Nell’ambito dell’attività di controllo delle attività di marketing e di profilazione condotte da Tiscali, è stato effettuato un accertamento ispettivo da parte del Garante Privacy, nelle date 3-5 maggio 2022, presso la società Tiscali Italia S.p.A.
Di seguito la sintesi dei punti emersi:
1. Informativa e consensi per il trattamento dei dati
Con riferimento ai tempi di conservazione dei dati, la Privacy Policy della Società per il “Diritto alla cancellazione dei dati personali” riporta “Conserviamo i dati degli utenti solo per il tempo necessario a fornire il servizio richiesto o per adempiere ad obblighi di legge.”. Malgrado il Garante abbia più volte ribadito che questa terminologia non sia corretta, in quanto generica, indeterminata e priva di riferimenti effettivi sulla durata del trattamento, continua ad essere utilizzarla (si veda, tra i tanti, il più recente provvedimento nei confronti de la Rinascente dell'8 giugno 2023, doc. web. n. 9909907 e Linee Guida dell'EDPB sulla trasparenza). L'informativa Tiscali non precisa le singole modalità e finalità di trattamento; non contempla tutte le attività di trattamento e, dunque, non consente agli interessati una consapevolezza diretta e agevole della tempistica, anche al fine di valutare se e quali dati rilasciare o, eventualmente, richiederne la cancellazione o revocare il consenso (cfr. Provv. la Rinascente, pag. 5).
Le suindicate lacune dell’informativa hanno evidenziato la presunta violazione dei principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché dell’art. 13 del GDPR. L’informativa risultava priva dell’indicazione dei tempi di conservazione per le invasive finalità di marketing (anche mirato) e della sottesa profilazione, non consentendo, quindi, agli interessati di valutare se e quali dati rilasciare od eventualmente disiscriversi dal sito societario. Sono dunque risultati ravvisabili i presupposti per la violazione dei principi di trasparenza (artt. 5, par.1, lett. a) e 12, par.1, del Regolamento) e dell’idonea informativa (art. 13, par.2. lett. a) del GDPR). Peraltro, ciò è risultato in contrasto anche con le Linee Guida del Comitato europeo per la protezione dei dati ai sensi del Regolamento (wp260rev.01, in www.edpb.europa.eu), che, in coerenza con la suindicata normativa, valorizzano espressamente l’adempimento informativo in termini di semplicità, chiarezza, immediata intelligibilità, anche tenuto conto delle categorie maggiormente vulnerabili (quali anziane e persone con disabilità), ed in particolare connotate da una minor capacità di discernimento.
Con limitato riferimento ai clienti che acquistano prodotti e/o servizi Tiscali, è emersa la possibile violazione - peraltro in relazione ad un trattamento invasivo come la profilazione - dell’art. 6 del GDPR, non ravvisandosi l’uso di una corretta base giuridica: non risulta, infatti, che detto trattamento si fondi sul consenso dell’interessato (par.1, lett. a), né sul legittimo interesse (par.1, lett. f), la cui applicazione, come noto, si sarebbe dovuta basare – circostanza che non risulta agli atti - su un preventivo apposito test di bilanciamento fra l’interesse del titolare e quello degli interessati o anche di soggetti terzi (v. Linee Guida del Gruppo ex art. 29 su tale specifico presupposto; v. anche provv. 15 gennaio 2020 n.7, doc. web n.9256486, Parere del Gruppo di lavoro Articolo 29 n. 6/2014 sul concetto di interesse legittimo del titolare del trattamento ai sensi dell’art. 7 della Direttiva 95/46/CE).
L'attività di profilazione (preferibilmente preceduta da una valutazione d'impatto, c.d. "DPIA") dovrebbe essere fondata sul consenso dell'interessato, rilasciato in conformità con quanto previsto dall'art. 7 del GDPR.
2. Servizio call back mediante pop-up.
È stata rilevata, in sede ispettiva, l’incongruenza fra il consenso acquisito tramite il pop-up di call-back e quello esplicato nell’informativa. L’emersa incongruenza – non consentendo all’interessato di comprendere rispetto a quali iniziative promozionali stia prestando il consenso - è apparso in contrasto con il principio di correttezza e trasparenza (artt. 5, par.1, lett. a, e 12, par.1, del Regolamento). Al fine di non creare confusione per gli interessati, violando, per l’appunto, il principio di trasparenza e inficiando la legittimità del consenso, eventualmente prestato, è necessario che vi sia perfetta coerenza tra quanto dichiarato nell'informativa e il trattamento effettivamente posto in essere.
