Nell’ambito dell’attività di controllo delle attività di marketing e di profilazione condotte da Tiscali, è stato effettuato un accertamento ispettivo da parte del Garante Privacy, nelle date 3-5 maggio 2022, presso la società Tiscali Italia S.p.A.
Dall’analisi della “Policy di Data retention” di Tiscali sono emersi i seguenti aspetti critici:
- per svolgere attività di marketing e di profilazione, tutti i dati (incluso lo “storico degli acquisti di prodotti e servizi Tiscali”) vengono conservati per 10 anni, sia in relazione a clienti inattivi nonché ai clienti attivi, a far data dell’ultimo acquisto o dell’ultima interazione;
- per le medesime finalità, vengono conservati per 5 anni i dati (incluso lo “storico degli acquisti di prodotti e servizi Tiscali; dati anagrafici e di contatto quali nome, cognome, indirizzo email, informazioni acquisite dal profilo pubblico sui social ecc..”) dei soggetti prospect. Come termine iniziale della conservazione, Tiscali ha individuato la data dell’ ”ultima interazione” (in tal caso prevedendo alcune ipotesi esemplificative “partecipazione ad un evento o concorso”), rispetto al marketing e quella della “raccolta del consenso”, rispetto alla profilazione.
Peraltro, nella detta Policy relativa alla gestione delle liste lead, ai fini del servizio di call-back, viene indicato un tempo di conservazione di 2 anni. La mancata completezza della privacy policy (mancanza di precisi tempi di conservazione, assenza di alcune attività di trattamento e delle relative modalità e finalità) comporta una violazione dei principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché dell’art. 13 del Regolamento (vedi successivo par. 4).
Secondo il provvedimento del Garante, riguardo ai termini di conservazione, al pari del termine “ fino (all’eventuale) revoca del consenso ” – previsto dall’ “Integrazione istruttoria” di Tiscali in relazione ai “dati personali raccolti e trattati per finalità di marketing relativi a clienti attivi “- è emerso il probabile contrasto con i principi di finalità, di minimizzazione e di limitazione della conservazione, ai sensi dell’art. 5, par.1, lett. b), c), ed e) del GDPR.
I suddetti termini, pur presupponendo che siano stati individuati dalla Società nell’esercizio della propria accountability, appaiono comunque eccessivamente dilatati. Infatti, in base al provv. generale 24 febbraio 2005 [doc. web 1103045] vige la regola generale, riguardo ai tempi di conservazione, fissata ad un massimo di 2 anni per i dati relativi al marketing e di 1 anno, per quelli relativi alla profilazione. Dal provvedimento comminato a Tiscali, sembra “ non corretta la conservazione dei dati relativi al marketing fino alla data della revoca del consenso, ai sensi dell’art. 7 del GDPR, anche nell’ipotesi in cui l’Interessato potrebbe non mutare nel tempo il consenso prestato “.
Il Provvedimento del 18 luglio 2023, fondato sul controllo delle attività di Tiscali, esprime un orientamento del Garante che parrebbe in contraddizione con i consolidati criteri di durata della conservazione “fino a revoca del consenso” ribaditi in passato dall’Autorità (si veda il Provv. n. 181 del 15 ottobre 2020 dello stesso Garante). Il documento EDPB delle linee guida 5/2020 sul consenso, al punto 110, riporta: ” Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso.”
Considerate le riflessioni sopra, che generano parecchi dubbi interpretativi fra gli addetti ai lavori, suggeriamo ai nostri gentili utenti di determinare dei meccanismi, sempre tracciabili, che consentano di rinnovare, o quanto meno rendere noto, il consenso alle attività di marketing formulato dagli Interessati.
Per consultare il testo originale del provvedimento cliccate su:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9920942