Sui siti Internet tripletta di informazioni: bisogna tenere separate l’informativa privacy, l’informativa sull’uso di cookie e le informazioni e note legali relative ai servizi online e alle condizioni contrattuali praticate.
Sono le prescrizioni applicate al settore marketing dal Garante della privacy nell’ingiunzione n. 348 del 20 ottobre 2022, con la quale è stata sanzionata (1,4 milioni euro) una catena internazionale di profumerie. All’operatore è stato rimproverato anche di avere conservato troppo a lungo i dati dei clienti raccolti nel contesto di un programma di fidelizzazione.
Sempre in materia di marketing un’altra ingiunzione del Garante (la n. 379 del 10 novembre 2022) ha messo paletti alla possibilità di raccogliere un consenso cumulativo a ricevere messaggi promozionali con strumenti automatizzati e con mezzi di comunicazione tradizionali
Passiamo, dunque, ad illustrare i passaggi più rilevanti delle due ingiunzioni, le quali riprendono, con alcune rivisitazioni, l’impianto di provvedimenti del Garante anteriori al Gdpr.
Informative separate. Le informative privacy sono atti che devono essere completi ed analitici e richiedono molte attenzioni formali (non basta certo un disegnino). L’ingiunzione n. 348/2022 ha imposto alla catena di profumerie di distinguere chiaramente informativa e consensi “privacy” dall’informativa e consensi per i cookies.
Con la prima, nei rapporti con i clienti, si informa su come e perché si trattano i dati nel contesto della fornitura di beni e servizi e della loro promozione commerciale.
Con l’informativa “cookie” si deve descrivere il trattamento effettuato nel contesto della navigazione sul sito internet e riguarda l’eventuale tracciamento delle operazioni nella consultazione delle pagine web. Entrambe le informative non devono essere confuse in unico testo. Inoltre, entrambe devono essere tenute separate dai termini contrattuali di vendita di beni e servizi.
Il Garante aggiunge, poi, che nell’informativa bisogna scrivere solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite, senza, dunque, dilungarsi in descrizioni di attività eventuali e future.
Questo, ovviamente, non esclude di dare conto delle operazioni di trattamento che non hanno avuto ancora inizio. Anzi per definizione l’informativa deve precedere il trattamento.
Quel che è vietato è confondere le idee degli interessati e accumulare frasi su frasi su modalità del trattamento del tutto improprie o magari solo per precauzione, caso mai in futuro si cominciasse a farle.
Bisogna ricordarsi, invece, che l’informativa è di per sé un atto destinato a continui aggiornamenti e, quindi, quando è necessario, potrà essere modificata e integrata.
Consensi cumulativi. Con un vecchio provvedimento (il n. 242 del 15/5/2013) il Garante ha concesso una semplificazione per i consensi “marketing”.In particolare, nei contatti promozionali è possibile chiedere un consenso indifferenziato con riferimento a diverse modalità di trattamento e cioè per le automatizzate oppure per i contatti telefonici effettuati da operatore umano: se si chiede il consenso per le modalità automatizzate (e-mail, messaggistica, ecc.) questo vale anche per le chiamate con operatore.
Questo vale sempre, anche dopo il Gdpr (diventato operativo nel maggio del 2018), ma bisogna rispettare certe condizioni, che il Garante ricorda nell’ingiunzione n. 379/2022.
L’informativa e la richiesta di consenso devono chiarire i mezzi usati e, quindi, devono elencare tutte le modalità usate. Ma questo non basta. All’interessato deve essere garantita la possibilità di limitare, in maniera facile e gratuita, i contatti a quelli tradizionali. Magari l’interessato non vuole più ricevere comunicazioni di posta elettronica o telefonate con operatore e deve poter scartare l’opzione non gradita.
Durata limitata. Un altro vecchio provvedimento del Garante (del 24 febbraio 2005) ha disciplinato i programmi di fidelizzazione della clientela, stabilendo il termine di 12 mesi di conservazione dei dati per finalità di marketing e di 24 mesi per finalità di profilazione. Avendo in mente questo precedente, il Garante (ingiunzione n. 348/2022) ha imposto a un operatore economico la cancellazione di dati di clienti risalenti a oltre 10 anni prima. Inoltre ha imposto di cancellare o di pseudonimizzare quelli conservati da meno di 10 anni e, nel caso di pseudonomizzazione, ha obbligato a chiedere il rinnovo del consenso, e a cancellare chi non lo fa. Se ne deduce che l’operatore economico deve prendere in considerazione i termini previsti dal provvedimento del 2005 e, per discostarsene, deve giustificare con una valutazione di impatto privacy i termini eventualmente più lunghi.
Fino a revoca. Sempre sui termini, il Garante impone di non eludere la normativa. Anche quando si prevede il consenso al marketing e/o alla profilazione valido fino a revoca/opposizione, l’operatore economico deve provvedere a una conservazione selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti. Ciò dovrebbe fare, a prescindere dalla revoca del consenso o da richieste provenienti dall’interessato.
In effetti si tratta di istituti differenti: la revoca del consenso riguarda le condizioni di liceità del trattamento, mentre la limitazione della conservazione riguarda un principio del trattamento stesso.
Fonte: