Marketing online: nuove indicazioni in due ingiunzioni

1. Il primo caso: utilizzo dei dati da parte di due diverse aziende fuse tra loro mediante incorporazione

• Le informative sul trattamento dei dati in occasione della fusione erano poco chiare rispetto ai nuovi clienti acquisiti con la fusione.
• In particolare, informativa privacy, informativa cookie e condizioni generali di contratto del programma “fidelity card” risultavano riunite in un unico documento, con conseguente poca chiarezza in merito alle diverse finalità dei trattamenti.
• Il consenso non aveva il requisito della granularità, essendo previsto un unico consenso per tutte le finalità, ivi comprese quelle di marketing e di profilazione.
• L’utente veniva geolocalizzato, senza che nulla fosse indicato in proposito sull’informativa.

• Telemarketing selvaggio: la CGUE si pronuncia sul diritto all’oblio
• Social marketing per avvocati: mini guida su come promuoversi sui social
• Telemarketing selvaggio: in arrivo il registro delle opposizioni per i cellulari, ma sarà davvero risolutivo?

2. Il secondo caso: l’utilizzo di dati per finalità diverse senza informativa né consenso

3. I principi enunciati e ribaditi

• 1) Le informative privacy e cookie devono essere differenziate: questo aspetto, lungi dall’essere una mera formalità, è spesso sottovalutato dai Titolari del trattamento, ma è stato ribadito dal Garante nel primo dei due provvedimenti in esame. Su un sito web la cosiddetta “privacy policy” deve essere separata dalla “cookie policy”, in quanto le funzioni dei due documenti sono diverse. La prima informa gli utenti delle finalità e modalità di trattamento dei suoi dati, sia quelli di navigazione, sia quelli forniti volontariamente, ed eventualmente raccoglie i consensi per quei trattamenti che lo richiedono. La seconda, invece, informa gli utenti circa i particolari sistemi di tracciamento presenti (o non presenti) sul sito e consente all’utente di esprimere un valido consenso sul loro utilizzo, valido perché debitamente informato.
• 2) I consensi marketing devono essere specifici e indicare le modalità con cui le attività promozionali vengono effettuate: con il secondo dei provvedimenti in esame, il Garante ha chiarito che l’informativa privacy e la richiesta di consenso devono chiarire con quali strumenti il marketing verrà effettuato, in modo che gli utenti possano, in ogni momento, revocare o limitare il proprio consenso.
• 3) Attenzione a dove e come i consensi vengono archiviati: in ossequio al principio di accountability, il Titolare del trattamento deve essere in grado di dimostrare quando e come il consenso è stato raccolto. Pertanto, è necessario prestare la massima attenzione al tracciamento dei consensi ed alle loro vicende successive (eventuali revoche o limitazioni). Inoltre, qualora con tempo i trattamenti mutino, è necessario fornire agli utenti una nuova informativa.
• 4) Retention policy: pur rimanendo valida l’indicazione sempre del garante sulla conservazione dei dati per finalità di marketing (24 mesi) e per la profilazione (12 mesi), il Titolare può stabilire durate più elevate a seguito di adeguata valutazione di impatto. Ma questo non significa, naturalmente, che i dati possano essere conservati e trattati per sempre. Nel primo dei casi esaminati, il Garante ha imposto la cancellazione dei dati raccolti oltre dieci anni prima, mentre al di sotto dei dieci anni, ha stabilito che gli interessati dovranno rinnovare il proprio consenso. Dunque, i Titolari del trattamento dovranno, oltre a stabilire una adeguata retention policy (da indicarsi nel Registro dei trattamenti e nell’informativa), implementare ed applicare adeguate procedure per ottenere la conferma o il rinnovo dei consensi marketing, cancellando i dati di coloro che si sono opposti o non hanno rinnovato il consenso.