Il Garante privacy è intervenuto per chiarire quali sono i criteri da seguire quando si determinano i tempi di conservazione dei dati per finalità di marketing.
La conservazione dei dati personali, così come la loro raccolta, consultazione, trasmissione o estrazione, costituisce un’operazione di trattamento e, in quanto tale, deve rispettare i principi sanciti dal GDPR.
Nello specifico, il principio di “limitazione della conservazione” consente al Titolare del trattamento di conservare i dati personali “in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5 par. 1 lett. e) GDPR).
La conservazione per periodi più lunghi è ammessa solo ove il trattamento avvenga per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica ovvero a fini statistici, come previsto dall’art. 89, par. 1 GDPR; fatta salva, in ogni caso, l’attuazione di misure tecniche e organizzative adeguate a tutela dei diritti e delle libertà degli interessati.
Il Titolare ha l’obbligo di dichiarare agli interessati, nell’informativa privacy, non solo quali saranno le finalità di trattamento ma anche i corrispondenti tempi di conservazione (o, laddove ciò non fosse possibile, i criteri che verranno utilizzati per determinarli, v. art. 13, paragrafo 2, lettera a) GDPR).
Come si stabiliscono i tempi di conservazione dei dati personali? Il principio dell’accountability.
Non spetta (più) alle Autorità di controllo la determinazione di quali siano i termini massimi di trattamento dei dati da parte dei titolari né il GDPR si preoccupa di fissare, in linea generale, i tempi di conservazione dei dati per le diverse finalità di trattamento.
L’onere – e la responsabilità – di determinare i tempi di conservazione ricade sul titolare del trattamento.
Una delle novità più rilevanti del GDPR, infatti, è rappresentata proprio dall’introduzione del principio c.d. di accountability (cioè di auto-responsabilità, rif. art. 24 GDPR) attorno al quale è stato costruito l’intero impianto della disciplina europea in materia di protezione dei dati personali.
Secondo detto principio “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.
Superando il precedente approccio “di stretta legalità”, spetta ora autonomamente al Titolare valutare la conformità del trattamento che intende effettuare alla disciplina vigente (eventualmente previa valutazione di impatto ex art. 25 GDPR ovvero ricorrendo alla consultazione preventiva ex art. 36), assumendosi la piena responsabilità delle scelte operate, anche sotto il profilo della determinazione dei tempi di conservazione.
Ne consegue che i termini di conservazione che – in taluni ambiti – erano stati fissati da provvedimenti adottati dal Garante privacy prima dell’entrata in vigore del Regolamento devono, oggi, ritenersi superati (e superabili) dalle scelte autonome e responsabili dei titolari del trattamento.
Si pensi, ad esempio, ai parametri di 12 e 24 mesi che, con il provvedimento del 24.2.2005 in materia di fidelity card, il Garante privacy italiano aveva indicato in via generale per i trattamenti riguardanti la profilazione e il marketing diretto.
Quanto a lungo dura il consenso all’attività di marketing?
Il Garante per la protezione dei dati personali, con il provvedimento adottato lo scorso 15.10.2020, ha chiarito che “Il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve innanzitutto considerarsi scisso e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare, e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento”.
Il Garante ha quindi chiarito che il termine di validità del consenso prescinde, di norma, dalla durata del contratto e, soprattutto, deve essere determinato di volta in volta dal Titolare del trattamento.
Tale affermazione è coerente con quanto chiarito dal Board dei Garanti europei nelle linee guida del 4 maggio 2020 ove si legge che “Non esiste un limite di tempo specifico nel GDPR per la durata del consenso. La durata del consenso dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se le operazioni di trattamento cambiano o evolvono notevolmente, il consenso originario non è più valido. In tal caso, è necessario ottenere un nuovo consenso”.