3. Soft Spam
Tiscali ha dichiarato di aver compiuto “una valutazione in base alla quale l’sms è stato considerato per i clienti di linea mobile analogo alla mail, in termini di invasività, tenuto conto che il numero di telefono è l’unico dato certo rilasciato dai clienti in fase di sottoscrizione del contratto.” La disciplina in materia di "Soft Spam" dispone che il titolare del trattamento può utilizzare, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, senza richiedere il consenso dell’interessato. Ciò, però, a condizione che: (a) si tratti di servizi analoghi a quelli oggetto della vendita; (b) l’interessato sia adeguatamente informato; (c) non rifiuti tale uso (Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013). L’invio di sms promozionali, anziché di e-mail, a soggetti già clienti, che non avevano prestato il consenso al marketing, ha configurato la possibile violazione ex 130, 4° co., del Codice Privacy, che, nel consentire l’utilizzo della posta elettronica per finalità promozionali nei confronti di soggetti che abbiano già acquistato un prodotto o servizio, disciplina un’eccezione – non suscettibile di applicazione estensiva - rispetto alla regola generale del consenso preventivo, specifico, comprovabile ed inequivocabile.
4. Gestione dei dinieghi e delle opposizioni al trattamento
Riguardo alla mancanza di una procedura idonea a restituire (eventualmente sin dalla costituzione della Società) le date, i canali o altre circostanze relative alle manifestate variazioni dei consensi privacy nel corso del tempo dai singoli interessati, si sono ravvisati i presupposti della violazione del principio di accountability (artt. 5, par.2 e 24, del Regolamento), dato che la Società non ha saputo comprovare un’adeguata gestione del fondamentale diritto dell’interessato all’autodeterminazione (anche ai sensi del suindicato art. 6, par.1. lett. a, del Regolamento) rispetto alla propria sfera di dati personali.
5. Conservazione dei dati per finalità di marketing e profilazione
Dall’analisi della “Policy di Data retention” di Tiscali sono emersi i seguenti aspetti critici:
- per svolgere attività di marketing e di profilazione, tutti i dati (incluso lo “storico degli acquisti di prodotti e servizi Tiscali”) vengono conservati per 10 anni, sia in relazione a clienti inattivi nonché ai clienti attivi, a far data dell'ultimo acquisto o dell'ultima interazione;
- per le medesime finalità, vengono conservati per 5 anni i dati (incluso lo “storico degli acquisti di prodotti e servizi Tiscali; dati anagrafici e di contatto quali nome, cognome, indirizzo email, informazioni acquisite dal profilo pubblico sui social ecc..”) dei soggetti prospect. Come termine iniziale della conservazione, Tiscali ha individuato la data dell’ ”ultima interazione” (in tal caso prevedendo alcune ipotesi esemplificative “partecipazione ad un evento o concorso”), rispetto al marketing e quella della “raccolta del consenso”, rispetto alla profilazione.
Peraltro, nella detta Policy relativa alla gestione delle liste lead, ai fini del servizio di call-back, viene indicato un tempo di conservazione di 2 anni. La mancata completezza della privacy policy (mancanza di precisi tempi di conservazione, assenza di alcune attività di trattamento e delle relative modalità e finalità) comporta una violazione dei principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché dell’art. 13 del Regolamento (vedi successivo par. 4).
Secondo il provvedimento del Garante, riguardo ai termini di conservazione, al pari del termine “ fino (all'eventuale) revoca del consenso ” - previsto dall’ “Integrazione istruttoria” di Tiscali in relazione ai “dati personali raccolti e trattati per finalità di marketing relativi a clienti attivi “- è emerso il probabile contrasto con i principi di finalità, di minimizzazione e di limitazione della conservazione, ai sensi dell’art. 5, par.1, lett. b), c), ed e) del GDPR.
I suddetti termini, pur presupponendo che siano stati individuati dalla Società nell’esercizio della propria accountability, appaiono comunque eccessivamente dilatati. Infatti, in base al provv. generale 24 febbraio 2005 [doc. web 1103045] vige la regola generale, riguardo ai tempi di conservazione, fissata ad un massimo di 2 anni per i dati relativi al marketing e di 1 anno, per quelli relativi alla profilazione. Dal provvedimento comminato a Tiscali, sembra “ non corretta la conservazione dei dati relativi al marketing fino alla data della revoca del consenso, ai sensi dell’art. 7 del GDPR, anche nell’ipotesi in cui l’Interessato potrebbe non mutare nel tempo il consenso prestato ".
Il Provvedimento del 18 luglio 2023, fondato sul controllo delle attività di Tiscali, esprime un orientamento del Garante che parrebbe in contraddizione con i consolidati criteri di durata della conservazione “fino a revoca del consenso” ribaditi in passato dall’Autorità (si veda il Provv. n. 181 del 15 ottobre 2020 dello stesso Garante). Il documento EDPB delle linee guida 5/2020 sul consenso, al punto 110, riporta: " Il regolamento non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell'interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso."
Considerate le riflessioni sopra, che generano parecchi dubbi interpretativi fra gli addetti ai lavori, suggeriamo ai nostri gentili utenti di determinare dei meccanismi, sempre tracciabili, che consentano di rinnovare, o quanto meno rendere noto, il consenso alle attività di marketing formulato dagli Interessati.
Per consultare il testo originale del provvedimento cliccate su:
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9920942
Lo Staff IusPrivacy è a disposizione per rispondere a tutte le richieste di informazioni inerenti al tema in oggetto.
Articolo redatto in collaborazione con Dott. Roberto Pagano (link a https://it.linkedin.com/in/robertopaganowrp)
Contatti https://www.iusprivacy.eu/contatti.jsp
