Quando i dati si possono trattare senza consenso e per quanto tempo. Le istruzioni per imprese, professionisti e PA
I CASI DI LEGITTIMO INTERESSE (quando i dati si possono trattare senza consenso)
Legittimo interesse, nelle leggi relative alla privacy, significa trattare dati senza bisogno del consenso (articolo 6, lett. f) del regolamento Ue sula privacy n. 2016/679, Gdpr).
Chi ha un legittimo interesse non deve chiedere il consenso per trattare i dati personali altrui.
Considerato che il consenso è molto pesante da gestire, poter fruire di uno strumento che permette di evitare alcuni carichi burocratici è un’opportunità per le imprese.
Gestire il consenso significa impegnare tempo, soldi e persone nella raccolta iniziale, nella annotazione delle revoche, nella verifica periodica della persistenza del consenso.
Se si pensa, poi, al fatto che la normativa non si accontenta di un consenso omnibus, ma vuole molteplici consensi, quanto appena detto si deve moltiplicare per il numero dei consensi che bisogna raccogliere.
Infine, per definizione, il consenso è sempre revocabile, senza nessuna necessità di giustificazione e, pertanto, è una base giuridica tendenzialmente molto precaria.
Oltre che possibile fonte di contenzioso: l’interessato può sempre contestare forma e sostanza del consenso, magari per invalidità derivata per difetto di informazioni dettagliate a monte.
Il legittimo interesse sgancia le imprese da questo vortice burocratico, ma le inserisce in un quadro in cui devono assumersi forti responsabilità: l’affrancamento da un pezzo della burocrazia (della enorme burocrazia, intesa come necessità di dotarsi di plurimi apparati documentali, cui espone la disciplina della privacy) si paga con l’assunzione di responsabilità nel dichiarare il legittimo interesse.
L’impresa deve dichiarare che un trattamento di dati è un suo legittimo interesse e che, quindi, non chiede il consenso.
L’impresa, nel fare ciò, non dispone di un potere assoluto, ma deve fare un bilanciamento di interessi.
Il confine del legittimo interesse dell’imprese è il diritto dell’interessato. Parafrasando il citato articolo 6 Gdpr, la libertà dell’impresa finisce dove inizia la libertà dell’interessato: è il massimo risultato, per quanto vacuo e disarmante, che il legislatore europeo è riuscito a raggiungere.
È evidente che di una formulazione così priva di significato, un’impresa non sa che farsene. Bisogna passare alla pratica e capire quando può trattare dati senza consenso senza rischiare una multa (che può raggiungere cifre stratosferiche).
Per risolvere questo stallo, un possibile percorso cerca di sfruttare i provvedimenti del Garante anteriori al Gdpr.
Al riguardo bisogna sottolineare, infatti, che il legittimo interessato c’era già prima del Gdpr.
In Europa il legittimo interesse era disciplinato dall’articolo 7, lett. f) della direttiva 95/46 (formulazione pressoché identica all’articolo 6 Gdpr, lett. f)). E in Italia il legittimo interesse c’era almeno a partire dal 1° febbraio 2002, data in cui è entrato in vigore il decreto legislativo 467/2001, il quale ha aggiunto la lettera h-bis) all’art. 12 della legge 675/1996. L’istituto è poi transitato nell’articolo 24, lett. g, del codice della privacy.
Ma nella legge 675/1996 e nel codice della privacy (ante dlgs 101/2018), la procedura incaricava il Garante di individuare i casi di legittimo interesse.
Non potevano esserci dubbi al riguardo: c’era legittimo interesse sollo se c’era un provvedimento del Garante che lo individuava.
E, in effetti, il Garante ha adottato decine e decine di provvedimenti di bilanciamento di interessi. Tutti questi provvedimenti tornano utili ancora oggi. Il ragionamento è semplice. Considerato che la dizione normativa del legittimo interesse (salvo l’abolizione del potere-dovere autorizzatorio del Garante) è invariata (dalla direttiva 95/46 al Gdpr), allora, un’impresa può ispirarsi ai provvedimenti del Garante, studiarseli e recuperare dagli stessi tutti i casi di legittimo interesse che possono essere di utilità.
