Il sistema di televoto del Festival di Sanremo rappresenta uno degli snodi più significativi di partecipazione del pubblico alla manifestazione. Dietro un gesto apparentemente semplice, quale l’invio di un SMS o una chiamata, si colloca però un trattamento di dati personali su larga scala, che coinvolge una pluralità di soggetti, flussi tecnologici complessi e un’elevata esposizione mediatica.
La presente analisi intende offrire una lettura critica, e in certa misura stimolante, dell’informativa RAI relativa al trattamento dei dati personali connessi al televoto, con l’obiettivo di favorire una riflessione approfondita sulle scelte in materia di privacy e sulle conseguenti implicazioni operative e di compliance.
In questo contesto, il tema della base giuridica del trattamento merita un approfondimento specifico.
L’informativa resa da Rai - Radiotelevisione Italiana S.p.A. individua nel consenso ex art. 6, par. 1, lett. a) GDPR il fondamento del trattamento dei dati personali connessi alla partecipazione al voto.
Ci si può tuttavia interrogare se, alla luce della concreta configurazione del servizio di televoto, non sarebbe stato più coerente fondare il trattamento sull’art. 6, par. 1, lett. b) GDPR, ossia considerarlo necessario all’esecuzione di un contratto o di misure precontrattuali richieste dall’interessato.
Il televoto, infatti, non si presenta come una mera manifestazione di gradimento spontanea e priva di struttura, ma come un servizio puntualmente disciplinato da un regolamento specifico, che definisce modalità di partecipazione, limiti massimi di voto per utenza, costi applicabili, operatori ammessi, tempistiche e meccanismi di validazione. L’utente, scegliendo di inviare un SMS o effettuare una chiamata, aderisce ad un sistema di regole predeterminate e accetta, mediante comportamento concludente, condizioni economiche e tecniche chiaramente definite.
In questo scenario, il trattamento dei dati personali (numero telefonico, dati di traffico, dati identificativi e altri dati di contatto) risulta funzionalmente e strettamente necessario all’esecuzione della prestazione richiesta: consentire l’espressione del voto nel rispetto dei limiti e delle regole fissate. Senza tale trattamento, il servizio non potrebbe essere erogato né sarebbe possibile garantire la regolarità della procedura.
La presenza di un regolamento formalizzato rafforza dunque la qualificazione del televoto come rapporto giuridico strutturato, caratterizzato da condizioni generali predeterminate, accettazione mediante comportamento concludente, corrispettivo economico (il costo dell’SMS o della chiamata) ed obblighi reciproci, quantomeno sul piano funzionale.
Tali elementi sono tipici di un rapporto contrattuale o, quanto meno, di un servizio richiesto dall’interessato ai sensi dell’art. 6, par. 1, lett. b) GDPR. In questa prospettiva, la base giuridica contrattuale risulterebbe sistematicamente più aderente alla natura dell’operazione, poiché il trattamento dei dati non costituirebbe un’attività autonoma da autorizzare mediante consenso, bensì un presupposto tecnico-giuridico indispensabile per dare esecuzione alla richiesta dell’utente.
L’opzione contrattuale presenterebbe inoltre un ulteriore vantaggio in termini di coerenza applicativa. A differenza del consenso, che è per definizione revocabile e soggetto alla disciplina dell’art. 17, par. 1, lett. b) GDPR, la base dell’esecuzione del contratto garantirebbe la legittimità del trattamento nella misura in cui esso sia necessario per adempiere alla prestazione richiesta.
Come noto, qualora il trattamento sia fondato sul consenso, la sua revoca comporterebbe, ai sensi dell’art. 17, par. 1, lett. b) GDPR, l’obbligo per il titolare di cancellare i dati personali, salvo che sussista un’ulteriore e autonoma base giuridica idonea a legittimarne la conservazione. L’EDPB ha chiarito che il titolare non può, in caso di revoca, “traslare” automaticamente il trattamento su una diversa base giuridica (ad esempio l’art. 6, par. 1, lett. b) del GDPR), se tale base non era stata previamente individuata e comunicata all’interessato in conformità agli artt. 13 e 14 GDPR. Qualsiasi modifica della base legittima deve infatti essere oggetto di informativa trasparente e tempestiva.
In un contesto in cui il voto produce effetti immediati e confluisce in un sistema di contabilizzazione che non può essere modificato ex post senza incidere sull’integrità della competizione, se il trattamento fosse stato fondato sin dall’origine sull’art. 6, par. 1, lett. b) GDPR, quale trattamento necessario all’esecuzione di un servizio richiesto dall’utente, e se fossero state individuate ulteriori e differenti basi giuridiche per la gestione degli aspetti ulteriori e connessi al televoto (quali ad esempio finalità antifrode), la legittimità del trattamento necessario alla contabilizzazione del voto sarebbe stata strutturalmente ancorata alla richiesta stessa dell’utente, riducendo le tensioni interpretative sul piano della revocabilità.
Naturalmente, la scelta della base giuridica rientra nella responsabilità del titolare e può essere sorretta da valutazioni prudenziali. Tuttavia, alla luce della presenza di un regolamento dettagliato, di condizioni economiche predeterminate e di una chiara richiesta di servizio da parte dell’utente, la qualificazione del trattamento ai sensi dell’art. 6, par. 1, lett. b) GDPR appare non solo sostenibile, ma probabilmente più allineata alla reale natura giuridica del televoto.
Un ulteriore elemento che merita attenzione riguarda il periodo di conservazione, che risulta formulato in termini formalmente corretti, limitando il trattamento al tempo necessario al conseguimento delle finalità e comunque non oltre il termine dell’iniziativa, salvo obblighi amministrativi, reclami o contenziosi. Tuttavia, la clausola rimane piuttosto ampia e generica. In un’ottica di accountability avanzata, sarebbe stato auspicabile indicare un orizzonte temporale più preciso o distinguere tra diverse tipologie di dati (ad esempio, dati utilizzati per verifiche antifrode rispetto a quelli meramente funzionali alla contabilizzazione del voto). La genericità è comprensibile in presenza di possibili contenziosi, ma una maggiore specificazione avrebbe rafforzato il principio di trasparenza.
In definitiva, il caso del televoto del Festival dimostra come la corretta qualificazione degli aspetti privacy non sia un mero esercizio formale, ma un passaggio centrale per la coerenza complessiva dell’impianto di compliance.
Anche un’attività percepita come meramente ludica evidenzia quanto la governance privacy rappresenti oggi un presidio strutturale di affidabilità istituzionale.
Torna alle news