Privacy: marketing e profilazione clientela e data retention, la "patata bollente" del consenso

Con la delibera del 21 luglio scorso, l’Autorità Garante per la protezione dei dati personali ha reso pubblici i settori sui quali verteranno i controlli a campione fino a dicembre di quest’anno.  La gestione dei consensi per finalità di marketing e profilazione clientela e il periodo di conservazione di tali dati sono al centro dell’attenzionamento dell’Autorità: approfondiamo il delicato tema del consenso quale base giuridica per il trattamento dei dati personali da parte delle aziende, unito alle problematiche di una corretta “data retention”  dei dati stessi.

La normativa di riferimento

Il consenso è una manifestazione di volontà dell'interessato, mediante la quale questi autorizza (acquisita una informativa preventiva e specifica) che i dati personali che lo riguardano siano oggetto di trattamento.  Il consenso secondo il Regolamento Europeo 2016/679, noto come “GDPR” (Regolamento generale sulla protezione dei dati) non ha una “scadenza” intesa come un termine temporale oltre il quale non è più valido e deve venire rinnovato, anche se non vi è uniformità di interpretazione a livello europeo su questo punto.  Il Garante Privacy ha reso nota la posizione dell’Autorità nel Provvedimento n.181 del 15 ottobre 2020, in cui dichiarava “… il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato”.

Consenso e questioni aperte nella pratica

Devono naturalmente venire rispettate le condizioni di validità alla luce delle norme applicabili al momento del trattamento: ad esempio, i dati dovrebbero essere periodicamente verificati per mantenerli aggiornati ed esatti.   E’ difficilmente dimostrabile infatti la liceità di trattamento di una banca dati acquisita da molti anni, i cui contatti non risultino aver effettuato acquisti o utilizzato le promozioni loro riservate: anche per questo motivo, molto spesso i regolamenti dei programmi di fidelizzazione clientela prevedono che dopo un ragionevole lasso di tempo di mancato utilizzo i dati dei clienti vengano anonimizzati o cancellati e la loro partecipazione al programma annullata.

Una specifica modalità di gestione deve venire applicata ai dati i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili, oggetto del Provvedimento sulla fidelizzazione e profilazione clientela del Garante Privacy del 2005 (ad oggi in vigore); tali dati possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione. Qui il Garante richiede la cancellazione o anonimizzazione dei dati di dettaglio acquisti dopo un periodo definito a priori, ma non dei dati di contatto dei clienti o del loro consenso.

Il consenso deve essere dimostrabile dal Titolare di trattamento, in modo puntuale, su formato cartaceo o digitale per tutto il periodo in cui i dati vengono trattati. Il consenso richiesto per le finalità di marketing di “terza parte” come specificato dal Garante Privacy nel 2013 ( docweb/2542348 sul sito dell’Autorità), deve essere specifico e distinto da altri consensi, ad esempio per finalità di marketing o profilazione.

L’acquisto di banche dati per finalità promozionali deve tenere conto di queste indicazioni, secondo le quali non è sufficiente una generica dichiarazione di utilizzabilità dei dati personali da parte del venditore.

Le modalità di acquisizione del consenso

Vediamo ora come deve essere acquisito il consenso. Il Regolamento Europeo 2016/679, noto come “GDPR” (Regolamento generale sulla protezione dei dati) è entrato in vigore a maggio 2018 in tutti i Paesi membri dell’Unione Europea (UE).  Secondo l’articolo 4 GDPR, il consenso deve essere “libero, specifico, informato e inequivocabile”. Il termine inglese per ‘libero’ utilizzato nel GDPR (nonostante i documenti vengano redatti in tutte le lingue ufficiali della UE, le lingue di lavoro delle istituzioni europee sono inglese e francese) è “freely given”.  ‘Free’ è un aggettivo che significa (a seconda delle circostanze in cui viene utilizzato) libero ma anche gratuito.

