È l’ultima serata del Festival di Sanremo. Il conduttore annuncia l’apertura del televoto. Milioni di persone prendono il telefono, inviano un SMS o effettuano una chiamata: un gesto semplice, apparentemente neutro, quasi automatico. Ma, dal punto di vista giuridico, cosa accade realmente in quel momento? Dietro quell’SMS si colloca un trattamento di dati personali su larga scala: numeri telefonici, dati di traffico, informazioni tecniche relative all’operatore, oltre a ulteriori elementi connessi ai sistemi di validazione, ai controlli antifrode e ai meccanismi di contabilizzazione. Non si tratta soltanto di intrattenimento, ma di un’infrastruttura giuridica e tecnologica complessa. L’informativa resa dalla RAI individua quale base giuridica del trattamento il consenso dell’interessato ai sensi dell’articolo 6, paragrafo 1, lettera a) del Regolamento (UE) 2016/679 (GDPR). Ed è proprio qui che emerge il punto centrale della riflessione.
Il televoto è davvero fondato sul consenso?
Il televoto è realmente fondato sul consenso oppure la sua configurazione concreta suggerisce una diversa qualificazione giuridica? Il sistema non è una manifestazione spontanea e priva di struttura, ma un servizio puntualmente regolato. Esiste un regolamento dettagliato; sono previsti limiti massimi di voto per singola utenza; è stabilito un costo predeterminato per ogni SMS o chiamata; sono individuati operatori ammessi e modalità tecniche di validazione, nonché tempi, procedure e meccanismi di controllo.
Quando l’utente invia un SMS o effettua una chiamata non si limita a esprimere un’opinione, ma aderisce a un sistema di regole predeterminate, accetta condizioni tecniche ed economiche chiaramente definite e richiede, in sostanza, l’erogazione di un servizio.
L’ipotesi della base contrattuale
In questa prospettiva appare legittimo interrogarsi sulla possibilità di fondare il trattamento sull’articolo 6, paragrafo 1, lettera b) del GDPR, ossia sul trattamento necessario all’esecuzione di un contratto o di misure precontrattuali adottate su richiesta dell’interessato. Se l’utente richiede un servizio – la possibilità di esprimere validamente un voto nell’ambito di una procedura regolamentata – il trattamento del numero telefonico e dei dati tecnici correlati non costituisce un’attività autonoma rispetto al servizio, ma ne rappresenta il presupposto tecnico e funzionale imprescindibile.
Senza trattamento dei dati non è possibile identificare l’utenza. Senza identificazione non è possibile applicare i limiti di voto. Senza contabilizzazione non è possibile garantire la regolarità della competizione. Il trattamento appare dunque strutturalmente necessario all’esecuzione della prestazione richiesta dall’utente.
Le implicazioni della scelta della base giuridica
La differenza tra consenso e base contrattuale non è meramente teorica. Il consenso, per definizione, è revocabile in qualsiasi momento e la sua revoca può comportare, ai sensi dell’articolo 17 del GDPR, l’obbligo di cancellazione dei dati, salvo la sussistenza di un’ulteriore base giuridica idonea a legittimarne la conservazione.
In un contesto come quello del televoto, in cui il voto produce effetti immediati e confluisce in una classifica ufficiale, la revoca successiva del consenso porrebbe interrogativi non trascurabili sotto il profilo sistematico. Inoltre, secondo l’orientamento espresso dall’European Data Protection Board, il titolare non può traslare automaticamente il trattamento su una diversa base giuridica dopo la revoca, se tale base non era stata previamente individuata e comunicata in modo trasparente all’interessato. La scelta della base giuridica deve quindi essere coerente sin dall’origine e adeguatamente motivata.
Accountability, trasparenza e governance dei dati
Qualora il trattamento fosse stato qualificato come necessario all’esecuzione di un servizio richiesto dall’utente, la sua legittimità sarebbe risultata ancorata alla richiesta stessa, riducendo le tensioni interpretative connesse alla revocabilità del consenso. Naturalmente, la determinazione della base giuridica rientra nella responsabilità del titolare del trattamento, ossia la RAI, e può essere frutto di valutazioni prudenziali. Tuttavia, alla luce della presenza di un regolamento dettagliato, di condizioni economiche predeterminate e di una chiara richiesta di servizio, la qualificazione ai sensi dell’articolo 6, paragrafo 1, lettera b) del GDPR appare quantomeno sostenibile sotto il profilo sistematico.
Inoltre, sarebbe stato forse più corretto distinguere il trattamento su ulteriori basi giuridiche, quali il legittimo interesse o l’adempimento di obblighi di legge, in particolare per le finalità antifrode connesse alla raccolta e conservazione dei dati generati dal sistema di televoto.
Conservazione dei dati e trasparenza
Un ulteriore elemento riguarda il periodo di conservazione dei dati. L’informativa RAI limita il trattamento al tempo necessario al conseguimento delle finalità e comunque non oltre la durata dell’iniziativa, salvo obblighi amministrativi, reclami o contenziosi. Si tratta di una formulazione formalmente corretta ma ampia. In un’ottica di accountability evoluta, una distinzione più puntuale tra categorie di dati – ad esempio tra quelli utilizzati per la mera contabilizzazione e quelli conservati per finalità antifrode o di gestione dei reclami – avrebbe rafforzato il principio di trasparenza.
Il caso del televoto del Festival dimostra come la qualificazione giuridica del trattamento non sia un esercizio meramente formale. Anche un’attività percepita come ludica evidenzia quanto la governance privacy costituisca oggi un presidio strutturale di affidabilità istituzionale. Un semplice SMS può diventare così un caso di studio emblematico sulle scelte di compliance e sulla coerenza dell’impianto regolatorio applicato.
Ascolta il Podcast
