GDPR to the rescue

Forse un po' off topic, ma spero che non dia fastidio a nessuno.

TL;DR; credo che bisognerebbe far valere piu' spesso i propri diritti in materia di dati personali, costa poco e potrebbe avere risvolti positivi.

FULL:
Tempo fa sono venuto a conoscenza del fatto che il Garante per la Privacy ha un Ufficio Relazioni con il Pubblico al quale i cittadini possono rivolgersi per "quesiti" non meglio specificati - vedi https://www.garanteprivacy.it/web/guest/home/footer/contatti
Ho scoperto che mettono anche a disposizione (pur se in formato .docx) dei prestampati che ci consentono di esercitare i nostri diritti nei confronti di una azienda che e' in possesso dei nostri dati personali - vedi https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1089924
La cosa mi e' stata molto utile recentemente quando, come mi succede periodicamente, decido di fare un po' di pulizia di account vari sparsi per il web e modifico le password di quelli che voglio tenere.

Estrapolando da quel documento le frasi che mi interessavano, ho scritto a vari DPO (https://en.wikipedia.org/wiki/Data_Protection_Officer) di siti web che per un motivo o per l'altro non consentono la cancellazione degli account degli utenti, chiedendo loro la cancellazione di tutti i miei dati.
Non mi aspettavo assolutamente una reazione del genere. Basta scrivere direttamente al DPO e la questione e' tenuta davvero molto in considerazione! Inutile passare per altri canali, come ticket di assistenza o altro. Tutti quelli a cui ho scritto mi hanno risposto *subito*, nonostante la legge preveda 60 giorni di tempo per rispondere. Unica eccezione, wordpress.org (ma me lo sono segnato). Tutti quanti hanno risposto di aver cancellato tutti i miei dati... tranne uno.

Storia nella storia: anni fa per lavoro portavo la macchina a fare rifornimento sempre dallo stesso distributore. Un giorno il titolare mi ha detto: "Perche' non apri una carta a punti? e' gratis e puoi usarla per registrare i litri di benzina che fai con la macchina aziendale. Poi quando hai raggiunto abbastanza punti di becchi un regalo a gratis". Naturalmente la parola "gratis" ha un sapore particolarmente dolce e senza pensarci troppo ho acconsentito. Mi sono stati chiesti (verbalmente) nome, cognome, numero di telefono e indirizzo email. Io non ho firmato niente, probabilmente ha fatto tutto il benzinaio.

Alcuni mesi dopo ho iniziato a ricevere telefonate da call center, email promozionali, SMS, eccetera. La settimana scorsa, dopo aver controllato la spam della mailbox e averci trovato l'ennesima comunicazione di questa azienda, ho deciso di scrivere al loro DPO.
Vista l'esperienza precedente con le altre aziende, mi aspettavo una risposta immediata e positiva. Invece mi hanno risposto che, nonostante abbiano disattivato la mia carta punti, non possono cancellare i miei dati personali perche', con tanto di citazione dell'informativa sulla privacy che io non ho firmato, il regolamento recita:

I tuoi dati saranno conservati per dieci anni dal termine del rapporto contrattuale in essere, al fine di permettere alla Società di difendersi da possibili pretese avanzate in relazione al contratto stesso.

Mi sono un po' girate le scatole e allora ho scritto al Garante! Il Garante normalmente chiede un nr. di telefono per poterti richiamare, non rispondono per iscritto. Ecco che ieri pomeriggio finalmente mi chiama e mi spiega che, secondo loro, l'azienda ha ragione ma che io posso comunque fare qualcosa: mi hanno consigliato di scrivere nuovamente al DPO e chiedere:

- esattamente di quali dati personali sono in possesso
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
- l'origine dei dati (ovvero il soggetto o la specifica fonte dalla quale essi sono stati acquisiti);
- che l'azienda prenda atto che mi oppongo al trattamento dei miei dati a fini di invio di materiale pubblicitario, vendita diretta, ricerche di mercato o di comunicazione commerciale.

Stamattina ricevo una nuova mail dal DPO che mi scrive che hanno cancellato tutto, senza aggiungere nient'altro. (sara' vero? non sara' vero? e che ne e' stato delle risposte alle altre domande che ho fatto? chi se ne frega, per intanto mi va bene cosi')

Morale della favola: chiedere di esser messi a conoscenza de "i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati" e' qualcosa di davvero fastidioso. Dubito che qualcuno ne tenga traccia. Mi e' rimasto un prurito: vorrei fare la stessa domanda a tanti altri. Per esempio il mio gestore telefonico che, nonostante io l'abbia contattato piu' volte per fare l'opt-out delle comunicazioni pubblicitarie, continua (pur se piu' raramente di prima) a mandarmi SMS pubblicitari.

Ho sempre e solo sentito parlare male di GDPR, ma sempre e solo da parte delle aziende. Come consumatore invece devo ammettere che ne sono davvero soddisfatto e spero che la situazione continui a migliorare.