Riprendiamo e completiamo l’analisi dei provvedimenti del Garante annunciati nella newsletter del 28 giugno 2023 (doc. web n. 9903191) ricchi di spunti non solo in ambito marketing ma anche come occasione per ribadire o precisare regole generali applicabili in numerosi contesti operativi.
La precedente puntata è contenuta nell’Editoriale del 6 luglio 2023, (consultabile con abbonamento SIG) in cui sono state esaminate le modalità dell’intervento di vigilanza dell’autorità, dall’ispezione in loco all’accertamento cartolare, i tempi di attesa tra accertamento e notifica degli estremi della presunta violazione, la raccolta di dati nella prassi, poco rispettosa del principio di minimizzazione.
In questa occasione, affronteremo i seguenti temi:
- incoerenza del contenuto dei documenti emessi dal titolare in relazione al sistema di conformità al GDPR
- ambito applicativo della revoca del consenso marketing
- disciplina di dettaglio delle comunicazioni marketing automatizzate
- questione delle fonti di acquisizione dei dati per trattamenti a fini di marketing.
Provvedimenti GPDP
Tre sono i provvedimenti dell’Autorità italiana resi noti tramite la newsletter del 28/6/2023 tra loro in qualche modo correlati:
- Provvedimento del 27/4/2023 (doc. web n. 9902472) (Benetton) su tempi della notifica di violazioni, consenso, revoca e conservazione dei dati per finalità di marketing, cookies, adeguatezza delle misure di sicurezza
- Provvedimento del 17/5/2023 (doc. web n. 9903067) (Trovanumeri.com) con riferimento all’anonimato del titolare, form di cancellazione non funzionante e modalità per rendere agevole l’esercizio dei diritti, creazione di un elenco telefonico online, immissione di dati personali da pubblicare sul web senza verifica di identità, web scraping
- Provvedimento del 17/5/2023 (doc. web n. 9899880) (Grizzaffi Management) riguardo alle fonti di dati per finalità di marketing, e-mail marketing, valore giuridico del link di disiscrizione.
Incoerenza tra i documenti e in relazione ai fatti
La frequente assenza di un sistema documentale centralizzato per rispondere agli adempimenti e alle prescrizioni del GDPR oppure la mancanza di un’adeguata gestione dei relativi contenuti causa incoerenze tra le rappresentazioni contenute in tali documenti.
Nel provvedimento Benetton, ad esempio, l’Autorità rileva che «contrariamente a quanto indicato nel registro dei trattamenti e nell’informativa rilasciata al cliente per l’adesione ai programmi loyalty (in base ai quali il tempo di conservazione dei dati indicato sarebbe limitato a 2 anni in relazione sia al marketing che alla profilazione), nei gestionali utilizzati dalla società sono risultati presenti dati personali dei clienti, titolari della carta fedeltà, unitamente alle informazioni relative agli acquisti a far data dall’anno 2015».
I documenti per la conformità al GDPR devono formare oggetto di un apposito sistema documentale. Questa documentazione è eterogenea, comprendendo contratti, informative e moduli di raccolta del consenso, registri, procedure operative, attestazioni, valutazioni del rischio, valutazioni di adeguatezza, designazioni e istruzioni, assegnazioni di incarichi, elenchi e liste, ed altro ancora.
Il sistema, per poter essere definito tale e risultare attendibile, richiede una corretta impostazione strutturale, l’individuazione di uno o più soggetti responsabili della sua tenuta, del monitoraggio dei contenuti sotto il profilo della coerenza e dell’aggiornamento, la definizione di regole di gestione da divulgare all’interno dell’organizzazione.
Il sistema documentale che risponde a questi requisiti offrirà adeguate garanzie di esaustività e attendibilità probatoria della conformità aziendale.
Continua…