Il Garante della Privacy (provvedimento n. 181 del 15 ottobre 2020) torna sul tema della cd. data retention, vale a dire dei limiti di tempo entro cui è possibile conservare i dati personali.
La questione è sicuramente complessa e presenta numerose sfaccettature, dovute all’assenza di specifiche indicazioni da parte delle autorità competenti, nonché al fatto che il periodo di conservazione varia a seconda della finalità del trattamento (es. il periodo di conservazione dei dati personali dei clienti per l’invio di comunicazioni commerciali a mezzo mail potrebbe non coincidere con quello relativo al trattamento dei medesimi dati per finalità di fatturazione).
Ad onor del vero, il Garante italiano, con il provvedimento del 24 febbraio 2005 (cd. provvedimento sulle fidelity card) aveva fornito alcune indicazioni di massima in materia di marketing e profilazione, prevedendo:
- un periodo di conservazione massimo di 24 mesi per il marketing
- un periodo di conservazione massimo di 12 mesi per la profilazione
L’azienda che non avesse ritenuto adeguati tali termini avrebbe, tuttavia, potuto chiedere al Garante l’applicazione di un periodo di conservazione più lungo, fornendo adeguate motivazioni (ad es. si pensi ad una società che venda beni di lusso o ad un’azienda che venda beni acquistabili raramente, come ad es. una casa).
Da quanto sopra precisato si deduce come, quantomeno con riferimento al marketing e alla profilazione, il modello di data retention pre-GDPR prevedesse dei termini fissi, ferma la possibilità di richiedere una deroga al Garante in casi particolari.
L’entrata in vigore del GDPR, viceversa, ha portato un modello diverso, fondato sul principio dell’accountability o autoresponsabilità, per cui l’azienda dovrà:
- valutare qual è il periodo di conservazione adeguato per i propri trattamenti
- indicare tale termine nella privacy policy
- acquisire un valido consenso (per tutti quei trattamenti, come quelli relativi all’invio delle comunicazioni commerciali, che hanno come base giuridica il consenso)
Con riferimento al primo punto si precisa come potrebbe essere necessaria, a seconda dei casi, una valutazione di impatto privacy, attraverso cui far emergere gli elementi che giustifichino un periodo di conservazione minore o maggiore.
Con riferimento al terzo punto, invece, si evidenzia come il consenso è valido solo se specifico, libero ed informato, requisiti non sempre rispettati dai titolari del trattamento (in questo caso l’azienda).
Nel caso in questione, ad esempio, la privacy policy prevedeva una sezione denominata “Manifestazione del consenso al trattamento dei dati personali“, contenente: “a) una dichiarazione di presa visione dell’informativa; b) una formula di dichiarazione di consenso relativa all’eventuale comunicazione a terzi dei dati per attività di recupero crediti; c) una richiesta di consenso per l’invio di comunicazioni promozionali e per l’effettuazione di ricerche di mercato anche con modalità automatizzate.”.
Tale consenso è da ritenersi invalido, in quanto non specifico, oltre al fatto che il cliente aveva sì sottoscritto il modulo, ma non aveva selezionato la casella relativa al consenso.
Qualora, invece, vengano rispettate tutte le prescrizioni di cui sopra, secondo il Garante il consenso “deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato”.
Così argomentando il Garante Privacy sembra, pertanto, confermare il superamento del provvedimento sulle fidelity card sopra citato, che – ricordiamo – fissava, seppur in via generale, i termini di conservazione, limitandoli a 24 mesi per le finalità di marketing e 12 mesi per le finalità di profilazione.
Prima di concludere segnaliamo che l’Autorità Garante si è altresì occupata di un altro profilo su cui spesso le società non prestano la dovuta attenzione, vale a dire il mancato o insufficiente riscontro alle richieste dell’interessato (utente/cliente).
In questo caso, l’interessato aveva inviato più di una comunicazione alla società, richiedendo non soltanto di essere cancellato dalle loro liste, così da non ricevere più comunicazioni a scopo commerciale, ma anche di ottenere una copia della documentazione attestante l’avvenuta acquisizione del consenso.
Su tale punto, tuttavia, l’azienda si limitava a dichiarare “il trattamento dei Suoi dati personali, conferiti al momento della richiesta di finanziamento, è effettuato lecitamente ai sensi del Regolamento UE n. 679/2016 (GDPR), previa sua autorizzazione, per l’instaurazione e l’esecuzione del contratto di finanziamento medesimo”.
Il Garante ha, pertanto, ammonito la società, invitandola per il futuro a fornire “riscontri completi e puntuali alle richieste di esercizio dei diritti da parte degli interessati”.