Se già il Garante aveva fatto il bilanciamento di interessi, con esito positivo, ben può l’impresa ripercorrere la stessa strada e motivare il bilanciamento che andrà a fare mediante citazioni espresse dei provvedimenti di riferimento.
Pertanto, è vero che il potere/dovere del Garante di individuare i casi di legittimo interesse non c’è più e, come detto sopra, tutto ricade sulle spalle delle imprese; ed è altrettanto vero che sono le imprese (e non più il Garante) a dover fare il bilanciamento e individuare il legittimo interesse e se sbagliano scattano le sanzioni amministrative.
Ma non si può e non si deve buttare a mare il patrimonio di elaborazione del legittimo interessi di oltre 15 anni di esperienza del Garante.
Per dare il senso pratico dell’orientamento interpretativo sin qui descritto, abbiamo schedato un certo numero di provvedimenti del Garante su temi di stretta attualità aziendale, così da dare alle imprese la possibilità di confrontare i piani interni di sviluppo di modalità operative e applicazioni con il catalogo dei legittimi interessi individuati dal Garante.
Fatte le opportune comparazioni e aggiustamenti derivanti dal singolo contesto aziendale, l’impresa potrà certamente argomentare la sussistenza di un legittimo interesse (per escludere la necessità del consenso) se su un caso analogo, se non identico, lo stesso Garante è giunto alla stessa conclusione.
Vediamo, quindi, di passare in rassegna i principali provvedimenti che il Garante ha adottato applicando il famigerato istituto del legittimo interesse.
Videosorveglianza
Il Garante ha applicato il bilanciamento di interessi a proposito dei trattamenti di dati mediante sistemi di videosorveglianza.
Nel provvedimento generale del 2004 e in quello successivo del 2010 il bilanciamento di interesse (abrogato articolo 24, comma 1, lett. g), del Codice della privacy). è stato ritenuto un’idonea alternativa all’esplicito consenso.
Costituisce legittimo interesse la rilevazione delle immagini effettuata nell’intento di raccogliere mezzi di prova o perseguire fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, o finalità di prevenzione di incendi o di sicurezza del lavoro.
Body cam
Il Garante si è occupato della installazione di un sistema composto da body cam per la raccolta e trasmissione di immagini riprese in tempo reale (provvedimento n. 362 del 22 maggio 2018).
In questo provvedimento il Garante ha applicato il legittimo interesse del titolare del trattamento, del Codice della privacy) a riguardo del trattamento dei dati personali connesso alla prospettata installazione di un sistema composto da dispositivi indossabili, cosiddette body cam, che consentono la raccolta e la trasmissione delle immagini riprese in tempo reale verso un computer posizionato all’interno di una sala operativa del titolare del trattamento. I trattamenti potevano essere effettuati, nei confronti dei dipendenti e degli utenti di un servizio di trasporto ferroviario.
I dispositivi indossabili sono stati sviluppati per la sicurezza dei capitreno e operatori della sicurezza a bordo di treni con lo scopo di rispondere all’aumento di aggressioni al personale, ai clienti, furti/rapine, minacce nonché numerosi e crescenti fenomeni di vandalismo.
Il Garante ha applicato il legittimo interesse a questi trattamenti anche a riguardo delle finalità di tutela dei diritti con particolare riferimento alla comunicazione dei dati raccolti attraverso le body cam da parte del titolare del trattamento all’istituto assicuratore della responsabilità civile delle imprese ferroviarie.
Rilevazione a distanza di autovetture
Il Garante si è occupato di un sistema di rilevazione a distanza delle autovetture per il calcolo, e il conseguente pagamento, dei pedaggi autostradali (provvedimento n. 361 del 22 maggio 2018).