L’elemento di ‘libertà’ del consenso dovrebbe comportare un potere effettivo per l’interessato di scegliere se accettare o meno un trattamento, senza che vi siano condizionamenti e vincoli. Gli addetti ai lavori, al pari delle Autorità Nazionali di controllo (in ogni Paese europeo, infatti, vi è una struttura grosso modo equivalente al nostro Garante Privacy) erano concordi nell’interpretare in senso ampio il concetto di ‘libertà’ del consenso, ovvero non obbligatorio per poter accedere ad un servizio e non incentivabile. In sintesi, non è legittimo e non è conforme ai dettami normativi ‘comprare’ il consenso mediante una promozione, uno sconto, un qualsivoglia incentivo che potrebbe portare il cittadino a fornirlo solo in quanto legato a un premio o ad un vantaggio quantificabile.

Le prassi di acquisizione del consenso

Tutto chiaro quindi?

 Almeno fino al giugno 2019, in cui una sentenza del Tribunale regionale superiore di Francoforte (v. 27.06.2019 - Rif.: 6U 6/19 -Partecipazione a un concorso e consenso vincolante a future e-mail pubblicitarie) spariglia le carte:   in Germania il consenso incentivato viene dichiarato legittimo. La sentenza è nota, ma a due anni da quel pronunciamento non sono seguiti provvedimenti di allineamento o linee guida dalle autorità nazionali o europee. 

Da più parti è stato evidenziato il concreto rischio che, in possibile violazione del divieto di ne bis in idem sancito dall'articolo 50 della Carta dei diritti fondamentali dell'Ue e dall'articolo 4, Protocollo 7 della Cedu (Convenzione Europea dei Diritti dell’Uomo), una medesima condotta delle imprese possa essere vagliata da Autorità settoriali diverse, generando incertezza nelle aziende operanti nel mercato comunitario quando non addirittura due valutazioni contrastanti da parte di autorità di diversi Paesi membri. Uno scenario in cui una azione sia ritenuta legittima in un Paese e sanzionabile, a parità di fonte del diritto derivato comunitaria, in un altro potrebbe generare una distorsione della concorrenza sul mercato a vantaggio delle aziende con sede nei Paesi che applicano il concetto di “freely given” limitandolo a uno dei significati del termine nella lingua d’origine.

La competizione fra le aziende europee, che guardano ad un mercato ‘interno’ di oltre 450 milioni di individui, sembrerebbe poter venire distorta da questa sentenza che consente, di fatto, alle aziende tedesche di incentivare il consenso (sono proliferate negli ultimi due anni diverse campagne promozionali che prevedono premi di diversa natura in cambio del consenso marketing e profilazione da parte dei clienti) mentre la stessa prassi non è applicabile, salvo il concreto rischio di sanzioni, dai loro competitor in altri Paesi Ue.  In Italia quindi il consenso non può venire incentivato mediante sconti, promozioni, bonus, voucher o altri sistemi indipendentemente dal loro valore.  Il rischio, non rispettando quanto sopra esposto in materia di gestione dei consensi, è di vedersi comminare sanzioni amministrative pecuniarie fino a 20 milioni di €, o fino al 4 % del fatturato annuo dell'esercizio precedente, se “la violazione riguarda i principi di base del trattamento, comprese le condizioni relative al consenso” (articolo 83 Gdpr).

Ricordiamo che a livello nazionale, la necessità di coordinamento in sede di public enforcement è stata recepita in modo concreto nel maggio 2017 da AGCM (Autorità Garante della concorrenza e del mercato), AGCOM (Autorità per le garanzie nelle comunicazioni) e Garante per la protezione dei dati personali, che hanno inteso istituire una cooperazione tra i loro uffici, iniziando dalla sottoscrizione di uno specifico memorandum of understanding e puntando ad una analisi interdisciplinare dei settori in cui le tecnologie intersecano la vita dei cittadini creando di fatto un ‘coordinamento permanente’ fra le tre Autorità.

Ad oggi, il sogno di un’Europa comunitaria percepibile come un unico mercato in cui si possa organizzare una campagna promozionale o un concorso a premi con regole semplici ed applicabili in ogni Paese membro appare infatti alla portata, tenuto conto degli obiettivi di rilancio dell’economia post-pandemia contenuti nel piano ‘NextGenerationEU’.