“Be smarter with your personal data online”, questo è lo slogan di un noto sito che ultimamente spopola nel suo utilizzo sul web. Stiamo parlando di Saymine.com, sito che sembra promettere agli utenti un qualcosa di molto molto utile, ovvero di rintracciare le organizzazioni-aziende in possesso dei loro dati personali e di procedere per loro conto nell’esercizio del diritto alla cancellazione ex art. 17 GDPR, con tanto di incoraggiante disclaim: “allows you to discover where your personal data is, and reduce your online exposure to minimize digital risks”.
Indice degli argomenti
Cosa fa Saymine.com
Concretamente, quindi, oltre a individuare il soggetto che detiene e tratta i dati personali, il sito è in grado di automatizzare una richiesta di cancellazione. Per farlo chiede all’utente altri dati personali (indirizzo e-mail e nome e cognome) e, soprattutto, raccoglie e archivia successivamente tali dati sui server di Saymine.
Con l’acquisizione dell’indirizzo e-mail, la tecnologia di Saymine è in grado di definire un elenco di organizzazioni-aziende con cui l’utente ha interagito, analizzando l’oggetto delle e-mail stesse, gli indirizzi dei mittenti e la numerosità delle stesse in relazione a ogni differente mittente. Nella privacy policy Saymine dichiara tuttavia di non raccogliere il contenuto dei messaggi di posta elettronica che l’utente ha scambiato con tali organizzazioni-aziende.
Nelle proprie FAQ, Saymine dichiara, altresì, di poter scoprire, per conto dell’utente stesso, non solo quali organizzazioni-aziende detengono i suoi dati personali, ma anche quale tipologia di dati personali potenzialmente le stesse detengono.
Cosa si cela dietro Saymine?
Una prima riflessione sorge spontanea leggendo il disclaim sopracitato, che nella sua parte finale fa riferimento sia alla riduzione dell’esposizione sul web, sia alla riduzione dei rischi digitali.
Saymine sembra essere uno strumento molto utile e soprattutto facile nel suo utilizzo, ma come tutte le cose semplici, forse dovremmo chiederci cosa c’è dietro realmente, ovvero quando si parla di riduzione dei rischi se gli stessi differentemente da quanto esposto aumentino invece che diminuire. Gli utenti si avvicinano a questa tecnologia promettente per affidare a un terzo (Saymine appunto, con sede principale in Israele) operazioni complesse che autonomamente sarebbero davvero troppo difficili da gestire con efficienza e celerità. Il prezzo dell’utilizzo di questo software qual è, se a oggi il servizio viene tra l’altro ancora reso gratuitamente?
Attraverso l’utilizzo di tali tecnologie probabilmente aumentiamo la nostra esposizione sul web e conseguentemente i rischi che da essa derivano. Forniamo in tal modo, più o meno consapevolmente, l’opportunità di profilarci (nelle nostre abitudini, nelle nostre scelte, passate, attuali e – perché no – forse anche future).
Le organizzazioni-aziende che hanno ricevuto le richieste di cancellazione per il tramite di Saymine si saranno interrogate sulla legittimità delle stesse e sulla possibilità dei singoli interessati di delegare quest’ultima nell’esercizio di un diritto privacy (probabilmente nella maggior parte dei casi senza avere effettiva contezza dell’attività delegata).
Le organizzazioni-aziende si saranno dunque chieste se procedere o meno con l’evasione di tali richieste.
Diversi aspetti devono essere presi in considerazione.
Tutte le lacune di Saymine
Il primo attiene all’assenza, nelle richieste di Saymine.com, di identificazione degli interessati: non ci si dovrebbe infatti assumere il rischio di procedere alla evasione di una richiesta privacy (in tal caso di cancellazione)[1].
Il secondo attiene alla poca consapevolezza degli interessati, che, ricontattati dalle organizzazioni-aziende per procedere all’identificazione, raramente procedono con tale attività.
È evidente la mancanza del diretto manifesto interesse da parte del presunto soggetto richiedente all’esercizio del diritto di cancellazione dei propri dati personali.
Deve inoltre essere anche valutato il rischio di riscontrare tali richieste con una risposta standard, che a sua volta potrebbe rinviare alla compilazione di un modulo[2].
Da ultimo si segnala l’effort impiegato nella gestione delle e-mail, non poche, che vengono inviate da Saymine.
In conclusione, la domanda che forse dovremmo porci oggi è se, dopo quasi cinque anni dall’entrata in vigore del GDPR, si sia veramente diffusa ad ampio spettro una “cultura privacy”. Se così fosse, probabilmente saremmo tutti più propensi ad esercitare autonomamente e con cognizione i nostri diritti.
Note
- Cfr. art. 12 comma 2 GDPR “Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato.”; art. 12 comma 6 GDPR “Fatto salvo l’articolo 11, qualora il titolare del trattamento nutra ragionevoli dubbi circa l’identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l’identità dell’interessato.”Il titolare ha il diritto di chiedere informazioni necessarie a identificare l´interessato, e quest´ultimo ha il dovere di fornirle, secondo modalità idonee
Dimostrazione dell’identità personale da parte dell’interessato
Il modello esercizio diritti in materia di protezione dei dati personali del Garante contempla l’allegato di un documento di riconoscimento ↑
- Si veda Ordinanza ingiunzione nei confronti di Unicredit S.p.A. – 16 giugno 2022 [9795350] secondo cui “Posto che la predisposizione di un modulo può, in termini generali, costituire una modalità organizzativa volta ad agevolare gli interessati nella presentazione delle istanze, non è, invece, conforme alla disciplina vigente in materia di protezione dei dati personali condizionare, al previo invio del predetto modulo compilato, l’avvio della procedura preordinata a dare corso all’esercizio del diritto, e non prendere in considerazione nel merito le istanze presentate in forma libera” ma anche “Per converso l’obbligo di compilare un modulo predefinito in aggiunta e indipendentemente dallo specifico contenuto di un’istanza di esercizio di un diritto riconosciuto dall’ordinamento aggrava (anziché facilitare attraverso l’adozione di misure appropriate) l’esercizio del diritto medesimo” ed inoltre “Né può essere condivisa la tesi […] in base alla quale, […], la mancata compilazione del modulo da parte dell’interessato e la circostanza che la richiesta presentata avesse a oggetto “qualsiasi informazione sul trattamento dei dati personali” del reclamante fossero in sé indice di una istanza “manifestamente infondata” e “eccessiva”. ↑
