INFORMATIVE INADEGUATE NEL TELEMARKETING

Lo scorso luglio, il Garante privacy ha sanzionato due importanti società per attività di marketing in violazione di alcuni principi base del GDPR, tra i quali quelli di trasparenza, correttezza e finalità, a causa di informative incomplete o comunque poco chiare circa il tipo di trattamento che le medesime avrebbero effettuato sui dati degli utenti. Pur trattandosi di società attive sul mercato da diversi anni, dunque di consolidata esperienza, il Garante ha rilevato infatti diverse violazioni e condotte negligenti, alcune delle quali perpetrate pur dopo che l’interessato, tra l’altro iscritto al Registro delle opposizioni (RPO), già aveva esercitato il proprio diritto di opposizione.

Entrambe le società, avevano predisposto una informativa che enunciava, l’attività di profilazione dell’utente, senza tuttavia fornire a quest’ultimo alcuna notizia utile circa i tempi, i modi e le finalità del trattamento.

In uno dei due casi, tra l’altro non era richiesto alcun consenso specifico, di modo che il consenso “ generale ” prestato dall’utente finiva per coprire diverse finalità contrattuali, comportando una sorta di coazione alla profilazione. Nessun rilievo poi ha potuto assumere il fatto che nella specie sia stato accertato che la società invero, in concreto, non effettuava alcuna profilazione: già il semplice scollamento tra piano formale dell’informativa e piano fattuale, infatti, è idoneo – a parere del Garante – a generare nell’utente un ragionevole dubbio su quali siano gli effettivi trattamenti svolti dalla società, in violazione del principio di trasparenza.

Nel secondo caso, invece, a fronte dell’analisi di due successive informative fornite dalla società ai propri utenti, era emerso che, nella prima versione, nulla era detto circa i tempi di conservazione dei dati utilizzati ai fini della profilazione e, nella seconda, la società si era limitata a precisare che i tempi di conservazione si estendevano “ fino a eventuale revoca ” del consenso da parte dell’utente. Il Garante ha precisato al riguardo che, anche se la determinazione delle tempistiche rientra nell’ambito dell’accountability del titolare, è ad ogni modo necessario rispettare i principi del trattamento posti dal GDPR (art. 5) e, dove si indica un tempo di conservazione, in termini generali, di due anni per la conservazione dei dati relativi al marketing e di un anno per quelli relativi alla profilazione – un termine indefinito, appare in contrasto con principi di finalità, di minimizzazione e di limitazione della conservazione.