di Antonio Ciccia Messina
Privacy su misura per il marketing. Le imprese possono stabilire per quanto tempo tenere per scopi di marketing e di profilazione i dati personali raccolti con il consenso dell’interessato.
È quanto discende dal provvedimento del Garante per la protezione dei dati personali n. 181 del 15 ottobre 2020. Con l’avvento del Regolamento Ue 2016/679 (o Gdpr, operativo dal 2018) può considerarsi superato il provvedimento, sempre del Garante, del 24 febbraio 2005 (sulle Fidelity card), che fissava il limite dei due anni per tenere i dati per scopi di marketing profilato e il limite di un anno per scopi di marketing profilato.
Ma vediamo di ricostruire la vicenda.
Il Regolamento Ue ha rafforzato la regola, per cui il titolare del trattamento (ad esempio un’impresa) deve fissare un limite alla conservazione dei dati e questo termine (o la modalità per calcolarlo) deve essere oggetto di una informativa all’interessato.
È emersa, dunque, l’esigenza di stabilire il termine per la conservazione dei dati per scopi di marketing e della profilazione (analisi delle abitudini di consumo) connessa al marketing.
In materia il provvedimento del Garante sulle fidelity card, ha scritto che, previo consenso dell’interessato, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili potevano essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione. Il provvedimento ha concluso che per superare questi termini bisognava chiedere al Garante una verifica preliminare (una sorta di autorizzazione), in base al vecchio articolo 17 del codice della privacy (ora abrogato).
Ci si è chiesti se tutto ciò continua a essere valido dopo l’entrata in servizio del Gdpr (25 maggio 2018).
Ora, prendiamo il provvedimento del Garante n. 181 del 15 ottobre 2020 e troviamo scritto che il consenso al trattamento dei dati personali per finalità promozionali deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’articolo 5, par. 1, lett. e) del Regolamento Ue.
La prospettiva è dunque cambiata.
Il Regolamento Ue ha responsabilizzato le imprese (titolari del trattamento) e i termini di conservazione, quindi, non possono più essere stabiliti dal Garante.
In sostanza ciascun operatore può assumersi la responsabilità di fissare i termini di conservazione, anche diversi dai due anni e dall’anno di cui si è detto.
Naturalmente non si tratta di una scelta arbitraria, ma deve essere giustificata da motivi controllabili (ad esempio il ciclo di vita del prodotto o i tempi di reiterazione dell’acquisto da parte dei consumatori ecc.): il Garante non fisserà i termini, ma pur sempre li controlla e bisogna essere in grado di spiegare perché si è scelto un certo periodo.
I termini devono essere indicati nell’informativa all’interessato e per le profilazioni si deve spiegare quale sia la logica usata per la creazione di gruppi e cluster.
Si aggiunge anche che, in materia di marketing, molto spesso ricorrono i presupposti previsti da un altro articolo del Regolamento Ue e cioè l’articolo 35, che tratta della valutazione di impatto privacy. La valutazione va fatta se il trattamento presenta un rischio elevato per l’interessato. Nel vecchio Codice quando ricorrevano rischi «specifici» bisognava chiedere una verifica preliminare al Garante (articolo 17 abrogato): così nel caso in cui si intendessero superare i termini di uno o due anni per marketing profilato e non.
Non è peregrino, quindi, che l’impresa quando vuole tenere i dati per marketing e profilazioni oltre detti termini si chieda se questo implica un rischio elevato e, se la risposta è affermativa, scriva una valutazione di impatto privacy.
© Riproduzione riservata
Fonte: