Il piano ispettivo del Garante della privacy per il secondo semestre 2019 prevede circa un centinaio di controlli ai soggetti pubblici e privati, con riferimento ad attività specifiche:
- alle banche, in riferimento ai flussi verso l’anagrafe dei conti;
- agli intermediari del servizio di fatturazione elettronica;
- alle società, per attività di marketing;
- agli enti pubblici, con riferimento a banche dati di notevoli dimensioni, per le attività di profilazione e fidelizzazione;
- alle società del food delivery;
- alla sanità privata.
Quattro gli aspetti oggetto di controllo:
- il periodo di conservazione dei dati;
- la regolarità di consensi e informative;
- i trattamenti collegati alla fatturazione elettronica;
- i dati trasmessi dalle banche all’anagrafe dei conti tenuta dal Fisco.
Consenso e periodo di conservazione dei dati per le attività di marketing: che cosa dice il GDPR?
Al fine di consentire una verifica della compliance in ambito privacy, concentriamoci su
- consenso;
- periodo di conservazione dei dati (che spesso induce a errori sostanziali nella modalità e in merito alla necessità).
Il consenso per le attività di marketing
Marketing diretto (in assenza di intermediari)
- La tutela dei dati personali degli utenti è rappresentata dal consenso che non può essere mai proposto con caselle già contrassegnate e non può costituire condizione legata all’ottenimento del servizio principale.
- Non è lecito ricorrere a dati estratti da registri pubblici, elenchi, siti web, atti o documenti pubblici.
- L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati a fini di marketing, pur avendo originariamente manifestato il consenso.
- Non è necessario chiedere consensi distinti per ogni canale comunicativo; un consenso rilasciato per l’invio di mail, sms, mms, telefonate automatizzate, copre anche quello per altre forme di comunicazione (ex. posta cartacea, telefonate tramite operatore).
- Il non consenso, quando proposto in modo unico, non permetterà al titolare di inviare alcuna comunicazione.
- Il GDPR prevede che, se il trattamento è basato sui legittimi interessi, non occorre il consenso. Significa che i legittimi interessi del titolare del trattamento possono rendere lecito il trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Esempio 1 – Quando esiste una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento: l’interessato è alle dipendenze del titolare del trattamento.
Esempio 2 – Quando si è in presenza di un cliente acquisito, si può far leva sul “bilanciamento degli interessi” e quindi la base giuridica può consistere nei legittimi interessi del titolare evitando il consenso, purché si rispettino i seguenti requisiti dimostrabili al Garante
- la trasmissione del messaggio avviene per posta elettronica (non sono ammesse comunicazioni telefoniche);
- la mail deve essere quella indicata nel contesto della vendita di un prodotto o servizio;
- i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare, mai da terzi;
- il prodotto o il servizio devono essere analoghi a quelli già acquistati dall’interessato;
- il destinatario non deve aver rifiutato all’inizio o nel corso di ulteriori comunicazioni tale invio di comunicazioni promozionali;
- il destinatario deve avere la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente e in maniera semplice.
Marketing indiretto
L’identificazione dell’utente può avvenire solo previo consenso manifestato sulla base di una informativa che espliciti tale finalità.
Il termine di conservazione dei dati
Il Regolamento stabilisce che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”.
L’articolo 13 del GDPR prevede che il titolare del trattamento debba informare gli interessati circa il periodo di conservazione dei dati personali e, se ciò non è possibile, almeno dei “criteri utilizzati per determinare tale periodo”.
Il tempo di conservazione in taluni trattamenti è preciso (per esempio se legato a obblighi contrattuali, normative, la garanzia del prodotto, termini di prescrizioni per far fronte a futuri contenziosi). In caso contrario viene stabilito direttamente dal titolare e talvolta non è di facile individuazione, in quanto non è immediato valutare la proporzionalità rispetto alla finalità del trattamento come richiesto dal GDPR. In ogni caso un tempo di conservazione illimitato non è mai consentito.
Una volta terminato tale periodo il dato va cancellato (da tutti i supporti, compresi i backup) oppure, in alternativa, anonimizzato.