Sembra l’incipit di una storia di Natale per bambini, ma per i bambini della cittadina tedesca di Roth è stata una triste realtà.
Gli innevati e pittoreschi paesini della Baviera sono da sempre famosi per la forte devozione alle tradizioni natalizie e l’atmosfera tipica di Natale che solo quei paesaggi incantevoli sono in grado di evocare. Ma la Germania è nota a tutti anche per il rigore e il rispetto della legge; peraltro, insieme all’Austria, si erano aggiudicate il primato per essere gli stati membri già pronti all’avvento del nuovo Regolamento europeo sulla protezione dei dati personali (GDPR).
Testimone di questo smisurato senso del dovere è stata la scelta della città di Roth di applicare il GDPR anche alle letterine per Babbo Natale che i bambini ogni anno, a partire dal mese di novembre, erano soliti appendere al grande albero di Natale allestito nella piazza principale del paese. La giunta cittadina, dopo aver consultato anche il DPO dell’amministrazione comunale, ha ritenuto opportuno vietare l’usanza in quanto non conforme alle previsioni del GDPR. La tradizione, peraltro, era già stata sospesa lo scorso anno, essendo il GDPR entrato in vigore nel 2016, e sottoposta nuovamente all’attenzione della giunta comunale quest’anno, dopo che il regolamento è divenuto, a partire dallo scorso maggio, pienamente applicativo.
La questione susciterebbe notevoli impatti privacy in quanto i bambini non si limitano a scrivere i loro desideri, ma anche svariati dati personali, in particolare, nome, età e indirizzo, affinché Babbo Natale possa recapitare loro il dono tanto atteso; inoltre il contenuto delle letterine appese all’albero è visibile a tutti i passanti. Di conseguenza, secondo la cittadina, le autorità, al fine di autorizzare il trattamento delle informazioni contenute nelle letterine, dovrebbero ottenere una liberatoria firmata dai genitori dei minori di 16 anni (occorre tuttavia precisare che il limite dei 16 anni, in Italia abbassato a 14, riguarda solo il consenso dei genitori al trattamento dei dati personali dei minori in relazione all’offerta diretta di servizi della società dell’informazione) e informarli che i loro dati potrebbero essere comunicati a terzi. In base alla normativa sulla privacy, infatti, ogni volta che enti pubblici o privati raccolgono informazioni personali devono richiedere l’espresso consenso all’interessato o quello dei genitori in caso di minore (ovviamente qualora non vi sia un’altra base legale del trattamento, differente dal consenso).
Ebbene, nonostante l’evidente eccesso di zelo della cittadina tedesca, un portavoce della Commissione europea ha dichiarato che l’interpretazione delle autorità della città è sbagliata, precisando che (con un’evidente nota di ironia), qualora si volessero rispettare scrupolosamente le norme in materia di privacy, le lettere a Babbo Natale dovrebbero essere vietate da sempre, anche prima dell’entrata in vigore del GDPR; Babbo Natale, infatti, dovrebbe sempre ottenere il consenso dei genitori prima di iniziare la raccolta dei dati (e in particolare degli indirizzi di casa dei bambini) avente la finalità di consegna del dono richiesto – “Queste sono le regole vigenti da vent’anni e il regolamento generale sulla protezione dei dati non ha modificato questa situazione”-.
La tradizione di Roth, insomma, era già da tempo non conforme alle leggi europee in materia di protezione dei dati personali e non è esattamente colpa del “Grinch GDPR” se è stata interrotta.
Ad ogni modo, la soluzione prospettata dal Comune di Roth è stata quella di predisporre un modello ad hoc di letterina da scaricare dal sito, compilare, stampare e infine appendere all’albero. All’interno di questo template di letterina è presente uno spazio riservato ai bambini per annotare i loro desideri di Natale e, in calce, vi è una dichiarazione di poche righe con cui i genitori prestano il consenso al trattamento dei dati personali; inoltre non è richiesto l’indirizzo di casa dei bambini, ma solo il loro numero di telefono (che poi è pur sempre un dato personale).
Come tutte le fiabe per bambini, anche questa storia ha avuto il suo lieto fine: il comune di Ruth ha salvato il Natale e anche la conformità al GDPR, adempiendo ai suoi obblighi informativi e di raccolta del consenso in qualità di titolare del trattamento.
Ma a questo punto, se vogliamo proprio essere precisi, Babbo Natale non andrebbe nominato Responsabile esterno del trattamento? E le renne e i folletti, che lo aiutano nell’attività di gestione e consegna dei pacchi e agiscono sotto la sua autorità, avranno ricevuto anche loro adeguate istruzioni dal titolare del trattamento, ossia dallo zelante Comune di Roth?
La storia (forse) continua….
Rosanna Celella