Il Garante per la protezione dei dati personali ha recentemente chiarito che è illegittimo conservare i dati personali dei clienti fino alla revoca del consenso da parte dell’interessato.
Volume consigliato: Formulario commentato della privacy
Indice
1. I fatti
Il Garante per la protezione dei dati personali aveva effettuato un accertamento ispettivo nei confronti di una importante azienda di telecomunicazione, nell’ambito della propria attività di controllo del marketing e della profilazione da parte delle aziende operanti in Italia.
Dall’esame ispettivo erano emerse una serie di problematicità, per quanto qui di interesse, con riferimento ai tempi di conservazione dei dati personali da parte dell’azienda e alla relativa informativa privacy nei confronti ei clienti. In particolare, la informativa privacy prevedeva che l’azienda conserva “i dati degli utenti solo per il tempo necessario a fornire il servizio richiesto o per adempiere ad obblighi di legge” e che se il cliente ritiene che la conservazione supera il periodo di tempo necessario, nel caso in cui l’interessato non sia più cliente della società da almeno 6 mesi e non vi è alcun oggetto di fatturazione attivo e/o situazioni di credito, frodi, reclami aperte, l’utente può anche richiedere la cancellazione dei propri dati. Infine, nell’informativa era precisato che la società, anche in tal caso, potrebbe “essere comunque obbligata a non cancellare definitivamente i dati dell’utente per: motivi di pubblica sicurezza; l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria ovvero per l’adempimento di un obbligo legale”.
Pertanto, secondo il Garante la società non aveva previsto alcun termine temporale di riferimento per la conservazione dei dati personali degli utenti e tanto meno aveva distinto un termine in base al tipo di modalità di trattamento e in base alle varie finalità (soprattutto per le finalità di marketing e quelle di profilazione).
In considerazione di ciò, secondo il Garante, l’informativa non forniva agli interessati elementi sufficienti per consentire loro di essere consapevoli rispetto alla durata del trattamento.
Inoltre, con riferimento ad alcuni soggetti specifici (cioè quelli prospect e quelli lead richiamati nell’ambito del servizio di call-back), dall’istruttoria è emerso che i dati venivano conservati rispettivamente per 5 anni e per 2 anni.
In considerazione di quanto sopra, il Garante ha notificato alla società la comunicazione di avvio del procedimento nei suoi confronti per possibile violazione della normativa in materia di protezione dei dati personali e invitato la società a inviare scritti difensivi.
La società ha inviato al Garante la propria memoria difensiva dove ha specificato, per quanto qui di interesse, che considera valido il consenso rilasciato dai clienti per 10 anni dalla data di cessazione del contratto, a meno che non subentri una revoca da parte dell’ex cliente (e che a tal fine tiene traccia delle revoche ricevute).
Potrebbero interessarti:
Pubblicazione di due email durante trasmissione TV: violazione privacy
Privacy a pagamento su Meta: dibattito sulla monetizzazione dei dati
2. Conservazione dei dati personali fino alla revoca del consenso: valutazione del Garante
Dall’istruttoria effettuata è emerso che la società, per effettuare attività di marketing e di classificazione dei clienti, conserva i dati per 10 anni a partire dall’ultimo acquisto o dall’ultima interazione. Inoltre, per le medesime finalità, vengono conservati per 5 anni i dati dei soggetti prospect. Per quanto riguarda il termine iniziale della conservazione, la società ha individuato la data dell’ultima interazione rispetto al marketing e quella della raccolta del consenso rispetto alla classificazione dei clienti.
In considerazione di quanto accertato, quindi, il Garante ha ritenuto che tale condotta comportasse una violazione dei principi di correttezza e di trasparenza previsti dal Regolamento europeo per la protezione dei dati personali (GDPR).
Ciò in quanto, nell’informativa privacy non sono risultati indicati i tempi di conservazione per le pur invasive finalità di marketing (anche mirato) e della sottesa classificazione dei clienti, non consentendo agli interessati di valutare se e quali dati rilasciare od eventualmente disiscriversi dal sito societario.
Tale omissione comporta una violazione dei principi di trasparenza del trattamento.
Inoltre, la conservazione dei dati personali raccolti e trattati per finalità di marketing relativi a clienti attivi per il periodo di tempo di 10 anni contrasta con i principi di minimizzazione e di limitazione della conservazione.
Secondo il Garante, i suddetti termini di conservazione sono eccessivamente dilatati. Infatti, la regola generale, riguardo ai tempi di conservazione, è un massimo di 2 anni per i dati relativi al marketing e di 1 anno, per quelli relativi alla profilazione. In alcuni casi eccezionali il Garante ha ritenuto possibile aumentare il periodo di conservazione dei dati, ma in quei casi comunque il termine massimo era di 7 anni e il Garante ha autorizzato le società a seguito di una specifica richiesta in tal senso e dopo aver effettuato una istruttoria apposita.
3. La decisione del Garante
In conclusione, il Garante ha ritenuto che è da considerarsi ancora applicabile con valore di linea guida la tempistica di conservazione dei dati prevista da un provvedimento del medesimo Garante del 2005 (pari a 24 mesi per i dati relativi al marketing e a 12 mesi per i dati relativi alla profilazione); mentre, non si può giungere alla conclusione che un titolare – in base al principio di accountability che necessita di essere contemperato con gli altri fondamentali principi previsti dal Regolamento – possa scostarsi in modo eccessivo rispetto a detti limiti temporali di conservazione, senza poter incorrere nella violazione del principio di limitazione della conservazione.
Conseguentemente, il Garante ha ritenuto illecita la condotta della società, che ha conservato i dati degli interessati per un periodo di tempo superiore a quello permesso dalla normativa privacy e ha ingiunto alla medesima di individuare e applicare dei tempi di conservazione dei dati differenziati rispetto alle categorie di interessati e soprattutto in linea con il principio di limitazione della conservazione; cancellando, invece, o anonimizzando i dati che risultano conservati oltre i termini stabiliti.
Infine, il Garante, valutando tutte le circostanze attenuanti (fra cui la tempestiva adozione di misure correttive, la collaborazione con l’Autorità, la sua dimensione marginale nel mercato della telefonia e la situazione economico finanziaria della società) che ricorrevano nel caso di specie e ritenendo che invece non vi fossero circostanze aggravanti, ha sanzionato la società per le violazioni sopra accertate, comminando nei suoi confronti una sanzione pecuniaria amministrativa di €. 100.000 (centomila).
Volume consigliato
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
Scrivi un commento
Accedi per poter inserire un commento