In questo caso una società concessionaria di un percorso autostradale, lungo i quali gli automobilisti possono percorrere i diversi tratti senza una rigida sequenza ma componendo una serie di tragitti differenti a cui corrispondono differenti pedaggi, ha predisposto un sistema di esazione privo di caselli autostradali e barriere fisiche, basato sulla rilevazione automatica del numero di targa dei veicoli in transito, per mezzo di speciali telecamere posizionate su apposite strutture di sostegno (portali), e sul tracciamento del percorso effettuato.
A giudizio del Garante le finalità del trattamento dei dati personali risultano lecite e le caratteristiche del sistema sono tali che risulta impossibile acquisire il consenso degli interessati in una fase antecedente all’effettivo utilizzo del tratto autostradale. Conseguentemente è stato ritenuto il legittimo interesse della società ai trattamenti da realizzarsi indipendentemente dal consenso degli interessati.
Chiamate inbound (customer care)
Il Garante si è occupato di un sistema di registrazione, trascrizione e analisi delle chiamate inbound (provvedimento n. 229 del 18 aprile 2018).
Una banca ha progettato un sistema di registrazione, trascrizione e analisi delle chiamate inbound, veicolate su alcune numerazioni di Customer Care attive sui siti gestiti per conto della società. Il servizio perseguiva l’obiettivo di migliorare la qualità del servizio del Customer Care e di arricchire la conoscenza sui bisogni della clientela.
Il sistema consentiva di registrare ed elaborare, in tempo reale e continuativamente, il contenuto delle conversazioni telefoniche intercorrenti tra gli utenti e gli operatori dei call center, provvedendo alla relativa trascrizione e analisi al fine di individuare motivi della chiamata, concetti emergenti e altri indicatori, sia lato operatore sia lato cliente utili a migliorare la qualità del servizio di Customer Care.
Più precisamente, il sistema è stato studiato per procedere, in occasione del contatto cliente-operatore, alla registrazione della chiamata (memorizzata in modalità criptata in un apposito storage) e alla generazione del relativo file audio, associato un file di testo contenente i «metadati della registrazione» (orario, verso in-out, identificativa chiamata, postazione, etc.). Tali file venivano elaborati mediante operazioni di «trascrizione» (riproduzione del contenuto delle conversazioni in un file di testo) e di «indicizzazione semantico-ontologica» (elaborazione e aggregazione, su base tassonomica, delle informazioni raccolte al fine di individuare «macroaree» di interesse: per esempio, «motivo della chiamata») in grado di generare, in ultima analisi, report di sintesi utilizzabili per la rilevazione dei marcatori di qualità del servizio offerto.
Al fine di elaborare file privi di informazioni riconducibili a soggetti identificati o identificabili, il sistema rimuoveva tutti i riferimenti diretti (per esempio nome e cognome del cliente) e indiretti (es. numero di telefono dei clienti), sia nell’audio che nella relativa trascrizione, attraverso un processo di «labelizzazione» (sostituzione dei predetti riferimenti con «etichette» – per esempio, «indirizzo» − nei file di testo e «silenzi» nei file audio). Il timbro vocale delle tracce audio, inoltre, era irreversibilmente alterato, in modo casuale, attraverso specifiche tecniche di «morphing».
Con riguardo ai dati dell’operatore la società ha dichiarato che le registrazioni non sarebbero state in alcun modo riconducibili (neppure indirettamente) a singoli operatori. Inoltre, l’informazione relativa alla singola «postazione di lavoro» (individuata tramite numero identificativo del telefono) verrebbe associata al modulo/service team di riferimento «in maniera asincrona» e cancellata in «un termine massimo di 24 ore, decorso il quale nessuna informazione relativa a tale postazione risulterebbe presente nel sistema (comunque «completamente isolato da altri sistemi di monitoraggio e gestione del personale).
