Il rinnovato framework normativo europeo sulla protezione dei dati personali ha “equalizzato” – in maniera ben più incisiva rispetto al passato – le regole da osservarsi nei diversi stati membri. L’opera di interpretazione autentica della normativa continentale spetta principalmente oggi allo European Data Protection Board che si compone delle Data Protection Autority di ciascun paese, le quali sviluppano ulteriormente la disciplina con provvedimenti locali (ovviamente coordinati con la legislazione nazionale applicabile in materia).
Tuttavia, in un contesto regolamentare ben più omogeneo che in passato, è opera utile seguire con attenzione i contributi dottrinali resi dalle autorità nazionali di altri stati membri, specie quelli più attivi in termini di divulgazione al pubblico e di supporto interpretativo ed applicativo ad aziende ed amministrazioni. Tra queste, l’autorità francese – insieme all’ICO del Regno Unito – si è da tempo segnalata per gli sforzi profusi in tal senso e vale la pena segnalare il suo ultimo contributo in ordine di tempo.
La Commission Nationale de l’Informatique et des Libertés (CNIL) ha recentemente pubblicato sul proprio sito istituzionale un’interessante vademecum di sintesi riguardante le condizioni del GDPR che i titolari del trattamento devono rispettare laddove vogliano lecitamente condividere dati personali con partner commerciali o altre terze parti, come ad esempio i data broker.
Ad avviso del CNIL, le condizioni sono sostanzialmente le seguenti:
- Previo consenso: le organizzazioni devono raccogliere il consenso dell’interessato prima di condividere i dati con i propri partner.
- Identificazione dei partner: agli interessati deve essere conferita informativa che i individui i partner che possono ricevere i dati. L’organizzazione che raccoglie i dati per prima deve pubblicare – aggiornandola alla bisogna – la lista direttamente nell’informativa (o nel modulo di raccolta dati cui essa si riferisce. Se la lista è troppo lunga, è possibile indicare un apposito link (ad esempio, nelle privacy policy o informative online) all’interessato affinché possa consultare via web il novero di terze parti costantemente aggiornato.
- Notificazione delle modifiche alla lista: gli interessati devono essere informati degli aggiornamenti più rilevanti riguardanti l’elenco, specie con riferimento a nuovi partner con cui si desiderano condividere i dati. Tale informazione può essere veicolata con messaggi appositi o contenuti in nella comunicazione di marketing successiva alla modifica intervenuta.
- Informativa e consenso del nuovo partner: L’eventuale nuovo partner dovrà conferire all’interessato propria informativa alla prima comunicazione ad esso inviata e, comunque, entro un mese dalla ricezione dei dati. L’informativa deve indicare la provenienza dei dati e specificare i diritti dell’interessato ivi compreso quello di opposizione alle comunicazioni commerciali. Il consenso reso all’organizzazione che ha inoltrato i dati non è valido per ulteriori trattamenti operati dal nuovo partner ricevente che, pertanto, dovrà reperire un apposito consenso per perseguire le proprie finalità.
- Condivisione ulteriore: il partner non può, a sua volta, condividere i dati con propri ulteriori partner in assenza di un apposito consenso che deve essere, specularmente a quanto detto per l’inizio della filiera, informato in riferimento alla ulteriore lista di terze parti. Il consenso non è, in buona sostanza, automaticamente trasmissibile ad ulteriori anelli della catena.
- Diritto di opposizione: l’interessato deve poter esprimere la propria opposizione sia direttamente al partner in sede di primo contatto di quest’ultimo, sia rivolgendosi alla società/organizzazione che per prima ha raccolto il suo dato e che dovrà informare i partner che hanno ricevuto i dati circa suddetta manifestazione di volontà contraria. In tal senso, secondo il CNIL, il diritto di opposizione è trasmissibile.