TUTELA DEI DATI PERSONALI
Garante privacy: il consenso marketing è valido fino a quanto non viene revocato dall'interessato.
Privacy su misura per il marketing. Le imprese possono stabilire per quanto tempo tenere per scopi di marketing e di profi lazione i dati personali raccolti con il consenso dell’interessato. È quanto discende dal provvedimento del Garante per la protezione dei dati personali n. 181 del 15 ottobre 2020.
Con l’avvento del Regolamento Ue 2016/679 (o Gdpr, operativo dal 2018) può considerarsi superato il provvedimento, sempre del Garante, del 24 febbraio 2005 (sulle Fidelity card), che fi ssava il limite dei due anni per tenere i dati per scopi di marketing profi lato e il limite di un anno per scopi di marketing profi lato. Ma vediamo di ricostruire la vicenda. Il Regolamento Ue ha rafforzato la regola, per cui il titolare del trattamento (ad esempio un’impresa) deve fissare un limite alla conservazione dei dati e questo termine (o la modalità per calcolarlo) deve essere oggetto di una informativa all’interessato. È emersa, dunque, l’esigenza di stabilire il termine per la conservazione dei dati per scopi di marketing e della profi lazione (analisi delle abitudini di consumo) connessa al marketing.
In materia il provvedimento del Garante sulle fi delity card, ha scritto che, previo consenso dell’interessato, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili potevano essere conservati per fi nalità di profi lazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione. Il provvedimento ha concluso che per superare questi termini bisognava chiedere al Garante una verifi ca preliminare (una sorta di autorizzazione), in base al vecchio articolo 17 del codice della privacy (ora abrogato). Ci si è chiesti se tutto ciò continua a essere valido dopo l’entrata in servizio del Gdpr (25 maggio 2018). Ora, prendiamo il provvedimento del Garante n. 181 del 15 ottobre 2020 e troviamo scritto che il consenso al trattamento dei dati personali per fi nalità promozionali deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’articolo 5, par. 1, lett. e) del Regolamento Ue.
La prospettiva è dunque cambiata. Il Regolamento Ue ha responsabilizzato le imprese (titolari del trattamento) e i termini di conservazione, quindi, non possono più essere stabiliti dal Garante. In sostanza ciascun operatore può assumersi la responsabilità di fi ssare i termini di conservazione, anche diversi dai due anni e dall’anno di cui si è detto. Naturalmente non si tratta di una scelta arbitraria, ma deve essere giustifi cata da motivi controllabili (ad esempio il ciclo di vita del prodotto o i tempi di reiterazione dell’acquisto da parte dei consumatori ecc.): il Garante non fi sserà i termini, ma pur sempre li controlla e bisogna essere in grado di spiegare perché si è scelto un certo periodo. I termini devono essere indicati nell’informativa all’interessato e per le profilazioni si deve spiegare quale sia la logica usata per la creazione di gruppi e cluster. Si aggiunge anche che, in materia di marketing, molto spesso ricorrono i presupposti previsti da un altro articolo del Regolamento Ue e cioè l’articolo 35, che tratta della valutazione di impatto privacy. La valutazione va fatta se il trattamento presenta un rischio elevato per l’interessato. Nel vecchio Codice quando ricorrevano rischi «specifi ci» bisognava chiedere una verifi ca preliminare al Garante (articolo 17 abrogato): così nel caso in cui si intendessero superare i termini di uno o due anni per marketing profi lato e non. Non è peregrino, quindi, che l’impresa quando vuole tenere i dati per marketing e profi lazioni oltre detti termini si chieda se questo implica un rischio elevato e, se la risposta è affermativa, scriva una valutazione di impatto privacy.
(Fonte: Italia Oggi del 4 Dicembre 2020 - Autore: Antonello Ciccia Messina -Titolarità dei contenuti: Italia Oggi).
Con l’avvento del Regolamento Ue 2016/679 (o Gdpr, operativo dal 2018) può considerarsi superato il provvedimento, sempre del Garante, del 24 febbraio 2005 (sulle Fidelity card), che fi ssava il limite dei due anni per tenere i dati per scopi di marketing profi lato e il limite di un anno per scopi di marketing profi lato. Ma vediamo di ricostruire la vicenda. Il Regolamento Ue ha rafforzato la regola, per cui il titolare del trattamento (ad esempio un’impresa) deve fissare un limite alla conservazione dei dati e questo termine (o la modalità per calcolarlo) deve essere oggetto di una informativa all’interessato. È emersa, dunque, l’esigenza di stabilire il termine per la conservazione dei dati per scopi di marketing e della profi lazione (analisi delle abitudini di consumo) connessa al marketing.
In materia il provvedimento del Garante sulle fi delity card, ha scritto che, previo consenso dell’interessato, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili potevano essere conservati per fi nalità di profi lazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione. Il provvedimento ha concluso che per superare questi termini bisognava chiedere al Garante una verifi ca preliminare (una sorta di autorizzazione), in base al vecchio articolo 17 del codice della privacy (ora abrogato). Ci si è chiesti se tutto ciò continua a essere valido dopo l’entrata in servizio del Gdpr (25 maggio 2018). Ora, prendiamo il provvedimento del Garante n. 181 del 15 ottobre 2020 e troviamo scritto che il consenso al trattamento dei dati personali per fi nalità promozionali deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’articolo 5, par. 1, lett. e) del Regolamento Ue.
La prospettiva è dunque cambiata. Il Regolamento Ue ha responsabilizzato le imprese (titolari del trattamento) e i termini di conservazione, quindi, non possono più essere stabiliti dal Garante. In sostanza ciascun operatore può assumersi la responsabilità di fi ssare i termini di conservazione, anche diversi dai due anni e dall’anno di cui si è detto. Naturalmente non si tratta di una scelta arbitraria, ma deve essere giustifi cata da motivi controllabili (ad esempio il ciclo di vita del prodotto o i tempi di reiterazione dell’acquisto da parte dei consumatori ecc.): il Garante non fi sserà i termini, ma pur sempre li controlla e bisogna essere in grado di spiegare perché si è scelto un certo periodo. I termini devono essere indicati nell’informativa all’interessato e per le profilazioni si deve spiegare quale sia la logica usata per la creazione di gruppi e cluster. Si aggiunge anche che, in materia di marketing, molto spesso ricorrono i presupposti previsti da un altro articolo del Regolamento Ue e cioè l’articolo 35, che tratta della valutazione di impatto privacy. La valutazione va fatta se il trattamento presenta un rischio elevato per l’interessato. Nel vecchio Codice quando ricorrevano rischi «specifi ci» bisognava chiedere una verifi ca preliminare al Garante (articolo 17 abrogato): così nel caso in cui si intendessero superare i termini di uno o due anni per marketing profi lato e non. Non è peregrino, quindi, che l’impresa quando vuole tenere i dati per marketing e profi lazioni oltre detti termini si chieda se questo implica un rischio elevato e, se la risposta è affermativa, scriva una valutazione di impatto privacy.
(Fonte: Italia Oggi del 4 Dicembre 2020 - Autore: Antonello Ciccia Messina -Titolarità dei contenuti: Italia Oggi).
