Con due diverse e distinte ingiunzioni, l’Autorità Garante per la Protezione dei dati personali ha indirettamente fornito alcune indicazioni in tema di marketing online: da un lato, gli operatori devono tenere ben distinte le informative sul trattamento dei dati personali e sull’uso di cookie, dall’altro devono ben chiarire quali sono gli strumenti attraverso cui tratteranno i dati degli interessati per le loro campagne.
Infine, il Garante è tornato sull’annoso tema della tracciabilità dei consensi e della data retention.
Informative privacy, prendiamo esempio dal bugiardino dei farmaci: istruzioni per l’uso
Indice degli argomenti
I fatti
Con il provvedimento n. 348 del 20 ottobre 2022 il Garante ha sanzionato un importante gruppo di profumerie europeo per aver utilizzato i dati dei clienti di altre due catene recentemente acquisite per incorporazione.
In seguito dalla segnalazione di un interessato, l’Autorità ha avviato le indagini in uno ai nuclei specializzati della Guardia di Finanza.
Le emergenze istruttorie hanno evidenziato alcune criticità nella gestione dei dati dei clienti provenienti dalle due aziende fuse: innanzitutto, l’Authority ha contestato una scarsa chiarezza nella somministrazione delle informative privacy sul trattamento dei dati personali ai clienti acquisiti: infatti, l’informativa privacy, quella cookie e le condizioni generali del programma di fidelity sono state tutte raggruppate in un’unica pagina, cosa che avrebbe causato un certo grado di confusione nell’utente che, per giunta, poteva prestare solo il proprio consenso al trattamento dei dati personali per tutte le finalità, ivi comprese quelle di profilazione e di marketing.
Come se ciò non bastasse, lo stesso consenso sarebbe valso anche per la sua geolocalizzazione, finalità nemmeno indicata nell’informativa.
Ancora, il Garante ha rilevato e contestato al nuovo titolare di essersi limitato solo a sostituire le vecchie fidelity card con la propria a tutti i clienti che ne hanno fatto richiesta somministrando la modulistica già in uso: di fatto, li ha considerati come nuovi interessati, anche se aveva già unificato i database delle tre aziende.
In altre parole, gli utenti appartenenti alle società acquisite non sono stati tempestivamente avvertiti del fatto che i loro dati sono confluiti nella nuova entità commerciale, anche se, a detta del titolare, erano stati i comunque congelati e mai trattati per finalità di marketing all’interno del proprio sistema gestionale.
Tra l’altro, la società, pur considerando non più validi i consensi rilasciati precedentemente alle aziende preesistenti, non è riuscita a dimostrare nel corso delle indagini come e quando i dati dei clienti fossero stati raccolti, trattati e conservati e quali fossero le informative loro somministrate.
Data la mole di informazioni che sarebbero state trattate illecitamente, l’Autorità non ha potuto che contestare al titolare la violazione dei principi di finalità del trattamento e di limitazione della conservazione dei dati.
Infine, le ispezioni hanno dimostrato che i dati raccolti anche per una sola delle finalità di telemarketing sono stati utilizzati per tutti le altre: quindi, i clienti che hanno prestato il proprio consenso al trattamento del proprio numero di telefono alla sola ricezione di SMS informativi hanno ricevuto anche promozioni telefoniche e viceversa.
Quest’ultimo aspetto è complementare a quanto contestato dalla stessa Autorità Garante con il provvedimento n. 379 del 10 novembre 2022 a un’altra azienda, stavolta operante nel settore delle telecomunicazioni, che avrebbe raccolto un unico consenso dai propri clienti sia per le attività di marketing con strumenti automatizzati che con mezzi di comunicazione tradizionali, senza che fosse consentito loro di limitare facilmente il trattamento all’una o all’altra forma di contatto.
Lo scopo dell’informativa privacy e di quella sui cookie
Come è noto, l’informativa sul trattamento dei dati personali (o privacy policy) è un documento che descrive le modalità con cui il titolare del trattamento raccoglie, utilizza e protegge le informazioni personali dei suoi clienti o utenti.
Con riferimento al mondo online, tali informazioni sono raccolte e utilizzate sia per le finalità proprie della prestazione richiesta al titolare (ad esempio, per il pagamento e la spedizione di un ordine sul suo sito e-commerce) sia per finalità di marketing, sia per tenere traccia delle attività degli utenti sul sito stesso.
L’informativa sull’uso di cookie e di altri strumenti di tracciamento ha, invece, uno scopo diverso rispetto a quella sul trattamento dei dati personali, dato che serve a rendere edotti i visitatori di un sito web di quali strumenti di tracciamento del loro comportamento e delle loro preferenze potrebbero essere installati sui loro computer o dispositivi mobili, ove prestino il consenso al loro uso.
