Marketing e informative privacy: input del Garante

La redazione delle informative privacy è un tema di sicuro interesse per tutte le aziende che, nello svolgimento della propria attività, trattino dati personali. La questione, poi, diviene certamente delicata quando i trattamenti che vengono in rilievo hanno finalità di marketing. 

Il Garante, di recente, è intervenuto con due provvedimenti (nn. 321 e 322 del 18 luglio 2023) che offrono importanti spunti operativi utili alla redazione di tali informative. In sintesi, il Garante:

1. quanto ai tempi di conservazione dei dati:
   • da un lato, ha chiarito che espressioni generiche – i.e., prive di "termine temporale di riferimento" e senza neppure una distinzione per modalità e finalità del trattamento né per tipologie di dati – sono in contrasto con il principio di correttezza e trasparenza, "peraltro con il rischio di inficiare anche il consenso eventualmente prestato";
   • dall'altro lato, richiamato il provvedimento del 24 febbraio 2005, ha ribadito la regola generale per cui i tempi di conservazione sono pari ad un massimo di 2 anni per i dati raccolti per finalità di marketing e di 1 anno per quelli raccolti per finalità di profilazione (rimarcando che termini più ampi – e.g., 7 anni nel comparto del lusso – sono ipotesi eccezionali, connesse alle diverse abitudini di acquisto dei consumatori di questo tipo di beni);
2. con riferimento al soft spam, ha evidenziato la necessità di utilizzare il consenso quale base giuridica per l'invio di comunicazioni con modalità differenti dalla posta elettronica (nella specie, agli sms), posto che la previsione normativa che consente l'utilizzo del dato personale per finalità promozionali in assenza di consenso è limitata all'invio di posta elettronica, senza possibilità di applicazione analogica;
3. in relazione all'individuazione delle finalità del trattamento, ha sottolineato l’esigenza di corrispondenza fra quanto indicato nell'informativa e l'effettività dei trattamenti posti in essere, ricordando al contempo che "la raccolta di dati personali per una specifica finalità rappresenta un’operazione di trattamento anche laddove tale finalità non sia ancora stata in concreto perseguita e, seppur per la mera conservazione, è pertanto necessario acquisire un idoneo consenso";
4. ricordato che, in caso di liste acquisite da terzi, occorre verificare che il consenso dell'interessato sia stato effettivamente e legittimamente prestato, ha evidenziato la necessità di consensi specifici e distinti non solo per le attività di marketing e di profilazione, ma anche per la comunicazione dei dati a terzi per finalità promozionali;
5. ha stabilito che l'acquisizione delle informazioni sul trattamento dei dati non può essere subordinata ad un meccanismo che obblighi l'utente a dichiararsi interessato ai servizi di un'azienda, così ribadendo che il trattamento dei dati dell'interessato per chiedere il consenso per fini di marketing è esso stesso un trattamento per finalità di marketing.

È importante redigere le informative privacy, e/o aggiornare quelle già adottate, tenendo conto delle recenti indicazioni del Garante, al fine di scongiurare eventuali sanzioni.