Nell'informativa privacy non ci devono essere condizioni o termini contrattuali ma i dati del titolare del trattamento
Salve, scrivo in merito ad un episodio legato all'acquisto di un corso di acrobatica, presso una associazione dilettantistica. Io e la mia compagna abbiamo effettuato il pagamento anticipato per il 50% dell'ammontare (130,00 €) tramite bonifico bancario.
RISPOSTA
L'eventuale causa civile per la restituzione dell'acconto è di competenza del giudice di pace, poiché il valore della causa non è superiore a 10.000 euro.
All'atto dell'acquisto, l'associazione ci richiede appunto l'anticipo suddetto e l'iscrizione all'associazione tramite form on line riportante dati anagrafici, dati contrattuali e trattamento dei dati personali. Fin qui tutto regolare.
RISPOSTA
Non è proprio tutto regolare, perché l'articolo 7 comma 2 del GDPR Regolamento UE 2016/679 in materia di privacy, prevede quanto segue:
2. Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.
Il principio giuridico è ribadito dal considerando 43 al GDPR:
(43) Per assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.
Il problema è sorto quando abbiamo dovuto disdire l'impegno. Avvisati 11 giorni prima della data, i responsabili dell'associazione prima ci comunicano con una serie di messaggi, che non potevano restituire l'anticipo in quanto non è corretto verso chi lavora e verso l'insegnante, che 11 giorni sono pochi per sostituirci e che avremmo dovuto noi trovare altre due persone, per non perdere i soldi. Comprendiamo il disagio, ma chiediamo in nome di quale accordo ci avessero risposto in tale maniera.
Solo qualche ora dopo, si fanno forti di un articolo presente nel form dell'iscrizione che regola le cancellazioni. Tale articolo recita che non è previsto alcun rimborso per cancellazioni comunicate dopo il 15esimo giorno prima dell'evento. Al di là del fatto che avrebbero potuto citare subito l'esistenza di tale articolo se già esistente, e non perdersi in inutili messaggi morali e di rispetto dovuto, troviamo l'articolo in questione di natura contrattuale, incorporato nel paragrafo sull'informativa privacy.
RISPOSTA
Si tratta di condizioni contrattuali che non potrebbero essere inserite nell'informativa privacy, ai sensi dell'articolo 13 del Regolamento GDPR oppure se inserire, dovrebbero essere ben evidenziate rispetto a tutto il resto, magari tramite un paragrafo distinto.
Pur avendo flaggato il bottone accetto, ci chiediamo se tale procedura sia regolare, in quanto accorpare nel testo relativo al trattamento dei dati personali, sia norme inerenti a tale trattamento, sia norme contrattuali (come la politica di cancellazione) non ci risulta sia proprio corretto.
RISPOSTA
È una palese violazione del GDPR.
Contattato il garante per la privacy, ci inviano il regolamento GDPR e le linee guida per la redazione del capitolo relativo al trattamento dei dati personali, a cui deve attenersi chi propone contratti. In un articolo di tale documento, (considerando 43) si parla proprio della non accorporabilità nello stesso capitolo, di norme difformi per contenuto;
Laddove si parla di privacy non si può parlare di termini contrattuali, i quali devono trovare una loro collocazione autonoma per non interferire sulla leggibilità del trattamento dei dati.
RISPOSTA
Confermo l'irrilevanza di queste condizioni contrattuali, in ragione del loro illegittima inserimento all'interno dell'informativa ai fini privacy.
Avete diritto al rimborso dell'acconto versato in ragione della vostra iscrizione all'iniziativa.
Un' ultima osservazione è relativa al titolare del trattamento dei dati:
Non ne è specificato nulla. Nome, cognome. ruolo, mail, indirizzo ecc. in suo luogo è apposto un generico "Associazione" e basta.
In questo caso il consenso privacy è valido?
In attesa di un vostro cortese riscontro, porgo cordiali saluti.
RISPOSTA
Anche l'informativa viola il GDPR, in particolare l'articolo 13 comma 1 lettera a)
1. In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
Non è sufficiente indicare che il titolare del trattamento è l'associazione, ma occorre indicare di quale associazione si tratta, evidenziando i dati di contatto.
Sarebbe come esibire ad un agente di polizia, una carta d'identità senza il nome ed il cognome …
A maggior ragione se consideriamo l'invalidità dell'informativa privacy, confermo che avete diritto al rimborso dell'acconto versato.
A disposizione per chiarimenti.
Cordiali saluti.
