afferma l’esperta – che è un vero e proprio responsabile della protezione dei dati». Di questi tre, Costabile inserisce Sanremo nel secondo («b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala»).

La DPO fa anche presente – a partire dalla riflessione sul Fantasanremo, che però prevede un titolare del trattamento italiano – che c’è un punto ancora più importante da tenere in massima considerazione: pur non essendo questo il caso, l’«annosa questione del trasferimento dei dati all’estero in paesi extra UE» deve essere tenuta presente in tutti quei (numerorissimi) casi in cui ci troviamo a fornire i nostri dati ad applicazioni e piattaforme che hanno la loro sede oltre l’UE.

Alla fine della fiera, quindi, possiamo dire che è necessario che aziende e istituzioni comprendano la fondamentale importanza di avvalersi di professionisti che possano gestire il trattamento dati nella maniera più consona possibile sia per rispettare le leggi che per permettere agli utenti di disporre delle proprie informazioni.