Con il provvedimento n. 361 del 18 luglio 2023 pubblicato lo scorso 11 settembre, il Garante per la Protezione dei Dati Personali (“Garante Privacy” o “Autorità”) ha sanzionato per 100 mila euro “Tiscali Italia S.p.a.” per plurime violazioni del Regolamento (UE) 2016/679 (“GDPR”). L’ordinanza di ingiunzione, però, appare particolarmente interessante per l’orientamento assunto dall’Autorità in tema di revoca del consenso e conservazione dei dati.
Quali le violazioni riscontrate?
Nel maggio del 2022, il Garante Privacy aveva avviato la propria attività ispettiva presso la sede della società, facendo emergere alcune possibili infrazioni del GDPR. Innanzitutto, nell’informativa, non era indicato il periodo di conservazione dei dati personali. Il contenuto si limitava a precisare: “Conserviamo i dati degli utenti solo per il tempo necessario a fornire il servizio richiesto o per adempiere ad obblighi di legge”. Nondimeno, la società, per i trattamenti di marketing e profilazione, conservava i dati per 10 anni, sia in relazione a clienti inattivi nonché ai clienti, a far data dell’”ultimo acquisto” o dell’”ultima interazione”; per le stesse finalità, venivano conservati per 5 anni i dati dei soggetti “prospect”. In relazione, invece, all’opzione di “call back” tramite “pop-up”, i dati dei soggetti soggetti “lead” venivano conservati per 2 anni. Non solo, l’Autorità aveva ravvisato un’evidente incongruenza fra il consenso acquisito tramite il pop-up di call-back (per la finalità del ricontatto) e quello esplicato nell’informativa (riferito, invece, puramente alla finalità di marketing). Anche l’invio di sms promozionali – anziché di e-mail – a 165 mila soggetti già clienti, che non avevano prestato il consenso al marketing, ha configurato la possibile violazione dell’art. 130, comma 4, del D.lgs. n. 196/2003 (“Codice Privacy”), che consente l’utilizzo della posta elettronica per finalità promozionali nei riguardi di soggetti che abbiano già acquistato un prodotto o servizio e disciplina un’eccezione rispetto alla regola generale del consenso preventivo, e specifico; eccezione che non può essere oggetto di interpretazione estensiva.
Nell’ambito della gestione dei dinieghi e delle opposizioni al trattamento, Tiscali Italia S.p.a. aveva poi specificato di ritenere “valido il consenso rilasciato per 10 anni dalla data di cessazione del contratto, a meno di revoca” e che dal 2019 aveva iniziato a inserire in “black-list” i rifiuti al trattamento dei dati.
Le contestazioni mosse alla società
Il Garante Privacy, dopo alcune correzioni poste in essere dalla Società, ha, quindi, formalmente ritenuto che l’azienda avesse violato numerose disposizioni del GDPR.
In merito all’informativa rilasciata ai clienti, l’Autorità ha evidenziato il mancato rispetto dei principi di correttezza e trasparenza (art. 5 par. 1 lett. a), art. 12 par. 1 e art. 13 par. 2 lett. a)), ribadendo la carente indicazione dei tempi di conservazione per finalità di marketing e profilazione. Gli stessi principi sono stati considerati oggetto di violazione anche in relazione al servizio di call back, in quanto i clienti non erano in grado di comprendere in maniera adeguata rispetto a quali iniziative promozionali avrebbero rilasciato il proprio consenso. L’invio massivo di sms promozionali, anziché di e-mail, ha, invece, condotto l’Autorità a contestare la violazione dell’art. 130 co. 4 del Codice Privacy, dato anche l’alto numero di interessati coinvolti (70.000 clienti, fra ottobre e novembre 2021; 95.000 clienti, fra dicembre 2021 e febbraio 2022). Sono state ravvisate infrazioni legate anche agli articoli 5, par. 2, e 24 del GDPR, in quanto la società non avrebbe rispettato il principio di accountability, omettendo di redigere, e conseguentemente, applicare procedure idonee a documentare la corretta gestione delle opposizioni al trattamento dei dati. Il Garante Privacy ha ritenuto, infine, che Tiscali Italia S.p.a. avesse violato i principi di finalità, minimizzazione e limitazione della conservazione, di cui all’art. 5 par. 1 lett. b), c) ed e). Infatti, il provvedimento generale del 24 febbraio 2005 [doc. web 1103045], secondo l’impostazione assunta dall’Autorità, può essere considerato ancora applicabile con riferimento ai tempi di conservazione (massimo 2 anni per la conservazione dei dati relativi al marketing e 1 anno, per quelli relativi alla profilazione). L’Autorità ha precisato che soltanto per alcuni eccezionali casi il termine (in particolare, quello relativo all’attività di profilazione) è stato aumentato (comunque fino a 7 anni e non fino a 10 o all’eventuale revoca del consenso); si tratta comunque di un periodo indicato da brand “di lusso” ed autorizzato dallo stesso Garante Privacy in un diverso contesto tecnologico e socio-economico, a seguito di richiesta di verifica preliminare, che nulla ha a che vedere con il caso di specie.
La sanzione irrogata dall’Autorità
In seguito alle violazioni riscontrate e all’analisi delle memorie difensive presentate dalla società, il Garante Privacy ha inflitto la sanzione da 100 mila euro. L’Autorità ha confermato la violazione dei principi di correttezza e trasparenza, correlati all’informativa, con particolare riferimento all’assenza dei periodi di conservazione dei dati. La contestazione inerente al call back è stata archiviata per il “carattere meramente formale della violazione in questione e l’assenza di un effettivo pregiudizio agli interessati”, mentre l’utilizzo degli sms di “soft spam” è stato considerato in violazione dell’art. 130, comma 4, del Codice Privacy, come detto, insuscettibile di interpretazione estensiva. Quanto alla gestione dei dinieghi e delle opposizioni al trattamento per finalità di marketing, il Garante Privacy ha confermato il mancato rispetto del GDPR, per non aver implementato una funzione del CRM o di altro sistema che consentisse di “restituire le date, i canali o altre circostanze relative alle manifestate variazioni dei consensi privacy nel corso del tempo dai singoli interessati”; inoltre, l’impostazione adottata per la black list era unicamente in grado di tenere “traccia dell’opzione di volontà più recente ed attuale”, in assenza, quindi, di una valida gestione delle variazioni di consensi degli interessati.
Un cambio di rotta su “data retention” e consenso?
Quanto affermato dal Garante Privacy nel provvedimento in esame conduce a qualche spunto di riflessione. Sono state, infatti, ribadite le tempistiche stabilite nel provvedimento generale del 2005 in riferimento alla conservazione dati per finalità di marketing (2 anni) e profilazione (1 anno). Nella prospettiva individuata dal Garante Privacy, il titolare deve tenere in debito conto i limiti temporali su menzionati, per evitare di violare il principio di limitazione della conservazione. L’Autorità ha stabilito che non è congruo conservare i dati di marketing fino alla revoca del consenso, in quanto l’interessato potrebbe non cambiare mai la propria volontà o comunque lasciarla invariata per anni. Tale concetto sembrerebbe attribuire una lettura più ampia (forse eccessiva?) del principio di limitazione della conservazione, determinando un difettoso contemperamento con altri principi, quali quello di accountability, di libertà del consenso e di limitazione della finalità.
Avv. Rossella Bucca e Dott. Lapo Lucani