Sui siti Internet tripletta di informazioni: bisogna tenere separate l'Informativa Privacy, l'Informativa sull'uso di Cookie e le informazioni e note legali relative ai servizi online e alle condizioni contrattuali praticate. Sono le prescrizioni applicate al settore marketing dal Garante Privacy nell'ingiunzione n. 348 del 20 ottobre scorso con la quale è stata sanzionata (1,4 milioni euro) una catena internazionale di profumerie.
All'operatore è stato rimproverato anche di avere conservato troppo a lungo i dati dei clienti raccolti nel contesto di un programma di fidelizzazione.
Sempre in materia di marketing un'altra ingiunzione del Garante (la n. 379 del 10 novembre 2022) ha messo paletti alla possibilità di raccogliere un consenso cumulativo a ricevere messaggi promozionali con strumenti automatizzati e con mezzi di comunicazione tradizionali.
Passiamo, dunque, ad illustrare i passaggi più rilevanti delle due ingiunzioni, le quali riprendono, con alcune rivisitazioni, l'impianto di provvedimenti del Garante anteriori al GDPR.
Informative separate
Le Informative Privacy sono atti che devono essere completi ed analitici e richiedono molte attenzioni formali (non basta certo un disegnino). L'ingiunzione n. 348/2022 ha imposto alla catena di profumerie di distinguere chiaramente informativa e consensi “privacy” dall'informativa e consensi per i cookies.
Con la prima, nei rapporti con i clienti, si informa su come e perché si trattano i dati nel contesto della fornitura di beni e servizi e della loro promozione commerciale.
Con l'informativa “cookie” si deve descrivere il trattamento effettuato nel contesto della navigazione sul sito internet e riguarda l'eventuale tracciamento delle operazioni nella consultazione delle pagine web. Entrambe le informative non devono essere confuse in unico testo. Inoltre, entrambe devono essere tenute separate dai termini contrattuali di vendita di beni e servizi.
Il Garante aggiunge, poi, che nell'informativa bisogna scrivere solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite, senza, dunque, dilungarsi in descrizioni di attività eventuali e future.
Questo, ovviamente, non esclude di dare conto delle operazioni di trattamento che non hanno avuto ancora inizio. Anzi per definizione l'informativa deve precedere il trattamento.
Quel che è vietato è confondere le idee degli interessati e accumulare frasi su frasi su modalità del trattamento del tutto improprie o magari solo per precauzione, caso mai in futuro si cominciasse a farle.
Bisogna ricordarsi, invece, che l'informativa è di per sé un atto destinato a continui aggiornamenti e, quindi, quando è necessario, potrà essere modificata e integrata.
Consensi cumulativi. Con un vecchio provvedimento (il n. 242 del 15/5/2013) il Garante ha concesso una semplificazione per i consensi “marketing”. In particolare, nei contatti promozionali è possibile chiedere un consenso indifferenziato con riferimento a diverse modalità di trattamento e cioè per le automatizzate oppure per i contatti telefonici effettuati da operatore umano: se si chiede il consenso per le modalità automatizzate (e-mail, messaggistica, ecc.) questo vale anche per le chiamate con operatore.
Questo vale sempre, anche dopo il GDPR (diventato operativo nel maggio del 2018), ma bisogna rispettare certe condizioni, che il Garante ricorda nell'ingiunzione n. 379/2022.
L'informativa e la richiesta di consenso devono chiarire i mezzi usati e, quindi, devono elencare tutte le modalità usate. Ma questo non basta. All'interessato deve essere garantita la possibilità di limitare, in maniera facile e gratuita, i contatti a quelli tradizionali. Magari l'interessato non vuole più ricevere comunicazioni di posta elettronica o telefonate con operatore e deve poter scartare l'opzione non gradita.
Durata limitata
Un altro vecchio provvedimento del Garante (del 24 febbraio 2005) ha disciplinato i programmi di fidelizzazione della clientela, stabilendo il termine di 12 mesi di conservazione dei dati per finalità di marketing e di 24 mesi per finalità di profilazione. Avendo in mente questo precedente, il Garante (ingiunzione n. 348/2022) ha imposto a un operatore economico la cancellazione di dati di clienti risalenti a oltre 10 anni prima. Inoltre ha imposto di cancellare o di pseudonimizzare quelli conservati da meno di 10 anni e, nel caso di pseudonimizzazione, ha obbligato a chiedere il rinnovo del consenso, e a cancellare chi non lo fa. Se ne deduce che l'operatore economico deve prendere in considerazione i termini previsti dal provvedimento del 2005 e, per discostarsene, deve giustificare con una Valutazione d'Impatto Privacy (DPIA) i termini eventualmente più lunghi.
Fino a revoca
Sempre sui termini il Garante impone di non eludere la normativa. Anche quando si prevede il consenso al marketing e/o alla profilazione valido fino a revoca/opposizione, l'operatore economico deve provvedere a una conservazione selettiva e limitata (con particolare riguardo, rispettivamente, alla tipologia e alla durata) dei dati dei clienti. Ciò dovrebbe fare, a prescindere dalla revoca del consenso o da richieste provenienti dall'interessato.
In effetti si tratta di istituti differenti: la revoca del consenso riguarda le condizioni di liceità del trattamento, mentre la limitazione della conservazione riguarda un principio del trattamento stesso.
(Fonte: Federprivacy del 12 dicembre 2022)
Se la tua azienda non ha ancora preso provvedimenti per adeguarsi alla normativa in materia GDPR, contattaci senza impegno per informazioni o per un preventivo gratuito, il nostro team di specialisti in materia di Privacy ed esperti DPO saprà consigliarti la soluzione migliore commisurata alla tua attività!
Ci puoi contattare ai nostri recapiti:
Tel. 0584 17 16 857 (4 linee r.a.)
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.