Trattamento per finalità di marketing: si può ancora parlare di “durata massima del consenso”?
A seguito di alcune recenti pronunce in merito ai tempi di durata del trattamento di dati personali per finalità di marketing, risulta fondamentale fare chiarezza in merito ai numerosi principi che regolano questo tema delicato, fornendo così agli operatori tutti gli strumenti più opportuni per poter assumere scelte di business coerenti con l’attuale panorama normativo.
Le indicazioni normative e le interpretazioni delle autorità
Volendo partire dalla normativa primaria di riferimento, ossia il Regolamento UE 2016/679 (GDPR), è opportuno ricordare che l’art. 13 comma 2 let. a), impone al titolare del trattamento di informare gli utenti in relazione “al periodo di conservazione dei dati personali oppure, se non è possibile, [a]i criteri utilizzati per determinare tale periodo.”
Tuttavia, dal momento che il GDPR non specifica altro in merito alle tempistiche per la conservazione dei dati, qualsiasi scelta al riguardo è rimessa interamente al titolare stesso, il quale dovrà poi essere in grado di giustificarla, nel rispetto del principio di accountability, uno degli elementi cardine del Regolamento.
Eppure, determinare con esattezza per quanto tempo si deve – o è possibile – conservare i dati personali per le attività di marketing, non è affatto semplice, in quanto questa valutazione, che dovrebbe essere effettuata prima di procedere con il trattamento, impone di prendere in considerazione una serie di elementi, tra i quali di sicuro il più rilevante è il principio di limitazione della conservazione, richiamato all’art. 5 del GDPR, che stabilisce che i dati non devono essere conservati più a lungo di quanto necessario al conseguimento delle finalità per le quali sono trattati.
L’European Data Protection Board (EDPB) ha avuto modo di esprimersi sul tema, fornendo alcune sintetiche indicazioni operative, attraverso le “Linee Guida 05/2020 sul consenso in base al Regolamento 2016/679[1]” nella versione aggiornata al 4 maggio 2020, che al punto 110 ricordano che, non prevedendo il Regolamento un limite specifico per la “durata del consenso” questa dipenderà anche dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. In caso di cambiamenti sostanziali o importanti evoluzioni dei trattamenti originariamente previsti, sempre secondo l’EDPB, il consenso originale non sarà più valido e lo si dovrà richiedere – ed ottenere – nuovamente.
È interessante invece considerare come le ultime bozze del “Regolamento relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e che abroga la direttiva 2002/58/CE[2]”, meglio noto come “Regolamento ePrivacy” sembrino presupporre una validità dei consensi fino alla loro revoca (e, quindi, potenzialmente, anche per svariati anni), a patto che agli utenti venga periodicamente rammentata tale possibilità. Benché degna di interesse, la valenza normativa di tale indicazione è ancora piuttosto debole, considerato che la proposta di Regolamento ePrivacy, oggetto di costante revisione presso le autorità europee, sembra lontano – al momento – da una definizione finale.
Tra le autorità di controllo che si sono pronunciate sul tema in oggetto, l’ICO (Autorità Garante per la protezione dei dati personali inglese) in particolare ha emanato delle interessanti linee guida[3], che prendono in considerazione il tema della durata del consenso nello specifico contesto del direct marketing, ambito in cui alla conservazione dei dati sono connessi rilevanti interessi economici di molti operatori del mercato.
L’ICO, benché ammetta che il consenso per finalità di marketing diretto non possa durare per sempre, ricorda che la validità dello stesso dipende da una serie di circostanze particolari, tra cui il contesto in cui è stato prestato il consenso, la natura del rapporto tra soggetto interessato e titolare del trattamento e, soprattutto le ragionevoli aspettative dell’individuo. Questi elementi sono tra loro interconnessi: infatti, in base al contesto e alla natura del rapporto con il Titolare, l’utente potrebbe maturare delle ragionevoli aspettative in relazione alla durata del trattamento. In ogni caso, si deve tenere presente che più tempo trascorre dal momento della prestazione del consenso più si riducono le aspettative dell’utente ad essere coinvolto in un’attività di trattamento.
Ad esempio, se si ottiene il consenso di una persona per ricevere e-mail promozionali, l’utente ragionevolmente si potrà aspettare di essere contattato nei giorni immediatamente successivi alla prestazione del consenso, ma è improbabile che si aspetti di ricevere comunicazioni promozionali solo dopo alcuni anni. Al contrario, in base alle circostanze l’individuo potrebbe attendersi di iniziare a ricevere marketing in un determinato momento del futuro, ad esempio, nel caso di consenso dato per ricevere comunicazioni elettorali o relative a beni di lusso, offerte stagionali o servizi assicurativi rinnovabili annualmente.
L’Autorità Garante italiana: dai 24 mesi del provvedimento cd. “Fidelity Card” al provvedimento del 15 ottobre 2020
E in Italia? In un tempo di molto antecedente all’entrata in vigore del GDPR (e, più precisamente, nel 2005[4]) l’Autorità garante per la protezione dei dati personali si era espressa in materia di conservazione dei dati e, nel contesto della regolamentazione delle carte fedeltà utilizzate nella GDO e dei trattamenti di dati ad esse correlate, aveva espresso una posizione piuttosto ferma, individuando, quali tempi massimi di retention, quello di ventiquattro mesi per quanto riguarda le finalità di marketing e di dodici per quelle di profilazione. Benché si trattasse di un provvedimento piuttosto specifico – che si concentrava, tra l’altro, sulla conservazione dei dati di acquisto – tali termini, con il tempo, si sono poi imposti, soprattutto nel settore del marketing, come limiti quasi invalicabili, fatte salve specifiche esigenze legate alla tipologia o alla stagionalità dei prodotti promossi.
Molte aziende hanno tentato di ovviare a tali limiti, antecedentemente all’entrata in vigore del Regolamento, ricorrendo a verifiche preliminari presso l’Autorità per una estensione della retention, ma spesso senza successo.
Con l’arrivo del GDPR e del suo nuovo principio ispiratore, ossia la summenzionata accountability del titolare, i limiti di durata del consenso “calati” dall’alto si sarebbero dovuti considerare superati, così come accaduto per le misure minime di sicurezza di cui all’ormai abrogato Allegato B del Codice Privacy. Ciononostante, e per lungo tempo dopo l’approvazione del Regolamento, i tempi definiti dal Garante nel 2005, in assenza di nuove istruzioni dell’Autorità sul punto, sono rimasti l’unica indicazione specifica sul tema della retention.
In assenza di smentite o rettifiche da parte dell’Autorità, mentre con l’applicazione del GDPR (e delle prime sanzioni) aumentava l’attenzione dei player del mercato per le tematiche connesse al trattamento dei dati, i termini del “Provvedimento Fidelity Card” hanno iniziato sempre più spesso ad essere imposti – anche nei contesti delle trattative commerciali, specialmente nel settore della lead generation – quali unica alternativa per poter fornire i propri servizi rispetto a determinati operatori, a discapito dell’operatività soprattutto delle PMI del settore.
Nel 2020, tuttavia, complice forse anche l’insediamento del nuovo Collegio, l’Autorità si è nuovamente pronunciata – anche se incidentalmente – sul tema, tramite il Provvedimento di ammonimento del 15 ottobre[5] nei confronti di Carrefour Banque, Succursale italiana di Carrefour Banque SA.
Nel contesto di un reclamo presentato a seguito della ricezione di un SMS promozionale a distanza di oltre dieci anni dalla prestazione del consenso, il Garante ha chiarito che un periodo di durata così ampio non è idoneo, per sé stesso, a dimostrare l’assenza di un valido consenso. Infatti, ha dichiarato l’Autorità “il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica”. Superando, quindi un concetto di “scadenza” imposta dall’alto, il Garante ha precisato che “il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocatodall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa”.
Sdoganando, quindi, quella che ormai era diventata una prassi di settore, che costringeva spesso gli operatori a rimuovere contatti ancora “attivi” dai propri database commerciali, per il solo raggiungimento del tempo massimo di “scadenza”, l’Autorità ha finalmente fornito delle indicazioni operative che non solo garantiscono una maggiore coerenza delle pratiche del settore rispetto al GDPR, ma che agevolano anche tutti quei titolari che, una volta ottenuti tutti gli opportuni consensi per trattare dati per finalità di marketing, forniscono agli interessati contenuti rispetto ai quali gli stessi nutrono interesse anche a distanza di anni.
Tale Provvedimento è stato recentemente commentato anche da Guido Scorza[6] già avvocato specializzato nel settore ed attuale componente del Collegio del Garante per la protezione dei dati personali, il quale, coerentemente con quanto stabilito dall’art. 22 comma 4 del d.lgs. n. 101/2018[7], ha dichiarato che i limiti di cui al provvedimento “Fidelity Card” devono considerarsi superati dall’entrata in vigore del Regolamento e “sussunti sotto il principio dell’accountability in forza del quale, oggi, tocca al singolo titolare del trattamento determinare, caso per caso, quanto a lungo sia lecito protrarre un trattamento di dati personali per finalità di marketing o profilazione nel rispetto dei diversi principi cui si ispira la disciplina europea e, in particolare, di quelli di proporzionalità, necessità, minimizzazione ecc.”
Si aprono quindi nuove e interessanti prospettive per tutti quelli operatori che, raccolti i dati personali nel rispetto del principio di trasparenza, adempiendo i propri obblighi in materia di informativa e consenso – con un aumento, da un lato, dei costi di acquisizione – potranno poi rifarsi dei non banali costi di compliance sostenuti monetizzando le informazioni così raccolte, coniugando armonicamente operatività e accountability.
_________________
[1] Guidelines 05/2020 on consent under Regulation 2016/679 – version 1.1 adopted on 4 May 2020 – link: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf;
[2] Proposta di Regolamento sulla vita privata e le comunicazioni elettroniche – link: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52017PC0010&from=IT;
[3] ICO Direct Marketing Guidance: https://ico.org.uk/media/1555/direct-marketing-guidance.pdf;
[4] Provv. del 24 febbraio 2005 – [doc. web. n. 1103045] – link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1103045 ;
[5] Provv. del 15 ottobre 2020 – [doc. web. n. 9486485] – link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9486485;
[6] Marketing e videosorveglianza, Scorza: “Spetta al titolare stabilire i termini di liceità del trattamento” pubblicato on-line su Agenda Digitale – link: https://www.agendadigitale.eu/sicurezza/privacy/marketing-e-videosorveglianza-scorza-spetta-al-titolare-stabilire-i-termini-di-liceita-del-trattamento/;
[7] Art. 22 comma 4, D.Lgs. n. 101/2018: “A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto”.