L’Autorità Garante per la Protezione dei Dati Personali è tornata a pronunciarsi sul marketing online con due diverse ingiunzioni, che oltre a sanzionare due aziende (la prima appartenente ad gruppo di profumerie, la seconda in ambito telecomunicazioni) hanno fornito nuove importanti indicazioni in merito alla gestione delle campagne pubblicitarie online.
Marketing e privacy, si sa, sono da sempre un po’ nemici giurati e la sintesi tra queste due esigenze appare inconciliabile. Da un lato sta l’esigenza, legittima e giustificata, peraltro, dell’azienda, di massimizzare i profitti, di vendere, di vedere crescere il fatturato; dall’altro, tuttavia, risiedono i diritti e le libertà fondamentali degli interessati, ed in particolare il diritto alla protezione dei propri dati personali, che devono essere trattati secondo i principi di lealtà, correttezza, trasparenza e nel rispetto delle indicazioni del Regolamento Generale per la Protezione dei dati Personali 679/2016.
È un equilibrio non semplice, e negli anni il Garante ha fornito diverse indicazioni a cui gli operatori economici devono adeguarsi per effettuare un marketing che sia compliant con i principi di protezione dei dati.
Con le due ingiunzioni n. 348 e 379, rispettivamente del 20 ottobre e del 10 novembre 2022, entrambe a seguito di una segnalazione proveniente da parte di un interessato (segno evidente che il Garante si muove quando i cittadini ad esso si rivolgono), i nuclei speciali della Guardia di Finanza hanno segnalato irregolarità in merito alle informative fornite, agli strumenti utilizzati per le campagne di marketing, all’uso dei cookie, alla tracciabilità dei consensi ed alla policy di data retention, annosa questione su cui l’Autorità ha già avuto modo di pronunciarsi in passato.
Indice
1. Il primo caso: utilizzo dei dati da parte di due diverse aziende fuse tra loro mediante incorporazione
La sanzione n. 348 del 20 ottobre 2022 è stata irrogata ad un gruppo societario per l’utilizzo di dati di altre due catene acquisite con una fusione per incorporazione.
Dall’attività istruttoria espletata dal Garante è emerso che:
- Le informative sul trattamento dei dati in occasione della fusione erano poco chiare rispetto ai nuovi clienti acquisiti con la fusione.
- In particolare, informativa privacy, informativa cookie e condizioni generali di contratto del programma “fidelity card” risultavano riunite in un unico documento, con conseguente poca chiarezza in merito alle diverse finalità dei trattamenti.
- Il consenso non aveva il requisito della granularità, essendo previsto un unico consenso per tutte le finalità, ivi comprese quelle di marketing e di profilazione.
- L’utente veniva geolocalizzato, senza che nulla fosse indicato in proposito sull’informativa.
In sostanza, i clienti delle società acquisite non sono stati informati del fatto che i loro dati, a seguito della fusione, venivano incorporati e trasferiti alla società acquirente e nuova controllante, e non venivano richiesti i nuovi consensi.
Alla luce delle violazioni accertate, il Garante ha sanzionato la società per il mancato rispetto dei principi di finalità del trattamento e limitazione della conservazione.
Potrebbero interessarti anche
2. Il secondo caso: l’utilizzo di dati per finalità diverse senza informativa né consenso
Anche con il secondo provvedimento, il n. 379 del 10 novembre 2022, l’Autorità ha accertato che la società ispezionata (operante nel settore delle telecomunicazioni) utilizzava i dati raccolti per una sola finalità di marketing, anche per finalità diverse, senza informative né consensi (ad esempio gli utenti che avevano dato il consenso alla ricezione di SMS ricevevano anche telefonate, e viceversa), ivi comprese le forme di marketing con strumenti automatizzati.
3. I principi enunciati e ribaditi
Dai due casi sopra prospettati sono discesi alcuni principi in tema di marketing online e di raccolta e tracciamento dei consensi, che è bene qui ribadire per il corretto utilizzo dei dati degli utenti a scopi promozionali.
- 1) Le informative privacy e cookie devono essere differenziate: questo aspetto, lungi dall’essere una mera formalità, è spesso sottovalutato dai Titolari del trattamento, ma è stato ribadito dal Garante nel primo dei due provvedimenti in esame. Su un sito web la cosiddetta “privacy policy” deve essere separata dalla “cookie policy”, in quanto le funzioni dei due documenti sono diverse. La prima informa gli utenti delle finalità e modalità di trattamento dei suoi dati, sia quelli di navigazione, sia quelli forniti volontariamente, ed eventualmente raccoglie i consensi per quei trattamenti che lo richiedono. La seconda, invece, informa gli utenti circa i particolari sistemi di tracciamento presenti (o non presenti) sul sito e consente all’utente di esprimere un valido consenso sul loro utilizzo, valido perché debitamente informato.
- 2) I consensi marketing devono essere specifici e indicare le modalità con cui le attività promozionali vengono effettuate: con il secondo dei provvedimenti in esame, il Garante ha chiarito che l’informativa privacy e la richiesta di consenso devono chiarire con quali strumenti il marketing verrà effettuato, in modo che gli utenti possano, in ogni momento, revocare o limitare il proprio consenso.
- 3) Attenzione a dove e come i consensi vengono archiviati: in ossequio al principio di accountability, il Titolare del trattamento deve essere in grado di dimostrare quando e come il consenso è stato raccolto. Pertanto, è necessario prestare la massima attenzione al tracciamento dei consensi ed alle loro vicende successive (eventuali revoche o limitazioni). Inoltre, qualora con tempo i trattamenti mutino, è necessario fornire agli utenti una nuova informativa.
- 4) Retention policy: pur rimanendo valida l’indicazione sempre del garante sulla conservazione dei dati per finalità di marketing (24 mesi) e per la profilazione (12 mesi), il Titolare può stabilire durate più elevate a seguito di adeguata valutazione di impatto. Ma questo non significa, naturalmente, che i dati possano essere conservati e trattati per sempre. Nel primo dei casi esaminati, il Garante ha imposto la cancellazione dei dati raccolti oltre dieci anni prima, mentre al di sotto dei dieci anni, ha stabilito che gli interessati dovranno rinnovare il proprio consenso. Dunque, i Titolari del trattamento dovranno, oltre a stabilire una adeguata retention policy (da indicarsi nel Registro dei trattamenti e nell’informativa), implementare ed applicare adeguate procedure per ottenere la conferma o il rinnovo dei consensi marketing, cancellando i dati di coloro che si sono opposti o non hanno rinnovato il consenso.
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento