Il Garante per la protezione dei dati personali ha recentemente chiarito che è illegittimo conservare i dati personali dei clienti fino alla revoca del consenso da parte dell’interessato.
Volume consigliato: Formulario commentato della privacy
Indice
1. I fatti
Il Garante per la protezione dei dati personali aveva effettuato un accertamento ispettivo nei confronti di una importante azienda di telecomunicazione, nell’ambito della propria attività di controllo del marketing e della profilazione da parte delle aziende operanti in Italia.
Dall’esame ispettivo erano emerse una serie di problematicità, per quanto qui di interesse, con riferimento ai tempi di conservazione dei dati personali da parte dell’azienda e alla relativa informativa privacy nei confronti ei clienti. In particolare, la informativa privacy prevedeva che l’azienda conserva “i dati degli utenti solo per il tempo necessario a fornire il servizio richiesto o per adempiere ad obblighi di legge” e che se il cliente ritiene che la conservazione supera il periodo di tempo necessario, nel caso in cui l’interessato non sia più cliente della società da almeno 6 mesi e non vi è alcun oggetto di fatturazione attivo e/o situazioni di credito, frodi, reclami aperte, l’utente può anche richiedere la cancellazione dei propri dati. Infine, nell’informativa era precisato che la società, anche in tal caso, potrebbe “essere comunque obbligata a non cancellare definitivamente i dati dell’utente per: motivi di pubblica sicurezza; l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria ovvero per l’adempimento di un obbligo legale”.
Pertanto, secondo il Garante la società non aveva previsto alcun termine temporale di riferimento per la conservazione dei dati personali degli utenti e tanto meno aveva distinto un termine in base al tipo di modalità di trattamento e in base alle varie finalità (soprattutto per le finalità di marketing e quelle di profilazione).
In considerazione di ciò, secondo il Garante, l’informativa non forniva agli interessati elementi sufficienti per consentire loro di essere consapevoli rispetto alla durata del trattamento.
Inoltre, con riferimento ad alcuni soggetti specifici (cioè quelli prospect e quelli lead richiamati nell’ambito del servizio di call-back), dall’istruttoria è emerso che i dati venivano conservati rispettivamente per 5 anni e per 2 anni.
In considerazione di quanto sopra, il Garante ha notificato alla società la comunicazione di avvio del procedimento nei suoi confronti per possibile violazione della normativa in materia di protezione dei dati personali e invitato la società a inviare scritti difensivi.
La società ha inviato al Garante la propria memoria difensiva dove ha specificato, per quanto qui di interesse, che considera valido il consenso rilasciato dai clienti per 10 anni dalla data di cessazione del contratto, a meno che non subentri una revoca da parte dell’ex cliente (e che a tal fine tiene traccia delle revoche ricevute).
Potrebbero interessarti:
Pubblicazione di due email durante trasmissione TV: violazione privacy
Privacy a pagamento su Meta: dibattito sulla monetizzazione dei dati
2. Conservazione dei dati personali fino alla revoca del consenso: valutazione del Garante
Dall’istruttoria effettuata è emerso che la società, per effettuare attività di marketing e di classificazione dei clienti, conserva i dati per 10 anni a partire dall’ultimo acquisto o dall’ultima interazione. Inoltre, per le medesime finalità, vengono conservati per 5 anni i dati dei soggetti prospect. Per quanto riguarda il termine iniziale della conservazione, la società ha individuato la data dell’ultima interazione rispetto al marketing e quella della raccolta del consenso rispetto alla classificazione dei clienti.
In considerazione di quanto accertato, quindi, il Garante ha ritenuto che tale condotta comportasse una violazione dei principi di correttezza e di trasparenza previsti dal Regolamento europeo per la protezione dei dati personali (GDPR).
Ciò in quanto, nell’informativa privacy non sono risultati indicati i tempi di conservazione per le pur invasive finalità di marketing (anche mirato) e della sottesa classificazione dei clienti, non consentendo agli interessati di valutare se e quali dati rilasciare od eventualmente disiscriversi dal sito societario.
Tale omissione comporta una violazione dei principi di trasparenza del trattamento.
Inoltre, la conservazione dei dati personali raccolti e trattati per finalità di marketing relativi a clienti attivi per il periodo di tempo di 10 anni contrasta con i principi di minimizzazione e di limitazione della conservazione.
Secondo il Garante, i suddetti termini di conservazione sono eccessivamente dilatati. Infatti, la regola generale, riguardo ai tempi di conservazione, è un massimo di 2 anni per i dati relativi al marketing e di 1 anno, per quelli relativi alla profilazione. In alcuni casi eccezionali il Garante ha ritenuto possibile aumentare il periodo di conservazione dei dati, ma in quei casi comunque il termine massimo era di 7 anni e il Garante ha autorizzato le società a seguito di una specifica richiesta in tal senso e dopo aver effettuato una istruttoria apposita.
3. La decisione del Garante
In conclusione, il Garante ha ritenuto che è da considerarsi ancora applicabile con valore di linea guida la tempistica di conservazione dei dati prevista da un provvedimento del medesimo Garante del 2005 (pari a 24 mesi per i dati relativi al marketing e a 12 mesi per i dati relativi alla profilazione); mentre, non si può giungere alla conclusione che un titolare – in base al principio di accountability che necessita di essere contemperato con gli altri fondamentali principi previsti dal Regolamento – possa scostarsi in modo eccessivo rispetto a detti limiti temporali di conservazione, senza poter incorrere nella violazione del principio di limitazione della conservazione.
Conseguentemente, il Garante ha ritenuto illecita la condotta della società, che ha conservato i dati degli interessati per un periodo di tempo superiore a quello permesso dalla normativa privacy e ha ingiunto alla medesima di individuare e applicare dei tempi di conservazione dei dati differenziati rispetto alle categorie di interessati e soprattutto in linea con il principio di limitazione della conservazione; cancellando, invece, o anonimizzando i dati che risultano conservati oltre i termini stabiliti.
Infine, il Garante, valutando tutte le circostanze attenuanti (fra cui la tempestiva adozione di misure correttive, la collaborazione con l’Autorità, la sua dimensione marginale nel mercato della telefonia e la situazione economico finanziaria della società) che ricorrevano nel caso di specie e ritenendo che invece non vi fossero circostanze aggravanti, ha sanzionato la società per le violazioni sopra accertate, comminando nei suoi confronti una sanzione pecuniaria amministrativa di €. 100.000 (centomila).
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Formulario commentato della privacy
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento