Il piano ispettivo del Garante della privacy per il secondo semestre 2019 prevede circa un centinaio di controlli ai soggetti pubblici e privati, con riferimento ad attività specifiche:
- alle banche, in riferimento ai flussi verso l’anagrafe dei conti;
- agli intermediari del servizio di fatturazione elettronica;
- alle società, per attività di marketing;
- agli enti pubblici, con riferimento a banche dati di notevoli dimensioni, per le attività di profilazione e fidelizzazione;
- alle società del food delivery;
- alla sanità privata.
Quattro gli aspetti oggetto di controllo:
- il periodo di conservazione dei dati;
- la regolarità di consensi e informative;
- i trattamenti collegati alla fatturazione elettronica;
- i dati trasmessi dalle banche all’anagrafe dei conti tenuta dal Fisco.
Consenso e periodo di conservazione dei dati per le attività di marketing: che cosa dice il GDPR?
Al fine di consentire una verifica della compliance in ambito privacy, concentriamoci su
- consenso;
- periodo di conservazione dei dati (che spesso induce a errori sostanziali nella modalità e in merito alla necessità).
Il consenso per le attività di marketing
![Al fine di consentire una verifica della compliance in ambito privacy per le attività di privacy è necessario valutare in primo luogo i requisiti di consenso al trattamento.](https://www.stefaniavilla.it/wp-content/uploads/2019/11/Stefania_Villa_Privacy_consenso_marketing.jpg)
Marketing diretto (in assenza di intermediari)
- La tutela dei dati personali degli utenti è rappresentata dal consenso che non può essere mai proposto con caselle già contrassegnate e non può costituire condizione legata all’ottenimento del servizio principale.
- Non è lecito ricorrere a dati estratti da registri pubblici, elenchi, siti web, atti o documenti pubblici.
- L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei suoi dati a fini di marketing, pur avendo originariamente manifestato il consenso.
- Non è necessario chiedere consensi distinti per ogni canale comunicativo; un consenso rilasciato per l’invio di mail, sms, mms, telefonate automatizzate, copre anche quello per altre forme di comunicazione (ex. posta cartacea, telefonate tramite operatore).
- Il non consenso, quando proposto in modo unico, non permetterà al titolare di inviare alcuna comunicazione.
- Il GDPR prevede che, se il trattamento è basato sui legittimi interessi, non occorre il consenso. Significa che i legittimi interessi del titolare del trattamento possono rendere lecito il trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato.
Esempio 1 – Quando esiste una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento: l’interessato è alle dipendenze del titolare del trattamento.
Esempio 2 – Quando si è in presenza di un cliente acquisito, si può far leva sul “bilanciamento degli interessi” e quindi la base giuridica può consistere nei legittimi interessi del titolare evitando il consenso, purché si rispettino i seguenti requisiti dimostrabili al Garante
- la trasmissione del messaggio avviene per posta elettronica (non sono ammesse comunicazioni telefoniche);
- la mail deve essere quella indicata nel contesto della vendita di un prodotto o servizio;
- i messaggi devono essere inviati a fini di vendita diretta di prodotti e/o servizi forniti dal titolare, mai da terzi;
- il prodotto o il servizio devono essere analoghi a quelli già acquistati dall’interessato;
- il destinatario non deve aver rifiutato all’inizio o nel corso di ulteriori comunicazioni tale invio di comunicazioni promozionali;
- il destinatario deve avere la possibilità di opporsi al trattamento dei dati in ogni momento, gratuitamente e in maniera semplice.
Marketing indiretto
L’identificazione dell’utente può avvenire solo previo consenso manifestato sulla base di una informativa che espliciti tale finalità.
Il termine di conservazione dei dati
![Al fine di consentire una verifica della compliance in ambito privacy per le attività di privacy è necessario valutare, oltre ai requisiti di consenso al trattamento, il periodo di conservazione dei dati.](https://www.stefaniavilla.it/wp-content/uploads/2019/11/Stefania_Villa_Privacy_conservazionedati_marketing.jpg)
Il Regolamento stabilisce che i dati devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”.
L’articolo 13 del GDPR prevede che il titolare del trattamento debba informare gli interessati circa il periodo di conservazione dei dati personali e, se ciò non è possibile, almeno dei “criteri utilizzati per determinare tale periodo”.
Il tempo di conservazione in taluni trattamenti è preciso (per esempio se legato a obblighi contrattuali, normative, la garanzia del prodotto, termini di prescrizioni per far fronte a futuri contenziosi). In caso contrario viene stabilito direttamente dal titolare e talvolta non è di facile individuazione, in quanto non è immediato valutare la proporzionalità rispetto alla finalità del trattamento come richiesto dal GDPR. In ogni caso un tempo di conservazione illimitato non è mai consentito.
Una volta terminato tale periodo il dato va cancellato (da tutti i supporti, compresi i backup) oppure, in alternativa, anonimizzato.