Il Garante ha recentemente chiarito che il limite per conservare dati personali – raccolti con il consenso dell’interessato – per scopi di marketing e profilazione, era di due anni. Con il provvedimento n. 181/2020 viene espresso che non vi è un limite predefinito, ma sono le imprese stesse a stabilire per quanto tempo conservare i dati personali.
Secondo il Regolamento Europeo, il titolare del trattamento dei dati (ad esempio un’impresa), deve sempre fissare un limite alla conservazione dei dati e renderlo noto all’interessato con un’informativa, anche in caso di dati raccolti per scopi di marketing e profilazione (cioè analisi delle abitudini di consumo connesse al marketing).
Con un provvedimento vigente prima del GDPR, si indicava che i dati trattati per legittimo interesse per finalità di profilazione o di marketing, relativi agli acquisti e con riferimento a clienti individuabili, potevano essere conservati per un periodo non superiore rispettivamente a 12 e 24 mesi dalla loro registrazione. In base al vecchio Articolo 17 del Codice della Privacy (ormai abrogato), per superare questi limiti bisognava chiedere una verifica preliminare al Garante (una sorta di autorizzazione).
Con l’entrata in vigore del GDPR, ci si è chiesti se tutto ciò continuasse ad essere valido o si applicassero anche in caso di consenso.
Il provvedimento del Garante n.181 del 15 ottobre 2020 ha risolto il dubbio, prevedendo che il consenso al trattamento dei dati personali per finalità promozionali sia da ritenersi valido indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che:
- sia stato correttamente acquisito in origine,
- sia ancora valido alla luce delle norme applicabili al momento del trattamento,
- sia ancora valido alla luce dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa (nel rispetto dell’articolo 5, par. 1, lett. e del Regolamento UE).
La prospettiva è dunque cambiata: il Regolamento UE ha responsabilizzato le imprese (i titolari del trattamento) e i termini di conservazione non possono più essere stabiliti dal Garante, sebbene, nel caso di un legittimo interesse, la valutazione del bilanciamento degli interessi dovrà tenere conto degli orientamenti emergenti da provvedimenti del Garante anche previgenti al GDPR.
In sostanza, ciascun operatore può assumersi la responsabilità di fissare i termini di conservazione (anche diversi dai due anni e dall’anno prefissato).
Definire i termini di conservazione dei dati
Naturalmente, questa non può essere una scelta arbitraria, ma deve essere giustificata da motivi controllabili (ad esempio il ciclo di vita del prodotto o i tempi di reiterazione dell’acquisto da parte dei consumatori, ecc.): il Garante non fissa infatti i termini, ma continuerà a controllarli, perciò occorre essere in grado di spiegare perché si è scelto un certo periodo.
I termini dovranno essere indicati nell’informativa che si fornirà all’interessato e, per le profilazioni, si dovrà spiegare quale sia la logica usata per la creazione di gruppi e cluster.
In materia di marketing spesso ricorrono i presupposti previsti dall’articolo 35 del Regolamento UE, per l’obbligo di una valutazione di impatto privacy, nei casi in cui il trattamento presenta un rischio elevato per l’interessato, quando l’impresa vuole tenere i dati ottenuti per operazioni di marketing e profilazione oltre i termini generalmente accettati; pertanto, in queste circostanze, si dovrà predisporre tale valutazione di impatto.
Continui ad avere dubbi sulle modalità di conservazione dei dati acquisiti per operazioni di marketing e profilazione? Richiedi una consulenza con il nostro staff utilizzando il form di contatto sottostante: ti ricontatteremo il prima possibile.
