
Privacy su misura per il marketing: il consenso privacy per marketing e profilazione non scade più.
La novità arriva dal Garante Privacy che con il provvedimento n. 181 del 15 ottobre 2020 ha chiarito la questione del tempo di conservazione dei dati per le finalità di marketing profilato e di marketing generico.
Hai acquisito il consenso privacy per marketing e profilazione e vuoi sapere quando scade, cioè per quanto tempo puoi utilizzare i dati degli utenti.
Ecco la risposta: è rimesso al titolare del trattamento scegliere il periodo di trattamento.
Ma vediamo a quali condizioni.
Indice
| Marketing e Profilazione: è necessario il valido consenso
Per le attività di marketing e profilazione è richiesto un valido consenso privacy degli utenti, per le predette finalità.
Il consenso privacy per marketing e profilazione è un presupposto di liceità del trattamento dei dati personali per queste finalità, a meno che non si faccia soft spam.
Deve essere rilasciato con un comportamento attivo, in maniera libera e informata.
Quindi NO a caselle pre flaggate o consensi generici.
La richiesta di consenso deve essere presentata in maniera separata e distinta con un linguaggio semplice e chiaro.
Esempi di formule del consenso per il marketing diretto e marketing profilato.
In caso di attività di marketing svolte da soggetti terzi, è necessario richiedere un ulteriore consenso specifico dell’interessato, perché si tratta di cedere i propri dati anche ad un soggetto terzo.
| Marketing e Profilazione: la conservazione del consenso
Una volta ottenuto il consenso privacy per marketing e profilazione, è necessario poter dimostrare di averlo acquisito.
Infatti, spetta al titolare dimostrare che l’interessato ha prestato il proprio consenso e che il consenso acquisito sia valido, cioè rispetti i requisiti che abbiamo visto prima.
| Marketing e Profilazione: l’informativa privacy
Le finalità del consenso privacy per marketing e profilazione devono essere espressamente indicate nell’informativa privacy del sito web.
Quindi per l’invio di materiale pubblicitario, in cui rientra anche la newsletter, sarà necessario informare l’utente dell’attività promozionale.
Se questa attività viene effettuata da parte di terzi soggetti, anche interni allo stesso gruppo di società, bisogna specificare a quali soggetti terzi verranno ceduti i dati, e sarà necessario un consenso privacy per marketing e profilazione separato, secondo il modello che abbiamo visto nel paragrafo precedente.
Per la profilazione, poi, si deve spiegare nell’informativa privacy qual è la logica usata per la creazione di gruppi e cluster.
Infine, va indicato anche il tempo di conservazione dei dati utilizzati per la finalità del marketing e della profilazione (il cd. periodo di data retention).
| Marketing e Profilazione: quando scade il consenso?
Ora veniamo al cuore della questione: il consenso privacy per marketing e profilazione scade dopo un certo periodo? Qual è il tempo di conservazione per il marketing e la profilazione?
Prima dell’entrata in vigore del GDPR, il Garante Privacy in un provvedimento del 2015 aveva stabilito che il tempo di conservazione dei dati dei clienti per marketing e profilazione scadeva:
- per il marketing: dopo 24 mesi dal consenso privacy;
- per la profilazione: dopo 12 mesi dal consenso privacy.
Trascorso questo periodo di tempo i dati dovevano essere cancellati oppure trattati in maniera tale da non poterli ricondurre alla persona titolare degli stessi (es. con la pseudonimizzazione o anonimizzazione).
| Il Provvedimento del Garante Privacy del 15 ottobre 2020
Con l’entrata in vigore del GDPR, è stato introdotto il principio di accountability, secondo cui è il titolare del trattamento a scegliere e valutare un tempo di conservazione che sia proporzionale ed idoneo alle finalità dichiarate nell’informativa privacy.
Sulla base di questo principio, il Garante Privacy italiano, con il provvedimento n. 181 del 15 ottobre 2020, ha cambiato l’impostazione sul tempo di conservazione del consenso privacy per marketing e profilazione.
Ha stabilito che non è tanto importante il tempo di conservazione quanto la validità del consenso acquisito e la sua mancata revoca.
Il Garante ha affermato:
“il solo decorso del tempo non è un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica. Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento”.
Da ciò possiamo concludere che:
- I dati utilizzati per finalità di marketing possono essere utilizzati per il tempo scelto dal titolare;
- il tempo può essere superiore a 24/12 mesi per il marketing e la profilazione;
- il tempo di conservazione deve essere indicato nell’informativa privacy;
- il consenso deve essere ancora valido e non deve essere stato revocato.
Dunque, è il titolare che decide il tempo di conservazione dei dati, e lo dichiara nell’informativa privacy.
La scelta del tempo deve essere proporzionale ed idonea alle finalità, considerando una serie di fattori come il ciclo di vita del prodotto o i tempi di reiterazione dell’acquisto da parte dei consumatori.
Il consenso deve essere stato raccolto bene e non deve essere stato revocato dall’interessato.
| Cosa può fare per te l’Avvocato dell’Ecommerce
Redigere una Privacy Policy richiede molta attenzione, anche perché le sanzioni che si rischiano sono molto gravose.
Per questo la sua redazione deve essere affidata ad un legale esperto, in quanto ricorrere al copia e incolla può essere pericoloso.
Io ti posso aiutare a:
- fare un check up del tuo ecommerce, per verificare che rispetti le norme in materia di trattamento dei dati personali;
- redigere il testo dell’Informativa Privacy (o Privacy Policy), della Cookie Policy o del Cookie Banner.
Tu dedicati al business online. Alle questioni legali, ci pensano i legali.