Il Garante Privacy prende posizione in merito alla data retention per finalità promozionali
Il Garante Privacy ha recetemente preso posizione in merito alla durata del consenso prestato per finalità di marketing. Premettiamo che tale presa di posizione è contenuta in un provvedimento di carattere sanzionatorio, reso nei confronti di una parte specifica, contenente un divieto di trattamento ulteriore di trattamento dei dati per le finalità in questione (provvedimento n. 181/2020).
La questione è stata portata all’attenzione del Garante dal reclamo di un consumatore, che lamentava la ricezione di un SMS promozionale da parte di una società bancaria, nonostante fossero passati oltre 10 anni dall’acquisizione del consenso per finalità di marketing e dalla conclusione del rapporto contrattuale.
Sul punto, il Garante ha osservato che, contrariamente a quanto sostenuto dal reclamante, il solo decorso del tempo non è un parametro di per sé sufficiente a valutare l’idoneità della base giuridica e che il consenso al trattamento dei dati per finalità di marketing permane in vita fino a quando non venga revocato dall’interessato, “a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa”.
Alcune avvertenze, per una corretta lettura della posizione assunta dal garante col provvedimento richiamato. Innanzitutto, è da tener presente che non si tratta di un provvedimento generale, dotato di carattere normativo; di conseguenza, tale provvedimento non va letto come un “via libera” generalizzato del Garante alla validità del consenso marketing a tempo indeterminato, salva revoca. Va detto piuttosto che tale provvedimento costituisce concreta applicazione del l’orientamento del Comitato Europeo per la Protezione dei Dati contenuto nelle linee guida sul consenso n. 5/2020, secondo cui il GDPR non prevede un periodo di durata specifico per il consenso: la durata dipenderà dal contesto, dalla portata del consenso originario, dalle aspettative dell’interessato e dal mutamento nel tempo dei trattamenti effettuati dal titolare.
In conclusione: a differenza di quanto accadeva in epoca anteriore al GDPR, la validità temporale del consenso non può essere determinata in via generale dal Garante Privacy, ma va determinata dal titolare in rapporto al contesto (e dunque anche alle caratteristiche del prodotto di cui si tratta), va enunciata nell’informativa (di cui costituisce un elemento essenziale), e in ogni caso non può coprire utilizzi diversi rispetto a quelli posti in essere dal titolare al momento in cui il consenso è stato prestato.