I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

Prova del consenso: trattamento e conservazione

Un provvedimento dell’autorità danese sulla protezione dei dati personali, in merito alle operazioni effettuate da un data broker per finalità di marketing, ha affrontato aspetti innovativi e di interesse.

In sintesi, il provvedimento ha risposto ai seguenti interrogativi:

  • Se un data broker acquisisce dati personali per finalità di marketing proprie ma anche per la loro condivisione con altri titolari individuati per le medesime finalità, basta raccogliere un unico consenso o ce ne vogliono due (i.e. uno per la raccolta e l’altro per la comunicazione)?
  • Quando è lo stesso GDPR a imporre specifici comportamenti al titolare, questi comportamenti sono qualificabili come trattamenti di dati personali e sono soggetti al rispetto dei principi e delle basi giuridiche come per tutti gli altri?
  • L’articolo 7 del GDPR impone al titolare l’obbligo di dimostrare il consenso, la conservazione delle informazioni a fini di prova del consenso ottenuto può considerarsi un trattamento di dati personali?
  • In caso di risposta affermativa alla precedente, qual è la base giuridica del trattamento per la dimostrazione del consenso?
  • Come va determinato il periodo di conservazione delle informazioni volte a dimostrare il consenso?
  • È corretto conservare le informazioni probatorie del consenso per il periodo dei termini di prescrizione per le azioni in giudizio?
  • Se l’interessato revoca il consenso, il titolare può continuare a conservare le informazioni per la prova del consenso?
  • Se l’interessato revoca il consenso marketing, il titolare può inserire e conservare il nominativo in una lista di controllo di coloro che si sono opposti al marketing?

 

Autorità danese

Nel provvedimento che ha riguardato il data broker SmartResponse, l’autorità danese ha esaminato la seguente pratica di raccolta dati per finalità di marketing messa in opera dal data broker: veniva richiesto agli utenti del sito web di partecipare a concorsi online a condizione che essi rilasciassero alcuni dati personali comuni acconsentendo al loro utilizzo per finalità di marketing diretto da parte della stessa SmartResponse e di altri 45 partner, specificamente individuati.

L’informativa contenuta nella privacy policy del sito, opportunamente linkata nella pagina web di registrazione al concorso, forniva tutte le indicazioni richieste dall’articolo 13 del GDPR. Nell’informativa si precisava anche che le informazioni relative all’uso dei dati da parte di questi partner erano contenute nelle rispettive privacy policy dei siti web di ciascuno di essi.

Inoltre, veniva precisata la libera facoltà dell’utente di revocare il consenso in qualsiasi momento, anche nella stessa pagina web e nella e-mail di conferma della registrazione inviata all’indirizzo dell’utente registrato. La revoca era resa agevole specificando sempre l’indirizzo e-mail a cui inviare la richiesta.

Un unico consenso dell’utente veniva richiesto sia per la raccolta ed utilizzo dei dati per finalità di marketing proprie di SmartResponse, sia per la comunicazione di tali dati per la medesima finalità agli altri 45 partner.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

Sei già abbonato?

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form