Un provvedimento dell’autorità danese sulla protezione dei dati personali, in merito alle operazioni effettuate da un data broker per finalità di marketing, ha affrontato aspetti innovativi e di interesse.
In sintesi, il provvedimento ha risposto ai seguenti interrogativi:
- Se un data broker acquisisce dati personali per finalità di marketing proprie ma anche per la loro condivisione con altri titolari individuati per le medesime finalità, basta raccogliere un unico consenso o ce ne vogliono due (i.e. uno per la raccolta e l’altro per la comunicazione)?
- Quando è lo stesso GDPR a imporre specifici comportamenti al titolare, questi comportamenti sono qualificabili come trattamenti di dati personali e sono soggetti al rispetto dei principi e delle basi giuridiche come per tutti gli altri?
- L’articolo 7 del GDPR impone al titolare l’obbligo di dimostrare il consenso, la conservazione delle informazioni a fini di prova del consenso ottenuto può considerarsi un trattamento di dati personali?
- In caso di risposta affermativa alla precedente, qual è la base giuridica del trattamento per la dimostrazione del consenso?
- Come va determinato il periodo di conservazione delle informazioni volte a dimostrare il consenso?
- È corretto conservare le informazioni probatorie del consenso per il periodo dei termini di prescrizione per le azioni in giudizio?
- Se l’interessato revoca il consenso, il titolare può continuare a conservare le informazioni per la prova del consenso?
- Se l’interessato revoca il consenso marketing, il titolare può inserire e conservare il nominativo in una lista di controllo di coloro che si sono opposti al marketing?
Autorità danese
Nel provvedimento che ha riguardato il data broker SmartResponse, l’autorità danese ha esaminato la seguente pratica di raccolta dati per finalità di marketing messa in opera dal data broker: veniva richiesto agli utenti del sito web di partecipare a concorsi online a condizione che essi rilasciassero alcuni dati personali comuni acconsentendo al loro utilizzo per finalità di marketing diretto da parte della stessa SmartResponse e di altri 45 partner, specificamente individuati.
L’informativa contenuta nella privacy policy del sito, opportunamente linkata nella pagina web di registrazione al concorso, forniva tutte le indicazioni richieste dall’articolo 13 del GDPR. Nell’informativa si precisava anche che le informazioni relative all’uso dei dati da parte di questi partner erano contenute nelle rispettive privacy policy dei siti web di ciascuno di essi.
Inoltre, veniva precisata la libera facoltà dell’utente di revocare il consenso in qualsiasi momento, anche nella stessa pagina web e nella e-mail di conferma della registrazione inviata all’indirizzo dell’utente registrato. La revoca era resa agevole specificando sempre l’indirizzo e-mail a cui inviare la richiesta.
Un unico consenso dell’utente veniva richiesto sia per la raccolta ed utilizzo dei dati per finalità di marketing proprie di SmartResponse, sia per la comunicazione di tali dati per la medesima finalità agli altri 45 partner.
Continua…