Il 20 ottobre 2022 l’autorità di controllo italiana ha emesso un provvedimento sanzionatorio per 1.4 milioni di euro per trattamenti di dati personali per finalità di marketing non conformi alla disciplina del GDPR sotto molteplici profili.
Questo articolato provvedimento consente di ricavare alcune utili regole operative per il settore che vengono di seguito riassunte.
Provvedimento del 20 ottobre 2022
Il provvedimento del Garante italiano è accessibile in lingua originale sul sito web dell’autorità (doc. web. N. 9825667). Esso riguarda la gestione per finalità di marketing di dati personali di clienti e potenziali clienti di una società di prodotti di profumeria, consociata italiana di casa madre tedesca. Nel CRM aziendale, insieme ai dati provenienti dalla raccolta diretta della società, era confluito anche un ingente quantitativo di dati personali, raccolti per le medesime finalità da tre differenti aziende, successivamente fuse per incorporazione nella società in parola. La politica aziendale sulla protezione dei dati personali risultava influenzata dalla casa madre tedesca, venendo a ridurre i margini di potere decisionale della consociata italiana la quale, su taluni profili, era tenuta ad attendere l’implementazione di progetti migliorativi centralizzati, governati direttamente dalla controllante.
Takeaways
Di seguito sono riassunti gli insegnamenti più significativi desumibili da questo provvedimento.
- L’azienda incorporante deve essere in grado di dimostrare la liceità dei trattamenti delle società acquisite
- La conservazione, ancorchè inattiva, dei dati personali provenienti dalle società acquisite deve essere supportata da informativa e adeguata base giuridica
- Se informativa e consenso originari non risultano più attuali, la società acquisitrice informa gli interessati (sul sito web o via e-mail se dispone di indirizzo e-mail) della possibilità di rinnovare il consenso (previa adeguata informativa) entro un lasso di tempo (es. 6 mesi), precisando che, in mancanza, i dati personali posseduti verranno cancellati (il caso in esame riguardava anagrafiche di clienti e potenziali per l’adesione a programmi fedeltà)
- I tempi di conservazione dei dati provenienti dalle società acquisite superiori a 10 anni vanno cancellati; per i dati conservati fino a un massimo di 10 anni, in alternativa, questi possono essere pseudonimizzati ma pur sempre ricorrendo alla comunicazione ed agli effetti di cui al punto precedente
- Per finalità di marketing non è corretto indicare come criterio di determinazione del tempo di conservazione, la revoca del consenso prestato e/o l’opposizione al trattamento; il titolare deve, invece, effettuare una conservazione limitata e selettiva a prescindere da revoca o opposizione (le linee guida del 2005 del Garante indicano come termini di conservazione 24 mesi per finalità di marketing e 12 mesi per profilazione commerciale)
- L’informativa dell’azienda deve riguardare i soli trattamenti effettivi e le finalità perseguite (escludendo trattamenti cessati o finalità prospettiche)
- Eventuali discrasie tra quanto indicato nell’informativa e la prassi operativa, rende l’informativa inidonea e, di conseguenza, espone alla contestazione della violazione degli articoli 13 o 14 del GDPR (es. dati conservati per periodi inferiori o secondo criteri differenti da quelli indicati nell’informativa, art. 13.2, lett. a))
- Il telemarketing tramite SMS e quello tramite telefono richiede due consensi distinti da parte dell’interessato: la sporadicità dell’attività e l’assenza di contestazioni al riguardo non rimuove la possibilità di contestazione della pertinente violazione
- La raccolta dei dati online (anche tramite app) deve essere trasparente, distinguendo tra privacy policy, cookie policy e termini e condizioni generali di contratto; il consenso per i cookie deve essere chiaramente riferito a questi ultimi e non deve essere raccolto ricorrendo a espressioni poco chiare o ambigue (es. “ok, ho capito e accetto”)
- La generale policy privacy del sito web, collegata con link a moduli online di raccolta dati in essa non menzionata, non soddisfa l’obbligo di trasparenza ed invalida il consenso raccolto: la preventivata dismissione dell’area web in cui i moduli si trovano e il mancato utilizzo dei dati personali così raccolti non esime da responsabilità
- Una gestione corretta e tempestiva delle istanze per l’esercizio dei diritti degli interessati può mettere al riparo da conseguenze sanzionatorie, nell’eventualità di un episodico riscontro insoddisfatto o parziale
- L’assenza di prescrizioni correttive da parte dell’autorità, ad esempio per la sporadicità dei casi in violazione e/o per la non attualità delle trasgressioni nel frattempo cessate, non preclude l’irrogazione di possibili sanzioni
- Non costituiscono, di per sé, addebiti o esimenti ma rappresentano elementi di valutazione nella determinazione del livello sanzionatorio, rientranti fra quelle ipotesi residuali della lettera k, dell’art. 83.2): fra le aggravanti, l’elevato numero di interessati, la notevole durata delle violazioni, la rilevanza economica del trasgressore; mentre, sono state ascritte come attenuanti, il carattere sporadico delle attività da cui ha avuto origine la violazione, il condizionamento decisionale della casa madre, le perdite finanziarie subite nell’esercizio precedente.
Continua…