Marketing, tre sì per il consenso

Adesso servono tre sì per il consenso ad utilizzare i dati personali.  Il Garante della privacy ha ingiunto di pagare 62 mila euro ad una società operante nel settore della biglietteria elettronica e dell’e-commerce, (ingiunzione del Garante della privacy n. 287 del 22 giugno 2017).

Informativa: deve rispecchiare il trattamento effettivamente svolto. I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO, ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Il regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo. Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

Consenso: sui form di registrazione non si può richiedere un consenso preselezionato e unico per varie finalità, fra cui marketing e comunicazione dei dati a terzi per analoghe finalità (anche se prevedendo la possibilità di deselezionare il predetto consenso) e anche per l’attività di profilazione mediante l’invio di newsletter ed e-mail personalizzate. Bisogna chiedere un consenso per il marketing, per la comunicazione a terzi per finalità di marketing e per la profilazione.

Profilazione: si deve notificare al Garante (articolo 37 del Codice della privacy) il flusso dei dati relativo alla profilazione. Nel caso in questione l’azienda faceva uso dei dati relativi agli ordini effettuati dai clienti e dei dati di navigazione degli stessi sul sito, nonché di una piattaforma destinata all’invio di e-mail degli utenti sulla base dei prodotti inseriti nel proprio carrello e il cui ordine non era stato completato. Tale adempimento sarà cancellato dal 25 maggio 2018 per effetto del Regolamento europeo sulla protezione dei dati n. 2016/679, ma fino ad allora la disciplina è obbligatoria e le relative violazioni sono sanzionate.

Fonte: Garante della Privacy, Italia Oggi 1° settembre 2017 – Articolo a cura di Antonio Ciccia Messina