Garante per la protezione dei dati personali: provvedimento n. 322 del 22/05/2018
E’ legittima l’estensione del tempo di conservazione dei dati personali per un periodo di 7 anni, se un tempo inferiore ridurrebbe significativamente l’utilità dell’attività di profilazione di marketing poste a base del trattamento.
Riferimenti normativi: artt. 17 del Codice in materia di protezione dei dati personali
Fatto
Una società specializzata nel settore della moda si era rivolta al Garante per la protezione dei dati personali per chiedere una verifica preliminare sulla fattibilità di un’estensione dei tempi di conservazione dei dati personali riguardanti la propria clientela per finalità di profilazione e di marketing.
In particolare la Società sulla scia di un precedente provvedimento emanato dallo stesso organo competente in materia di privacy, che aveva previsto la possibilità di trattare i dati personali raccolti per finalità di profilazione e di marketing per un periodo di 12 e 24 mesi, si era rivolta al Garante per la protezione dei dati personali chiedendo di poter raccogliere e trattare per le stesse finalità di cui sopra i dati riferiti alla propria clientela per un periodo di sette anni.
La Società nel motivare tale richiesta aveva specificato che i propri clienti effettuavano mediamente un solo acquisto durante un anno solare o due acquisti in corrispondenza dei periodi di primavera-estate e autunno-inverno. I prodotti offerti dalla Società ai propri clienti dovevano considerarsi di fascia medio alta e come tali la frequenza di acquisto degli stessi non appariva significativa nell’arco temporale di un anno, ed era per tale motivo che il rispetto dei tempi di conservazione di 12 e 24 mesi, previsti dal precedente provvedimento, per le finalità di profilazione e marketing appariva limitativo, o rendeva di fatto impossibile o comunque priva di effettivo valore una qualsiasi profilazione della clientela rispetto agli acquisti effettuati.
A sostegno della richiesta avanzata al Garante per la protezione dei dati personali, la Società aveva richiamato nell’istanza presentata alcuni passati provvedimenti emanati dalla stessa Autorità a fronte di analoghe istanze presentate da altre società operanti nel medesimo settore merceologico. La Società evidenzia come il Garante, con tali provvedimenti, aveva autorizzato un’estensione dei termini di conservazione dei dati personali raccolti per finalità di profilazione e marketing, con tempi simili a quelli indicati nell’istanza presentata dalla Società, ed oggetto di verifica preliminare.
La decisione del Garante
Il Garante, presa in esame la richiesta di verifica preliminare e valutate le circostanze rappresentate dalla Società, ha ritenuto accoglibile la richiesta di estensione dei tempi di conservazione dei dati personali riguardanti la clientela per attività di profilazione e marketing, riconoscendo alla Società la possibilità di trattare i dati per un periodo massimo di sette anni a decorrere dal momento dell’effettuazione della registrazione dei dati. Ha, poi, stabilito che alla scadenza del periodo di conservazione, i dati personali dovranno essere cancellati automaticamente o resi anonimi in modo permanente e non reversibile.
Il Garante nel valutare l’istanza presentata dalla Società ha rilevato come nel caso di specie i tempi di conservazione individuati nel precedente provvedimento richiamato nella stessa istanza, e cioè 12 e 24 mesi, fossero tali da ridurre significativamente l’utilità dell’attività di profilazione e della successiva attività di marketing. Condividendo quanto rappresentato dalla Società, il Garante ha riconosciuto che un periodo di conservazione dei dati personali inferiore a sette anni non garantiva il raggiungimento delle finalità di profilazione e marketing poste a base del trattamento dei dati, in quanto i dati personali concernenti gli acquisti effettuati dalla clientela presso gli store della Società, o attraverso la e-commerce, presentavano una frequenza media di acquisto alquanto bassa, e dunque le operazioni di trattamento per le richiamate finalità, se svolte per archi temporali inferiori a quelli richiesti, ne vanificava l’utilità e gli effetti.
Il Garante, poi, non ha omesso di considerare i suoi precedenti provvedimenti, nei quali in casi analoghi era stato ritenuto proporzionato per le stesse finalità di profilazione e marketing un più ampio intervallo di conservazione dei dati nel settore della moda.
Tenuto conto di tutto ciò il Garante ha ritenuto che nel caso in esame l’estensione del tempo di conservazione dei dati per un periodo massimo di sette anni decorrente dalla loro registrazione fosse da ritenersi, nel rispetto dei principi di pertinenza e non eccedenza, un arco temporale congruo e proporzionato alle finalità che la Società intendeva perseguire.
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento