Privacy e marketing, tra ambiguità, contraddizioni e dubbi interpretativi

giovedì 5 ottobre 2023

Nell’ambito del monitoraggio delle attività di marketing e profilazione condotte, tra il 3 e il 5 maggio 2022, il Garante Privacy ha condotto un’ispezione presso Tiscali Italia S.p.A.

Dall’analisi della “Policy di Data retention” di Tiscali emergono i seguenti aspetti critici:

1. Per scopi di marketing e profilazione, Tiscali conserva tutti i dati, compreso lo “storico degli acquisti di prodotti e servizi Tiscali,” per un periodo di 10 anni, sia per i clienti inattivi che per quelli attivi, a partire dall’ultima interazione o acquisto.
2. Per le stesse finalità, i dati dei prospect, tra cui dati anagrafici, dati di contatto e informazioni acquisite dai profili pubblici sui social media, vengono conservati per 5 anni. La data iniziale di conservazione è determinata in base all’ultima interazione o alla raccolta del consenso, a seconda se si tratti di attività di marketing o profilazione.

Inoltre, la politica di gestione delle liste lead prevede una conservazione di 2 anni ai fini del servizio di call-back. Tuttavia, la mancanza di dettagli nella privacy policy, come i tempi precisi di conservazione e alcune modalità di trattamento e scopi, costituisce una violazione dei principi di correttezza e trasparenza stabiliti nell’art. 5, par. 1, lett. a, e 12, par. 1, nonché dell’art. 13 del Regolamento.

Il provvedimento del Garante solleva preoccupazioni riguardo ai termini di conservazione dei dati, in particolare il termine “fino alla revoca del consenso” previsto nell’Integrazione istruttoria di Tiscali per i dati relativi al marketing dei clienti attivi. Questo potrebbe essere in contrasto con i principi di finalità, minimizzazione e limitazione della conservazione secondo l’art. 5, par. 1, lett. b), c) ed e) del GDPR. Nonostante questi termini siano stati stabiliti da Tiscali nell’ambito della propria responsabilità, sembrano essere eccessivamente prolungati. Secondo un provvedimento generale del 24 febbraio 2005, i dati di marketing dovrebbero essere conservati per un massimo di 2 anni e quelli relativi alla profilazione per un massimo di 1 anno.

Il Provvedimento del 18 luglio 2023 esprime però un orientamento del Garante che parrebbe in contraddizione con i consolidati criteri di durata della conservazione “fino a revoca del consenso” ribaditi in passato dall’Autorità (si veda il Provv. n. 181 del 15 ottobre 2020 dello stesso Garante). Il documento EDPB delle linee guida 5/2020 sul consenso, al punto 110, riporta: ” Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso.”

Fonte: garanteprivacy.it

giovedì 5 ottobre 2023
Categorie: News
Autore: Helinext
Letture articolo: 1070