Home

Il Garante Privacy si pronuncia sulla durata della conservazione dei dati trattati per finalità di marketing

Fonte: Provv. Privacy 18 luglio 2023 n. 321
10 Ottobre 2023

Il Garante Privacy, nel provvedimento in commento, ha ritenuto che conservare i dati raccolti con finalità di marketing fino alla revoca del consenso non sia conforme ai principi di minimizzazione e limitazione della finalità e della conservazione.

Massima

Contrasta con i principi di finalità, di minimizzazione e di limitazione della conservazione, ai sensi dell'art. 5, par.1, lett. b), c), ed e) del Regolamento, trattare per finalità di marketing i dati fino alla revoca del consenso ai sensi dell'art. 7 GDPR o fino ad opposizione ai sensi dell'art. 21 del GDPR.

Il caso

Nell'ambito dell'attività di controllo delle attività di marketing e di profilazione condotte dalle Società telefoniche, l'Autorità Garante per la Protezione dei Dati Personali ha effettuato un accertamento ispettivo culminato in una sanzione pecuniaria e nella sanzione accessoria della pubblicazione del provvedimento.

L'Autorità ha vagliato vari aspetti dell'attività del Titolare, tra cui il rispetto del principio di trasparenza, la legittimità di una eventuale attività di profilazione, le modalità di contatto a fini di marketing, la modalità di riscontro alle istanze di esercizio dei diritti degli interessati, il periodo di conservazione dei dati personali, la validità delle basi di legittimità su cui il Titolare ha inteso effettuare i vari trattamenti.

Il provvedimento affronta i punti di cui sopra, in generale, con indubbio equilibrio, risolvendoli uno ad uno con soluzioni che, per lo più, rispecchiano la costante giurisprudenza e l'approccio dottrinale e ribadendo i principi qui di seguito brevemente descritti:

  • È necessario prevedere, nelle informative, elementi specifici rispetto alla durata del periodo di conservazione dei dati, utili a garantire agli interessati la necessaria consapevolezza. Diversamente, si ritengono violati i principi di correttezza e trasparenza nel trattamento dei dati personali (artt. 5, par.1, lett. a, e 12, par.1 GDPR).
  • la deroga del soft spam (art. 130, comma 4, d.lgs. 196/03) non è applicabile al contatto non sollecitato, con finalità di marketing, effettuato con modalità differenti dalla posta elettronica.
  • la mancanza di una procedura idonea a rispondere con celerità alle istanze di esercizio dei diritti da parte degli interessati, viola i principi di privacy by design (art. 24 GDPR) e di accountability (art. 5 GDPR).
  • trattamenti consistenti in analisi generali ed aggregate di taluni aspetti relativi alle persone fisiche, che non comportino valutazioni o ricadute sugli interessati o arricchimento delle informazioni, non sostanziano profilazione ma mera “classificazione”.

La questione

Il passaggio del provvedimento che ha destato maggiore interesse è però quello che affronta il tema della durata della conservazione dei dati trattati, per finalità di marketing, sulla base del consenso.

La questione posta è la seguente: conservare dati personali raccolti e trattati per finalità di marketing fino all'(eventuale) revoca del consenso è o meno in contrasto con i principi di “finalità, di minimizzazione e di limitazione della conservazione”, ai sensi dell'art. 5, par.1, lett. b), c), ed e) GDPR?

Le soluzioni giuridiche

Nel provvedimento in esame, il Garante ha ritenuto che conservare i dati raccolti con finalità di marketing fino alla revoca del consenso non sia conforme ai principi di minimizzazione e limitazione della finalità e della conservazione.

La soluzione è stata determinata dal Garante sulla scorta di quanto asserito, rispetto alla conservazione dei dati, nel suo Provvedimento sulle Fidelity card e garanzie per i consumatori del 2005.

Il Garante ha affermato che il principio di accountability debba esser contemperato con gli altri principi del Regolamento e che, pertanto, un Titolare non possa scostarsi in modo eccessivo da quanto previsto nei provvedimenti che hanno valore di linea guida senza poter incorrere nella violazione del principio di limitazione della conservazione.

Osservazioni

Per inquadrare correttamente la questione, occorre, a parere di chi scrive, soffermarsi sulla finalità oggetto di analisi da parte del provvedimento: il marketing.

