La conservazione dei dati per finalità di marketing e profilazione

Autore: Alberto Nicolai

Uno dei temi certamente più complessi e dibattuti del GDPR è la c.d. “data deletion”, ovvero la cancellazione dei dati personali non più necessari per gli scopi prefissati in sede di originaria raccolta, cui è propedeuticamente connesso lo speculare tema della “data retention”, ovvero la corretta individuazione dei termini di conservazione dei dati personali.

Il tema non è certamente nuovo, nonostante svariati proclami – in particolare sui social – di segno opposto, in quanto il nostro “vecchio” Codice Privacy (d.lgs. 196/2003 precedente alla novella del d.lgs 101/18) affrontava già la tematica in maniera sostanzialmente identica agli art. 7, comma 3, lett.b [oggi abrogato a favore dell’art. 15 del GDPR] e 11, comma 1, lett.e) [oggi abrogato a favore dell’art. 5, parag. 1, lett. e) del GDPR].

Inoltre, il nostro Garante è ripetutamente intervenuto negli anni, nel corpo dei suoi Provvedimenti, con spunti e indicazioni utili relative ai corretti termini di conservazione dei dati personali, in assenza di norme di legge specifiche: tra questi, di assoluta rilevanza il Provvedimento generale “Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione – 24 febbraio 2005”, dove il Garante ha individuato in 24 mesi (marketing) e 12 mesi (profilazione) il termine massimo per poter conservare “i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili”.

Dal 2005 questo Provvedimento ha rappresentato il faro sul tema della conservazione dei dati per finalità di marketing e profilazione, rappresentando per molti Titolari il riferimento “standard” anche in presenza di trattamenti che prescindessero dal rilascio di una Fidelity Card.

Tuttavia, il termine di carattere generale identificato dal Garante – avente come target la GDO – è stato più volte oggetto di richieste di estensione nell’ambito di Verifiche Preliminari ai sensi dell’art. 17 del “vecchio” Codice Privacy (oggi abrogato), in ragione della tipologia di beni o servizi offerti dal Titolare e oggetto di marketing/profilazione, il quale avrebbe perso di utilità e penalizzato fortemente il business specifico delle aziende richiedenti se limitato ai termini del Provvedimento di cui sopra.

Nello specifico, noti brand del calibro di Diesel, Tod’s, Ferragamo, Loro Piana, Bulgari, Fiat, BMW, Costa Crociere e Tecnocasa hanno ottenuto dal Garante un’estensione dei termini “standard” di 12/24 mesi, come sintetizzato di seguito:

Estensione a 7 anni con riferimento a prodotti di fascia medio-alta nel settore della moda, in ragione della frequenza media di acquisto dei propri prodotti che non appare significativa nell’arco temporale di un solo anno, posto che un cliente “effettua mediamente un solo acquisto durante un anno solare o due acquisti in corrispondenza dei periodi primavera-estate e autunno-inverno”. [PROVVEDIMENTO]
Estensione a 10 anni con riferimento a beni particolari quali gioielli e automobili, in considerazione della frequenza media annuale di acquisto, per ciascun cliente, del bene oggetto di marketing [PROVVEDIMENTO 1; PROVVEDIMENTO 2]
Estensione a 15 anni con riferimento ad operazioni di acquisto/vendita o affitto/locazione di beni immobili in quanto tale arco temporale appare congruo e proporzionato alle finalità che si intendono realizzare [PROVVEDIMENTO]

Con il GDPR, tuttavia, le ipotesi di interlocuzione ex ante con l’Autorità – di cui la verifica preliminare rappresentava il tipico esempio – sono state ampiamente ridimensionate, in forza di un approccio “responsabile” dei Titolari insito nel principio di Accountability.

Di fatto, il Regolamento ha invertito l’approccio cui eravamo abituati, che prevedeva un intervento preventivo del Garante su interpello del Titolare ogniqualvolta vi fosse un “trattamento con specifici rischi per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento e agli effetti che può determinare“; in tali casi, il confronto con il Garante rappresentava un passaggio obbligato prima di poter avviare il relativo trattamento.

Tale approccio è stato sostanzialmente invertito con il Regolamento 679/2016, in quanto le aziende titolari sono oggi chiamate a valutare e, se del caso, ad avviare tutti trattamenti in sostanziale autonomia, potendosi tuttavia agevolare di un potente strumento messo nelle loro mani dal Legislatore Europeo: il Data Protection Impact Assessment.

E’ proprio in sede di valutazione degli impatti sulla protezione dei dati che le aziende titolari possono valutare il periodo di retention che ritengono congruo con le loro specifiche esigenze di business, bilanciandolo con i potenziali rischi per i diritti e le libertà delle persone fisiche, e adottando le misure tecnico-organizzative ritenute adeguate alla protezione dei dati coinvolti nel trattamento.

E’ tuttavia alquanto evidente come la scelta dei Titolari non possa prescindere dai razionali e dai termini indicati dal Garante nel corso degli anni, che continueranno a fungere da riferimento per le valutazioni di molti Titolari.

Resta appurato come il GDPR trasferisca alle aziende il potere/dovere di compiere scelte responsabili rispetto ad ambiti dove, in precedenza, soltanto l’Autorità poteva esprimersi, ferma tuttavia la possibilità – divenuta solo residuale – di Consultazione ai sensi dell’art. 36 GDPR.

Concludendo, e volendo rispondere ad un quesito che sovente mi viene posto dai Clienti, si può affermare che il termine “standard” di 12 e 24 mesi per la conservazione dei dati utili alle finalità di profilazione e marketing non è un riferimento tassativo che ogni Titolare deve necessariamente – e incontrovertibilmente – prevedere nelle proprie Policy di Data Retention, ma può essere esteso qualora:

vi siano specifiche esigenze di business che giustifichino una conservazione estesa dei dati;
tale arco temporale risulti congruo e proporzionato alle specifiche finalità perseguite;
vengano adottate misure tecnico-organizzative adeguate atte a garantire un livello di sicurezza adeguato al rischio.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL