Un diamante è per sempre… ma che dire del consenso privacy al marketing diretto?
È ormai noto che, nella maggior parte dei casi, è necessario ottenere il consenso degli interessati per trattare i loro dati personali a fini di marketing diretto.
Ma una volta che abbiamo ottenuto il consenso, per quanto tempo possiamo trattare i dati? Un diamante è per sempre… ma che dire del consenso privacy?
In ambito privacy, sono pochissimi i trattamenti di dati che possono dirsi “per sempre” e, a mio parere, i trattamenti per finalità di marketing non sono fra questi. Ma allora quanto dura il consenso?
Su questo argomento, gli esperti si dividono. In questo articolo ripercorrerò l’evoluzione di varie pronunce del Garante privacy, in modo che possiate farvi una vostra opinione e, infine, vi esporrò la mia.
Il provvedimento Fidelity Card del 2005: conservazione dei dati per 12 o 24 mesi
Partiamo dal lontano 24 febbraio 2005, quando il GDPR non esisteva ancora, ma i principi di limitazione nella conservazione dei dati non erano poi così diversi.
In un provvedimento divenuto celebre in materia di Fidelity Card, il Garante, pur non parlando espressamente di durata del consenso, si pronunciò in maniera piuttosto specifica sui termini di conservazione dei dati per finalità di marketing:
I dati relativi al dettaglio degli acquisti con riferimento ai clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a 12 e a 24 mesi dalla loro registrazione.
In questo provvedimento, il Garante precisò che i titolari che intendevano trattare i dati più a lungo avrebbero dovuto esperire la procedura di autorizzazione preventiva. Ricordiamo che questa procedura è stata abolita nel 2018 con l’entrata in vigore del GDPR.
La durata del consenso è maggiore nel settore del lusso
Negli anni successivi, alcune società appartenenti al settore del lusso chiesero di essere autorizzate a conservare dati di profilazione a fini marketing per 10 anni. La motivazione era che, trattandosi di prodotti di alta fascia, gli acquisti sono più diradati nel tempo. Sembra che un consumatore medio di questi prodotti ne acquisti due l’anno. Di conseguenza, la profilazione per soli 12 mesi non sarebbe stata utile.
Il primo provvedimento del Garante arrivò il 24 aprile 2013 in favore di Bulgari, che venne autorizzata a conservare i dati di profilazione per 10 anni.
Successivamente, il Garante ridusse il tiro ed autorizzò Ferragamo (30 maggio 2013), Tod’s (7 novembre 2013), Fendi (2 dicembre 2015) e molte altre società del lusso a trattare dati di profilazione a fini marketing per 7 anni.
In tutta sincerità, non sono mai riuscito a capire il diverso giudizio espresso dal Garante in favore di Bulgari rispetto alle altre società, né perché queste ultime non se ne siano lamentate. Ma diciamo che, ai fini della nostra narrazione, questo non ci interessa più di tanto.
L’arrivo del GDPR e le conseguenze sulla durata del consenso
Nel 2018 arriva il GDPR e le cose cambiano un po’: con il principio di accountability, non spetta più al Garante autorizzare la durata di conservazione dei dati personali. È il titolare che decide i termini di conservazione ma deve essere in grado di giustificare la sua decisione.
Il provvedimento del Garante privacy n. 181 del 15 ottobre 2020 (Carrefour)
Con il provvedimento n. 181 del 15 ottobre 2020, il Garante sembrò recepire questo nuovo principio ed affermò:
Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo (…) deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa.
Molti interpreti hanno letto questo provvedimento come un via libera alla conservazione di dati per finalità di marketing in modo indefinito o per tempi lunghissimi, fino alla revoca del consenso.
Bisogna ammettere che la pronuncia del Garante si presta a diverse interpretazioni.
È vero che, in un primo passaggio, il provvedimento dice che il consenso deve ritenersi valido sino alla revoca e indipendentemente dal tempo trascorso. Ma dopo aggiunge che ciò deve pur sempre avvenire nei tempi di conservazione stabiliti dal titolare.
Da ciò si deduce che, anche dopo il GDPR, un consenso non è per sempre, deve comunque essere sottoposto a dei criteri di conservazione stabiliti e motivati dal titolare.
Il provvedimento del Garante privacy n. 321 del 18 luglio 2023 (Tiscali)
Arriviamo infine al provvedimento del Garante n. 321 del 18 luglio 2023, da molti criticato come un passo indietro.
Dinanzi ad una conservazione di dati marketing per 10 anni da parte di una compagnia telefonica, il Garante ha ritenuto che si trattasse di un termine eccessivamente lungo. Poi ha aggiunto che, seppur vero che i termini di 12 e 24 mesi stabiliti nel provvedimento Fidelity Card del 2005 non sono più vincolanti, tuttavia si tratta ancora di valide linee guida per stabilire quale sia un termine adeguato di conservazione dei dati a fini di marketing.
Cosa dice l’EDPB sulla durata del consenso
Prima di trarre le nostre conclusioni, andiamo a vedere anche cosa dice l’EDPB, ovvero l’unione dei garanti europei, in materia di durata del consenso.
Nelle Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, l’EDPB scrive:
Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso.
Dopodiché aggiunge:
Come migliore prassi il Comitato raccomanda di aggiornare il consenso a intervalli appropriati. Fornire nuovamente tutte le informazioni contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.
Conclusioni: quanto dura il consenso al marketing?
Adesso che abbiamo ripercorso le varie pronunce del Garante italiano e citato l’opinione dell’European Data Protection Board, ovvero dell’unione dei garanti europei, proviamo a trarre le nostre conclusioni.
Il consenso privacy al marketing dura per sempre?
No, il consenso è valido fino alla revoca ma solo all’interno di un termine di conservazione che deve essere determinato dal titolare del trattamento. Secondo il Garante italiano, un termine ragionevole è quello di 24 mesi per il marketing e di 12 mesi per i dati di profilazione. Tuttavia, niente ci vieta di aumentare questo termine in base alle nostre esigenze concrete, purché ciò sia giustificato in base al principio di accountability. Ad esempio, se i beni o servizi che vendiamo hanno una periodicità di acquisto molto dilatata nel tempo, sarà possibile giustificare una maggiore durata di conservazione dei dati a fini marketing.
Una volta trascorso il termine di conservazione stabilito, possiamo cancellare il dato oppure chiedere all’interessato di rinnovare il consenso per un periodo altrettanto lungo. Il rinnovo del consenso deve essere ottenuto mediante un’azione positiva e non con un messaggio del tipo “se non ti disiscrivi allora significa che vuoi rinnovare il consenso”.
Questi accorgimenti ci consentiranno di mantenere un database di potenziali clienti conforme alla normativa privacy e, allo stesso tempo, composto da persone che sono realmente interessate ai nostri prodotti e che non ci percepiranno come uno spam.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale.