Chi è il consulente privacy di questa azienda? Paperino?

Introduzione

Oggi, 10 marzo 2025, mi è caduto l’occhio su un contratto contenente una clausola sulla privacy che mi ha lasciato a dir poco perplesso. 

La sezione intitolata “TRATTAMENTO DATI PERSONALI EX LEGGE 31.12.96 N. 675” recita: “I dati personali del Cliente sono trattati dal Venditore e dalle case mandanti ai sensi e nel rispetto della Legge citata…“.

Aspetta un attimo. Legge 675/96? Sul serio? Sono indietro di almeno due legislazioni! La legge 675/96 è stata abrogata nel 2003 dal Codice in materia di protezione dei dati personali (D.lgs. 196/2003), che a sua volta è stato poi armonizzato e modificato dal Regolamento Europeo sulla protezione dei dati personali (GDPR, Regolamento UE 2016/679).

Quindi mi chiedo: chi è il consulente privacy di questa azienda? Paperino? O magari qualcuno che ha trovato un vecchio file di Word del ’97 e lo ha riciclato senza neanche controllare cosa c’era scritto?

A parte l’ironia, questo tipo di errore è indicativo di un problema molto più serio. Se un’azienda cita ancora una normativa abrogata da vent’anni, viene spontaneo chiedersi: come vengono effettivamente trattati i dati personali dei clienti? Sono davvero conformi al GDPR? Hanno un DPO o almeno un referente privacy che sappia di cosa sta parlando?

Analisi normativa e rischi per l’azienda

Dal punto di vista normativo, questo contratto ignora completamente il GDPR e il D.lgs. 196/2003 aggiornato, esponendo l’azienda a diverse violazioni e possibili sanzioni.

1. Violazione del principio di correttezza e trasparenza (art. 5 GDPR)
   Citare una normativa abrogata non garantisce trasparenza nei confronti degli interessati. Gli utenti devono ricevere informazioni chiare, aggiornate e comprensibili sul trattamento dei loro dati personali.

2. Mancanza di una base giuridica valida (art. 6 GDPR)
   Non viene indicata una base giuridica conforme al GDPR per il trattamento dei dati personali. L’assenza di un’informativa valida rende il trattamento illecito, in quanto privo di una base giuridica chiara e conforme alla normativa vigente.

3. Mancata informativa sui diritti degli interessati (art. 13 e 14 GDPR)
   Nel contratto l’articolo 10 è l’unico riferimento alla privacy, ma non è presente alcuna informativa conforme agli obblighi del GDPR. Non vengono descritti i diritti degli utenti (accesso, rettifica, cancellazione, portabilità dei dati, opposizione al trattamento, ecc.), né le modalità per esercitarli, il che rappresenta una grave violazione.

4. Assenza del diritto di opposizione al marketing diretto (art. 21 GDPR)
   Il contratto non prevede alcun meccanismo per negare il consenso al trattamento dei dati per finalità di marketing. Secondo il GDPR, il consenso deve essere espresso, libero e revocabile in qualsiasi momento. L’assenza di questa possibilità rappresenta un’ulteriore violazione della normativa.

5. Sanzioni amministrative (art. 83 GDPR)
   L’inosservanza di questi obblighi può comportare multe fino a 20 milioni di euro o il 4% del fatturato annuo globale dell’azienda.

Formazione aziendale: un problema sottovalutato

È possibile che in una grande azienda, con decine di dipendenti, nessuno si sia accorto dell’errore o abbia notato l’assenza di un’informativa privacy? Questo solleva dubbi non solo sulla conformità del contratto, ma anche sulla formazione aziendale in materia di protezione dei dati. Se nessuno ha rilevato queste criticità, significa che la formazione in ambito privacy o non è stata fatta, oppure è stata condotta in modo superficiale e inefficace. Un’azienda realmente attenta alla protezione dei dati dovrebbe garantire che i propri dipendenti siano informati e in grado di individuare e correggere errori così evidenti.

Impatto sulla validità del contratto

Poiché il contratto riguarda l’acquisto di un’auto e il trattamento dei dati personali è essenziale per finalità quali la valutazione di un finanziamento, la gestione delle polizze assicurative e il rilascio del libretto di circolazione (che comporta il trasferimento dei dati a terzi come la finanziaria, l’assicurazione e la motorizzazione), la mancanza di un’informativa adeguata potrebbe compromettere la validità dell’intero contratto. Un trattamento illecito dei dati può rendere inapplicabili alcune clausole e portare a contestazioni sulla validità dell’accordo stesso.

Se il trattamento dei dati è illegittimo e manca un’informativa adeguata, il cliente potrebbe contestare l’intero contratto, sostenendo che non ha fornito un consenso valido o che il contratto stesso è inapplicabile per via della violazione di norme imperative sulla protezione dei dati personali. In tal caso, il contratto potrebbe essere impugnato con il rischio di dover essere rinegoziato o annullato.

È “solo” un problema formale?

No, la conformità normativa non è solo una questione formale, ma un elemento essenziale per la credibilità e la sicurezza di un’azienda. Non aggiornare la propria documentazione privacy non solo espone a rischi legali, ma può minare la fiducia dei clienti.

Avvisiamo Paperino

In fondo, Paperino è simpaticissimo, per cui avviserò l’azienda del problema.