Giova ricordare in questa sede che nel mese di gennaio 2022 sono entrate in vigore le nuove linee guida del Garante sull’uso di cookie e di altri strumenti di tracciamento, linee guida che chiariscono, una volta per tutte, che l’interessato deve essere libero di prestare il proprio consenso al loro utilizzo, senza che ciò possa avere ripercussioni sulla fruizione del servizio online (cosa che sembra non essere stata ben compresa da alcune testate giornalistiche).
Dunque, come è facilmente intuibile, entrambi i documenti devono essere sottoposti all’attenzione degli interessati prima che i trattamenti dei loro dati abbiano inizio, di modo che costoro possano liberamente scegliere se prestare o no il proprio consenso, qualora questo sia una condizione di liceità, come nel caso in cui i dati siano utilizzati per finalità di marketing.
Perché le informative devono essere differenziate
Nel primo provvedimento in esame, il Garante ha posto l’attenzione su un particolare aspetto che, il più delle volte, è sottovalutato dai titolari del trattamento: le informative privacy e cookie pubblicate sul sito web devono essere ben distinte, perché assolvono a funzioni ben diverse fra loro.
Infatti, la prima serve a informare l’utente su come saranno trattati i suoi dati per le finalità relative ai servizi erogati o per le attività di marketing a cui costui vorrà prestare il proprio consenso, la seconda, invece, trova la sua ragion d’essere nel notiziare opportunamente l’interessato dell’utilizzo di strumenti di tracciamento del proprio comportamento o, comunque, di software terzi per altre tipologie di analisi.
Secondo il Garante, unire le informazioni in un unico documento, non consentirebbe all’utente di comprendere bene e chiaramente a quali trattamenti sono sottoposti i suoi dati, quali consensi prestare e quali diritti gli spetterebbero nell’uno e nell’altro caso.
Ad ogni modo, ricorda il Garante che in entrambi i documenti bisogna indicare solo i trattamenti effettivamente compiuti e le finalità effettivamente perseguite, con espressa esclusione di attività eventuali e/o future.
Le novità per i consensi cumulativi
Il vecchio provvedimento del Garante n. 242 del 15.0.2013 statuiva una sorta di “semplificazione burocratica” per la raccolga dei consensi marketing: infatti, come è ormai noto, è possibile raccogliere un unico consenso per più modalità di contatto, siano esse automatizzate o dirette.
L’accennato provvedimento, pur essendo stato reso ben prima dell’inizio dell’applicabilità del GDPR, è sicuramente ancora valido, ma oggi, l’informativa privacy e la richiesta di consenso devono chiarire esplicitamente gli strumenti utilizzati di modo che l’interessato sia messo nelle condizioni di prestare, revocare o limitare il proprio consenso in ogni momento ad essere contattato tramite uno o più di essi, così come imposto all’operatore telefonico nel provvedimento n. 379 del 10 novembre 2022.
Maggior cautela su tracciamento e conservazione dei consensi
Infine, l’attenzione del Garante è stata posta sul tracciamento dei consensi. Il titolare del trattamento deve essere in grado di dimostrare quando il consenso è stato raccolto, con che modalità e quale documentazione privacy è stata somministrata all’interessato all’atto della raccolta. Infatti, ove i trattamenti mutino nel tempo, tanto da differenziarsi da quelli prospettati all’utente all’atto della raccolta del suo consenso, dovrà essergli sottoposta una nuova informativa.
Inoltre, il titolare deve essere comunque in grado di dimostrare se, nel corso degli anni, l’interessato abbia revocato o limitato il proprio consenso solo ad alcuni trattamenti.
Infine, pur rimanendo sempre valida l’indicazione del vecchio provvedimento del Garante del 24 febbraio 2005 sulla durata della conservazione dei dati per le finalità di marketing (cioè 24 mesi) e di profilazione (12 mesi), il titolare può stabilire un periodo di conservazione più lungo, ove possa motivarlo e, comunque, previa valutazione di impatto.
Nel caso della catena di profumerie, infatti, il Garante ha imposto la cancellazione dei dati raccolti più di dieci anni prima, mentre per quelli raccolti nello stesso periodo gli interessati dovranno rinnovare il proprio consenso.
È, quindi, opportuno che ogni azienda stabilisca sia un congruo periodo di data retention dei dati degli interessati, sia delle procedure per eseguire campagne di rinnovo dei consensi marketing prestati dai propri clienti, cancellando i dati di coloro che non lo hanno rinnovato (fatte salve, ovviamente, eventuali altre esigenze, come quelle di gestione del contenzioso).
