Marketing, il termine di conservazione dei dati può essere deciso dalle aziende, ma serve il consenso dell'interessato
Privacy ad hoc per il marketing. Il termine di conservazione dei dati, da usare per le campagne promozionali, può essere deciso dalle aziende, in base alle esigenze oggettive di mantenimento ed espansione della base di clientela. Questo, però, nel rispetto dell'obbligo di acquisizione del consenso, che rappresenta la regola per trattare in maniera lecita i dati personali per scopi di marketing. I casi di soft spam (marketing senza consenso) sono, infatti, l'eccezione, anche se sono comunque un'opzione consolidata nella legge e nella prassi.
È il Garante della privacy ad avere chiarito la possibilità per le imprese di stabilire per quanto tempo tenere per scopi di marketing e di profilazione i dati personali raccolti con il consenso dell'interessato. La novità è contenuta nel provvedimento del Garante per la protezione dei dati personali n. 181 del 15 ottobre 2020, che, con l'avvento del Regolamento Ue 2016/679 (noto anche con l'acronimo inglese Gdpr, efficace dal 25 maggio 2018), supera quanto prescritto nel precedente provvedimento dell'Autorità, risalente al 24 febbraio 2005, espressamente dedicato alle Fidelity card. Quest'ultimo provvedimento fissava i termini di conservazione dei dati, indicando il limite di due anni per tenere i dati per scopi di marketing e il limite di un anno per scopi di profilazione. Ora, invece, è l'impresa che ha il potere/dovere di autoregolamentarsi, tenendo conto anche degli interessi contrapposti dei clienti/utenti/interessati.
Quindi, l'impresa ha il potere di disciplinare i termini di conservazione dei dati per scopo di marketing, ma ha il dovere di dettare questa regola con lealtà e ragionevolezza, tenendo conto dell'interesse dei clienti a non essere etichettati e schedati e profilati per un tempo interminabile o anche solo indeterminabile. Si scommette, quindi, sulla corporate social responsibility: fiducia alle imprese e responsabilizzazione vanno a braccetto.
Ma vediamo cosa cambia nel mondo del marketing e della profilazione (analisi delle abitudini di consumo e predizione delle scelte di acquisto). Si deve partire dalla pronuncia sulle carte fedeltà del 2005. In questo provvedimento il Garante aveva scritto che, previo consenso dell'interessato, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili potevano essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione. Per superare questi termini bisognava chiedere al Garante una verifica preliminare (una sorta di autorizzazione), in base al vecchio articolo 17 del codice della privacy (ora abrogato). In sintesi: occorreva il consenso; il termine di conservazione era stabilito dalla decisione del Garante; il termine poteva essere superato solo chiedendolo al Garante, che si poteva pronunciare di volta in volta con un allungamento dei termini generali.
Con questo sistema operativo, prima del Gdpr, ci sono tante pronunce di verifica preliminare con allungamento dei termini di 12 e 24 mesi.
Per esempio, il garante della privacy (provvedimento n. 297 del 12 giugno 2014), nel settore delle crociere, ha considerato dodici mesi un tempo di conservazione eccessivamente limitato e ha individuato un termine pari a un massimo di dieci anni. Un altro esempio: un'azienda del settore della moda e del lusso ha ottenuto un lascia passare di sette anni per conservare i dati per finalità di marketing (provvedimento n. 294 del 16 maggio 2018).
Tra l'altro lo stesso provvedimento da ultimo citato ha scritto una chiara avvertenza: a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (Ue) 2016/679, il titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all'articolo 24 Gdpr, dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed effettuando, se necessario, una valutazione di impatto ex articolo 25 del regolamento ovvero attivando la consultazione preventiva ai sensi dell'articolo 36 del regolamento medesimo.
Già in quella avvertenza stavano le premesse di quanto troviamo scritto nel provvedimento del Garante n. 181 del 15 ottobre 2020, in cui si attesta che il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell'autodeterminazione dell'individuo, deve innanzitutto considerarsi scisso e non condizionato dall'esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall'interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell'informativa, nel rispetto dell'art. 5, par. 1, lett. e) del Regolamento. Sintetizziamo: ci vuole il consenso; il termine di conservazione è stabilito dall'impresa titolare del trattamento, assumendosene la responsabilità; l'impresa deve studiare se fare la valutazione dell'impatto sulla protezione dei dati.
Fonte: Italia Oggi Sette dell'11 gennaio 2021 - di Antonio Ciccia Messina
