Indice
1. Il primo caso: utilizzo dei dati da parte di due diverse aziende fuse tra loro mediante incorporazione
- Le informative sul trattamento dei dati in occasione della fusione erano poco chiare rispetto ai nuovi clienti acquisiti con la fusione.
- In particolare, informativa privacy, informativa cookie e condizioni generali di contratto del programma “fidelity card” risultavano riunite in un unico documento, con conseguente poca chiarezza in merito alle diverse finalità dei trattamenti.
- Il consenso non aveva il requisito della granularità, essendo previsto un unico consenso per tutte le finalità, ivi comprese quelle di marketing e di profilazione.
- L’utente veniva geolocalizzato, senza che nulla fosse indicato in proposito sull’informativa.
2. Il secondo caso: l’utilizzo di dati per finalità diverse senza informativa né consenso
3. I principi enunciati e ribaditi
- 1) Le informative privacy e cookie devono essere differenziate: questo aspetto, lungi dall’essere una mera formalità, è spesso sottovalutato dai Titolari del trattamento, ma è stato ribadito dal Garante nel primo dei due provvedimenti in esame. Su un sito web la cosiddetta “privacy policy” deve essere separata dalla “cookie policy”, in quanto le funzioni dei due documenti sono diverse. La prima informa gli utenti delle finalità e modalità di trattamento dei suoi dati, sia quelli di navigazione, sia quelli forniti volontariamente, ed eventualmente raccoglie i consensi per quei trattamenti che lo richiedono. La seconda, invece, informa gli utenti circa i particolari sistemi di tracciamento presenti (o non presenti) sul sito e consente all’utente di esprimere un valido consenso sul loro utilizzo, valido perché debitamente informato.
- 2) I consensi marketing devono essere specifici e indicare le modalità con cui le attività promozionali vengono effettuate: con il secondo dei provvedimenti in esame, il Garante ha chiarito che l’informativa privacy e la richiesta di consenso devono chiarire con quali strumenti il marketing verrà effettuato, in modo che gli utenti possano, in ogni momento, revocare o limitare il proprio consenso.
- 3) Attenzione a dove e come i consensi vengono archiviati: in ossequio al principio di accountability, il Titolare del trattamento deve essere in grado di dimostrare quando e come il consenso è stato raccolto. Pertanto, è necessario prestare la massima attenzione al tracciamento dei consensi ed alle loro vicende successive (eventuali revoche o limitazioni). Inoltre, qualora con tempo i trattamenti mutino, è necessario fornire agli utenti una nuova informativa.
- 4) Retention policy: pur rimanendo valida l’indicazione sempre del garante sulla conservazione dei dati per finalità di marketing (24 mesi) e per la profilazione (12 mesi), il Titolare può stabilire durate più elevate a seguito di adeguata valutazione di impatto. Ma questo non significa, naturalmente, che i dati possano essere conservati e trattati per sempre. Nel primo dei casi esaminati, il Garante ha imposto la cancellazione dei dati raccolti oltre dieci anni prima, mentre al di sotto dei dieci anni, ha stabilito che gli interessati dovranno rinnovare il proprio consenso. Dunque, i Titolari del trattamento dovranno, oltre a stabilire una adeguata retention policy (da indicarsi nel Registro dei trattamenti e nell’informativa), implementare ed applicare adeguate procedure per ottenere la conferma o il rinnovo dei consensi marketing, cancellando i dati di coloro che si sono opposti o non hanno rinnovato il consenso.
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento