La limitazione della conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il loro trattamento è uno dei principi generali del GDPR.
La corretta indicazione del periodo di data retention dei dati è, dunque, uno dei principali adempimenti a cui conformarsi nella definizione del trattamento dati, nel caso specifico per finalità di marketing o di profilazione.
L’analisi del provvedimento con cui il Garante privacy ha sanzionato il Gruppo Benetton rappresenta, dunque, un utile caso di studio per il corretto adeguamento alle norme indicate dal Regolamento UE sulla protezione dei dati personali.
Indice degli argomenti
Sanzione privacy al Gruppo Benetton: la vicenda
Come sappiamo, con il provvedimento del 27 aprile 2023 doc. web 9902472, il Garante ha sanzionato il Gruppo Benetton ad una somma pari a 240 mila euro per una serie di violazioni, tra cui l’erronea determinazione del periodo di conservazione dei dati di clienti ed ex clienti.
A seguito di accertamenti è emersa l’indicazione di periodo di data retention superiore a due anni per i titolari di carte fedeltà.
Inoltre, è stata accertata la presenza nei sistemi di anagrafica di tutti quei clienti che non abbiano chiesto la cancellazione del loro account o che non abbiano avanzato specifiche richieste di anonimizzazione.
Il Garante contestava la violazione dei principi di minimizzazione e limitazione della conservazione, per i quali i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
Infatti, la durata indicata dalla Società era di dieci anni per finalità di marketing o di profilazione, da ritenersi eccessiva rispetto ai 24 mesi indicati dal Garante in un precedente provvedimento.
Criteri per la determinazione del periodo di conservazione dati
Il Garante ha più volte precisato la necessità di definizione di un termine di conservazione certo e pertinente. Stabilendo un corretto tempo di conservazione si riduce infatti il rischio di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati.
Bisogna però considerare che raramente l’Autorità Garante per la protezione dei dati prescrive espressamente un periodo predeterminato. Il periodo di conservazione va determinato sulla base della quantità di dati trattati, sulla loro tipologia e sulle finalità. Il principio su cui basare la determinazione è quindi quello di accountability (o “principio di responsabilizzazione”).
Tuttavia, in merito alla finalità di marketing e/o profilazione, con il c.d. provvedimento delle “Fidelity Card”, il Garante indica specificamente un periodo di conservazione pari a 12 mesi o 24 mesi, rispettivamente per profilazione e marketing.
In presenza di un contratto, invece, il titolare può conservare i dati del cliente per eventuali controlli fiscali o societari fino a dieci anni. Infatti, i 10 anni indicati per la contrattualistica da Benetton non erano oggetto di critica in sé, quanto però la loro erronea applicazione – ingiustificata, e non prevista peraltro dall’informativa – alle finalità di marketing.
In ultimo, bisogna considerare che il consenso al trattamento dei dati personali per finalità promozionali deve essere distinto e non condizionato dall’esistenza o meno di un rapporto contrattuale. Il consenso può ritenersi valido solo se raccolto correttamente e, nel caso di Benetton, pur essendoci la richiesta di consenso per finalità di marketing, è stata contestata la mancanza di una valida motivazione del periodo di conservazione.
La finalità di marketing come punto cruciale
Il tema della conservazione dei dati personali diventa cruciale quando gli stessi vengono trattati per finalità di marketing. L’indicazione di 24 mesi sembrava risolvere il dilemma, ma le società spesso ritengono quest’arco temporale troppo limitato.
Attualmente, se si intende aumentare considerevolmente la durata è consigliabile effettuare una valutazione di impatto (“Data protection impact assessment”) in applicazione del principio di accountability.
Benetton, alla stregua di molti operatori del settore della moda (doc. web 2920245 del 7 novembre 2013, doc. web 2547834 del 30 maggio 2013 e doc. web 2499354 del 24 aprile 2013), aveva indicato nelle proprie informative che i “servizi sono stati strutturati senza una durata o scadenza prestabilita, al fine di permettere all’utente di poterne fruire ininterrottamente nel tempo, in considerazione anche della tipologia di prodotti offerti dalla Società e della frequenza degli acquisti dei clienti che, in genere, sono effettuati anche a distanza di tempo”.
Tuttavia, la giustificazione non è stata ritenuta sufficiente dal Garante che ha contestato l’eccessività del periodo di conservazione per le anzidette finalità essendo presenti ricchi dettagli riferiti ai gusti e alle preferenze e quindi alle abitudini di consumo del cliente.
Mantenere dati per più tempo senza violare il GDPR
La vicenda di Benetton è solo uno degli esempi che dimostra la rilevanza del tema della conservazione dei dati.
In termini di accountability vediamo quale potrebbe essere un percorso per determinare il periodo di conservazione dei dati:
- Si dovrebbe giustificare la scelta sulla base dei tempi medi per portare a termine l’attività che si svolge. Ad esempio, parlando del settore dell’abbigliamento, la tempistica media per la vendita di una capo di vestiario non sarà mai pari a quella di una società immobiliare.
- Bisognerebbe distinguere tra le varie attività per cui si determina il periodo di conservazione. Si parla di finalità di marketing sia quando si inviano e-mail di recall, sia quando si invia una newsletter mensile. Queste e-mail hanno scopi diversi: far proseguire nell’acquisto, tenere informati su prodotti e/o servizi simili o acquisire maggiori dati sui potenziali clienti. La società dovrebbe ragionare in modo più granulare in merito a queste informazioni.
- Sarebbe consigliato evitare tempi eccessivi, esponendo i dati personali ad un rischio potenziale più elevato di potenziale violazione.
Infine, è necessario ricordare che il periodo di conservazione deve essere specificato sia nel registro dei trattamenti che nell‘informativa privacy e che sarebbe consigliabile la redazione di una policy interna in tema di data retention.
Conclusione
Adottare una soluzione rispetto ad un’altra è una decisione interna aziendale legata ad una logica di accettazione del rischio e, pertanto, è opportuno valutare tutte le indicazioni dell’Autorità Garante per evitare sanzioni per importi che potrebbero anche essere superiori a quelle previste nel caso in esame.
