di Nadia Martini e Fabio Massimo Remoli Head of Data Protection & Cybersecurity – Rödl & Partner e Presidente del Comitato Tecnico ANDAF- Corporate Governance & Compliance

Il Cfo ha un ruolo chiave nella gestione dei dati aziendali, responsabile della protezione dei dati e della conformità normativa. La governance dei dati è fondamentale per salvaguardare la reputazione, guadagnare la fiducia degli stakeholder e favorire la crescita aziendale, come dimostrato dalle sanzioni dell’Autorità Garante Privacy secondo il Regolamento UE 679/2016 sulla protezione dei dati personali.

Tra gli ultimi, vengono all’occhio due provvedimenti che riguardano in particolare il mondo del marketing,  che definiscono, per la prima volta, in modo chiaro le regole ed i controlli da adottare nel caso di chiamate indesiderate. In particolare, i titolari devono:

– verificare e controllare l’entry point dei nuovi clienti per garantire che i contratti siano originati da contatti regolari e conformi alla legge. Ciò implica inibire l’attivazione contrattuale di offerte o servizi che non rispettino le norme e i diritti degli interessati. È emerso che molti contatti promozionali illeciti provengono da numerazioni esterne alla rete di vendita dell’azienda. Pertanto, è fondamentale adottare tutti i mezzi possibili per garantire che i contratti siano frutto di contatti regolari e conformi alla normativa;

– inibire l’attivazione contrattuale di offerte o servizi quando esse non siano certamente riconducibili ad attività svolte nel rispetto delle norme e dei diritti degli interessati fin dal momento del primo contatto e dell’origine del dato;

– verificare che un contratto acquisito in violazione della disciplina in materia di protezione dei dati personali non trovi ingresso nel proprio sistema interno, pena l’evidente violazione dell’art. 2-decies del Codice Privacy (che implica il non utilizzo dei dati personali acquisiti in violazione della normativa privacy);

– adottare una procedura di sanatoria idonea a verificare la sussistenza della volontà dell’interessato stesso di concludere il contratto, anche e soprattutto in seguito alla prospettata illiceità del contratto originario;

– utilizzare misure per garantire che i contratti siano frutto di contatti che rispettano pienamente le disposizioni sulla protezione dei dati personali, in particolare gli articoli 5, 6 e 7 del Regol. sul consenso. È importante notare che l’implementazione di procedure per il telemarketing e il teleselling da sola non è sufficiente per contrastare le pratiche diffuse di contatti indebiti, a meno che non vengano affiancate procedure rigorose di controllo dei contratti e delle attivazioni;

– è necessario documentare la documentazione del consenso in modo tecnico per garantire l’autenticità dell’autorizzazione dell’utente. La semplice produzione di tabelle Excel non è sufficiente. È fondamentale registrare l’indirizzo IP, il timestamp e i file di log per certificare la volontà inequivocabile dell’interessato. Si dovrebbero prendere come riferimento le “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’ammin. digitale (d.lgs. n. 82.2005”)”.

I CT di Andaf e Rödl & Partner hanno avviato workshop e divulgazioni editoriali per esaminare le normative aziendali sulla protezione dei dati, le opportunità di sviluppo e gli aspetti di accountability. I Cfo e i Dpo condividono preziose testimonianze sulla trasformazione aziendale e le sfide legate alla normativa privacy.