Il Garante ha ritenuto lecito il sistema e, quindi, che i descritti trattamenti potevano essere effettuati in applicazione della disciplina sul c.d. «bilanciamento di interessi», con individuazione di un legittimo interesse del titolare al trattamento. Nel bilanciamento il Garante ha tenuto conto dell’accordo sottoscritto con le organizzazioni sindacali anche ai sensi dell’articolo 4, legge n. 300/1970, nonché dei benefici, in termini di assistenza più qualificata, che potrebbero derivare agli utenti dal trattamento. Sono stati considerati, inoltre, i numerosi accorgimenti tecnici prefigurati dalla società tali da ridurre drasticamente i casi di trattamento di dati personali degli interessati nonché, come detto, il legittimo interesse del titolare del trattamento in riferimento a proprie esigenze organizzative e produttive (analizzare, in un’ottica di costante miglioramento dei prodotti e servizi resi a vantaggio dell’utenza, la qualità e l’efficacia dei processi di customer care, specie in un mercato altamente competitivo e in rapida evoluzione).
Geolocalizzazione dispositivi aziendali
Il Garante si è occupato di sistemi di localizzazione geografica dei dispositivi aziendali e, in particolare, dei dispositivi smartphone o tablet consegnati alle guardie particolari giurate incaricate di effettuare i servizi forniti da una società di vigilanza, tra cui il trasporto e la custodia di valori e attività di vigilanza, anche con collegamento a sistemi di allarme (provvedimento n. 232 del 18 aprile 2018).
Nel dettaglio l’applicazione è attivata dal dipendente mediante l’inserimento del proprio codice identificativo nonché di una password fornita dalla centrale operativa in relazione allo specifico servizio assegnato, immediatamente prima l’inizio del turno.
Le finalità dichiarate del sistema consistono nella necessità di assicurare: la sicurezza della pattuglia; la razionale assegnazione e distribuzione degli interventi alle pattuglie di zona; il corretto svolgimento dell’ordinaria attività di vigilanza/ispezione. I dati raccolti sono conservati per un periodo non superiore alle ore 24, fatte salve speciali esigenze di ulteriore conservazione.
I dispositivi sono presi in consegna dai dipendenti all’inizio del turno e riconsegnati a fine servizio, il trattamento di dati opera esclusivamente nel corso dello svolgimento dell’attività lavorativa.
Considerato il quadro normativo dei servizi di vigilanza, il Garante ha ritenuto che i trattamenti possano essere effettuati, nei confronti dei dipendenti, allora in applicazione della disciplina sul «bilanciamento di interessi», individuando un legittimo interesse al trattamento di tale tipo di dati (che non rientra nel novero dei dati sensibili) in relazione alle finalità rappresentate.
Telefono aziendale
Il Garante si è occupato di sistemi del trattamento dei dati personali dei dipendenti cui è stato assegnato un telefono aziendale (provvedimento n. 3 dell’11 gennaio 2018)
Il trattamento ha la finalità di controllo delle fatture del provider del servizio telefonico nonché di analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio nonché rilevare eventuali situazioni anomale di consumi. Il trattamento è effettuato mediante l’adozione di un sistema che consente di raccogliere ed elaborare i dati personali dei dipendenti.
I dati oggetto di trattamento sono forniti dal provider per ogni bolletta inviata e consistono nel: numero chiamato o chiamante, giorno, ora dell’inizio della telefonata, durata della stessa
Il livello di aggregazione delle soglie di consumo considerate è su base bimestrale con anonimizzazione dei numeri del chiamante e del chiamato, mediante mascheramento delle ultime quattro cifre.
Il Garante ha valutato il trattamento lecito, individua un legittimo interesse del titolare al trattamento di tale tipo di dati in relazione alle finalità rappresentate.
Totem promozionali
Il Garante si è occupato della installazione di apparati promozionali del tipo «digital signage» (definiti anche Totem) presso una stazione ferroviaria (provvedimento n. 551 del 21 dicembre 2017).
Tali apparati, nel mostrare messaggi pubblicitari, utilizzano un sistema di «riconoscimento e tracciamento facciale» di coloro che si trovino davanti agli stessi.
