Qual è il periodo massimo di conservazione dei dati personali per finalità di marketing e profilazione?

Sintesi: in base al principio di autoresponsabilità previsto dal GDPR, le aziende possono determinare in autonomia il periodo di conservazione dei dati personali per finalità di marketing e profilazione. Pertanto, con il provvedimento n. 181 del 15 ottobre 2020, il Garante Privacy sembra, di fatto, confermare il superamento del precedente provvedimento del 24 febbraio 2005 – cd. Provvedimento sulle fidelity card – con cui era stato previsto un termine di conservazione dei dati personali di 24 mesi per finalità di marketing e di 12 mesi per finalità di profilazione.

Focus

Il Garante della Privacy, con il recente provvedimento n. 181 del 15 ottobre 2020, ha avuto modo di tornare sul tema della cd. data retention, cioè del periodo massimo di conservazione dei dati personali, in questo caso con riferimento alle finalità di marketing e profilazione.

Come noto, il tema del periodo di conservazione dei dati personali è spinoso e presenta numerose sfaccettature, dovute al fatto che non esistono indicazioni sempre specifiche da parte delle autorità competenti e che il periodo di conservazione può variare a seconda della finalità del trattamento, per cui il periodo di conservazione dei dati personali dei clienti per l’invio di comunicazioni commerciali potrebbe non coincidere con quello relativo al trattamento dei medesimi dati per finalità di fatturazione.

Il Garante italiano, tuttavia, con il provvedimento del 24 febbraio 2005 – provvedimento sulle fidelity card – aveva fornito alcune indicazioni di massima in materia di marketing e profilazione, prevedendo:

• un periodo di conservazione massimo di 24 mesi per il marketing
• un periodo di conservazione massimo di 12 mesi per la profilazione

Tuttavia, qualora l’azienda non avesse ritenuto congrui i suddetti termini, avrebbe potuto rivolgersi al Garante per richiedere, motivando, l’applicazione di un periodo di conservazione più lungo.

In sostanza, con riferimento al marketing e alla profilazione, il modello di data retention pre-GDPR prevedeva dei termini fissi, ferma la possibilità di richiedere una deroga al Garante in casi particolari (la casistica ha riguardato prevalentemente aziende che vendevano beni di lusso o beni che comunque vengono acquistati raramente, come ad es. un immobile).

Il modello post-GDPR, viceversa, si fonda sul principio dell’accountability o autoresponsabilità, per cui l’azienda dovrà:

1. valutare internamente qual è il periodo di conservazione adeguato per i propri trattamenti
2. indicare nell’informativa privacy tale termine
3. acquisire un consenso valido da parte dell’utente/cliente (per tutti quei trattamenti, come quelli relativi all’invio delle comunicazioni commerciali, che hanno come base giuridica il consenso)

Con riferimento al punto 1. è probabile che, per effettuare tale analisi, sia necessaria o, quantomeno opportuna, una VIP – valutazione di impatto privacy, con cui far emergere le circostanze che possono giustificare un periodo di conservazione minore o maggiore.

Con riferimento al punto 3., invece, si ribadisce come il consenso è valido solo se specifico, libero ed informato, requisiti non sempre rispettati dalle aziende.

Nel caso oggetto del presente provvedimento, ad esempio, l’informativa prevedeva una sezione denominata “Manifestazione del consenso al trattamento dei dati personali”, contenente: “a) una dichiarazione di presa visione dell’informativa; b) una formula di dichiarazione di consenso relativa all’eventuale comunicazione a terzi dei dati per attività di recupero crediti; c) una richiesta di consenso per l’invio di comunicazioni promozionali e per l’effettuazione di ricerche di mercato anche con modalità automatizzate.”.

Come noto, prevedere un unico consenso per più finalità tra loro eterogenee rende lo stesso non specifico e, pertanto, non valido.

Il cliente, inoltre, pur avendo sottoscritto il modulo, non aveva selezionato nessuna delle due caselle “consenso/diniego”, per cui anche sotto questo profilo il consenso era da ritenersi invalido.

Qualora, invece, vengano rispettate tutte le condizioni sopra indicate, secondo il Garante il consenso “deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato”.

L’enunciazione di tale principio da parte dell’Autorità sembra, pertanto, confermare il superamento del provvedimento sulle fidelity card sopra citato, che fissava, seppur in via generale, i termini di conservazione, limitandoli a 24 mesi per le finalità di marketing e 12 mesi per le finalità di profilazione.

Il provvedimento in questione si segnala altresì per un altro profilo su cui spesso le aziende non prestano la dovuta attenzione, vale a dire il mancato o insufficiente riscontro alle richieste dell’utente/cliente.

In questo caso, l’interessato aveva richiesto all’azienda non solo di non ricevere più comunicazioni commerciali, ma anche di ottenere dalla stessa copia della documentazione attestante l’acquisizione del consenso.

La società, tuttavia, si limitava a dichiarare “il trattamento dei Suoi dati personali, conferiti al momento della richiesta di finanziamento, è effettuato lecitamente ai sensi del Regolamento UE n. 679/2016 (GDPR), previa sua autorizzazione, per l’instaurazione e l’esecuzione del contratto di finanziamento medesimo”.

Tale risposta non è stata ritenuta sufficiente dal Garante, che ha, quindi, invitato l’azienda a fornire “riscontri completi e puntuali alle richieste di esercizio dei diritti da parte degli interessati”.