L'attività di marketing è definita più o meno universalmente come il complesso di tecniche volte a rendere disponibili e conoscibili beni e servizi ai consumatori. Talune tra le tecniche di marketing comportano il contatto diretto col potenziale consumatore (direct marketing) e, tra queste, molte richiedono trattamenti che possono essere effettuati solo sulla base di un consenso lecitamente ottenuto.

Fatta questa doverosa premessa, occorre soffermarci sulla questione specifica della durata della base giuridica del consenso e, di conseguenza, della conservazione dei dati utili a conseguire la finalità di marketing, ove i dati siano trattati su tale base. È fuor d'ogni dubbio che sia necessario individuare uno specifico termine di conservazione dei dati per garantire il rispetto, tra gli altri, del principio di trasparenza. È incontestabile che solo in casi residuali sia possibile indicare all'interessato i criteri con cui si determina il periodo di conservazione e non già il periodo esatto. Ulteriore punto fermo è che la conservazione dei dati in un formato che consenta l'identificazione degli interessati sia da limitare al conseguimento delle finalità per le quali i dati sono trattati.

La domanda che occorre porsi è: indicare la revoca del consenso quale termine di conservazione dei dati, porta incertezza ed indeterminatezza o, di converso, è l'unica possibile indicazione rispettosa di altri fondamentali principi quali libertà di impresa, accountability e, soprattutto, il diritto all'autodeterminazione dell'interessato?

Attesa l'indubbia necessità di rispettare i principi di cui sopra, quindi, chi decide che la finalità è stata conseguita, ove i trattamenti siano fondati sul consenso acquisito nel rispetto di tutti i principi previsti dalle norme di legge?

A ben vedere, i soggetti titolati ad individuare il conseguimento (o l'interruzione dei trattamenti prima del conseguimento) della finalità i cui trattamenti siano fondati sul consenso non possono che essere due:

  1. l'interessato, esercitando il suo diritto di revoca del consenso o, trattandosi di marketing, il suo diritto di opposizione ai sensi dell'art. 21 GDPR;
  2. il Titolare del trattamento che dovrà essere in grado di dimostrare che i dati vengono conservati o comunque trattati in virtù di una finalità ancora in essere, avendo cura di interrompere i trattamenti ove, ad esempio, scegliesse di perseguire la finalità con mezzi differenti o scegliesse di non voler più proseguire con l'attività di marketing.

A sostegno di tale impostazione possiamo citare lo European Data Protection Board nonché la stessa Autorità Garante per la Protezione dei dati personali. Lo European Data Protection Board, nelle sue Linee Guida n. 5/2020 sul Consenso ci indica come il GDPR non specifichi alcun termine per la durata del consenso.

Da tale constatazione lo EDPB fa derivare la seguente affermazione: (la durata del consenso) “dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell'interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso”.

L'opportunità di aggiornare il consenso è specificatamente indicata come “miglior prassi” e, nelle casistiche in cui i contatti non sono frequenti, ben potrebbe essere costituita, ad opinione di chi scrive, da una comunicazione che contenga un “kind reminder” all'interessato che offra una ulteriore opportunità di revocare il consenso o opporsi al trattamento ai sensi dell'art. 21, secondo paragrafo, GDPR.

L'Autorità Garante per la Protezione dei dati personali, nel provvedimento del 15 ottobre 2020, n. 181 ha stabilito che “il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l'idoneità della base giuridica. Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell'autodeterminazione dell'individuo, deve innanzitutto considerarsi scisso e non condizionato dall'esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall'interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell'informativa, nel rispetto dell'art. 5, par. 1, lett. e) del Regolamento”.

La stessa Autorità, inoltre, nell'affrontare il tema dei possibili effetti dell'inserimento in automatico dei numeri e degli indirizzi nel nuovo Registro delle Opposizioni, in una nota inviata all'allora Ministero dello Sviluppo Economico e richiamata ha ribadito come non fosse percorribile la strada del consenso cancellato “d'ufficio” poiché lesiva della libertà di scelta dell'interessato, occorrendo che la revoca, al pari del suo rilascio, venga esercitata mediante un atto positivo inequivocabile con il quale l'interessato manifesti l'intenzione libera, specifica, informata e inequivocabile di revocare il precedente consenso.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.