Le colonnine sono dotate di uno schermo, sul quale vengono trasmessi messaggi pubblicitari e informazioni e di sensori in grado di effettuare la raccolta di dati di audience per valutare l’efficacia della comunicazione pubblicitaria trasmessa. La raccolta dei dati di audience viene effettuata mediante l’utilizzo di una applicazione in grado di analizzare le immagini raccolte dal sensore video installato sulla colonnina (in genere una webcam) al fine di: determinare la presenza di un volto umano nell’area ripresa; rilevare il tempo di permanenza di fronte alla pubblicità, ovvero il tempo di persistenza di un certo volto nel campo visivo del sensore; fornire alcune informazioni (per quanto con un certo grado di approssimazione) desunte dalle caratteristiche del volto quali: sesso, fascia d’età, distanza dalla colonnina; effettuare analisi statistiche volte a individuare il livello di gradimento dei diversi messaggi pubblicitari (stima dell’espressione facciale, quantificata in 5 livelli da felice a triste).
La presenza di un volto verrebbe rilevata attraverso algoritmi di face detection e non di face recognition e non c’è possibilità di seguire la traiettoria di uno specifico volto.
Tali dati sono cifrati e quindi memorizzati centralmente per effettuare analisi di tipo statistico, riferite al gradimento dei messaggi pubblicitari trasmessi.
Le immagini relative ai passanti non sono salvate localmente nell’apparato né in alcun sistema, ma memorizzate nella sola memoria ram dell’apparato locale per il solo tempo necessario a effettuare le analisi indicate, pari a qualche decimo di secondo al massimo, venendo quindi subito sovrascritte dalle immagini successive. Le immagini analizzate dal sistema non sarebbero in nessun caso trasmesse all’esterno né inviate ad alcun altro sistema.
Il Garante, per la descritta finalità di analisi anonimizzata dell’audience pubblicitaria, ha applicato il legittimo interesse del titolare del trattamento.
Data base anti furti
(Autonoleggio)
Il Garante si è occupato della costituzione da parte di una associazione di categoria di una banca di dati per arginare, attraverso la condivisione di informazioni fornite dalle società di autonoleggio, il fenomeno dei furti d’auto, di appropriazioni indebite dei veicoli e di frodi (provvedimento n. 502 del 30 novembre 2017).
Mediante il data base venivano perseguite le seguenti finalità del trattamento: tutela del patrimonio aziendale; pianificazione di strategie operative e di mercato; finalità statistiche.
Nel data base confluivano dati contrattuali (dati anagrafici dell’intestatario e di eventuali seconde guide; tipologia di contratto; data e luogo di stipula; ecc.), nonché i dati relativi all’evento (per es.: furto), alle vetture coinvolte (marca; modello; ecc.) e alla denuncia eventualmente presentata (data e luogo dell’accadimento; autorità verbalizzanti; ritrovamento o meno del veicolo; ecc.).
L’iscrizione nel database avviene esclusivamente al verificarsi contestuale di alcuni presupposti (irreperibilità del cliente o impossibilità di contattarlo; verifiche preventive e ricerca del veicolo; decorrenza minima di 30 giorni dalla mancata restituzione del mezzo; stipula di altri contratti di autonoleggio nei sei mesi precedenti; ecc.).
In relazione al data base il Garante ha stabilito che il trattamento dei dati personali può avvenire, in difetto del consenso degli interessati, per effetto del bilanciamento di interessi. A tale proposito, il Garante è tenuto conto, tra l’altro, dei numerosi e gravosi danni subiti e subendi dal comparto dell’autonoleggio in ragione degli eventi segnalati e delle caratteristiche della banca di dati (non lesive, allo stato, della dignità degli interessati), tali da far ritenere come prevalente l’interesse delle imprese −ma anche degli altri utenti che provvedono alla regolare restituzione dei veicoli− al mantenimento e/o ripristino dell’ordinario svolgimento delle attività del settore, altrimenti fortemente penalizzate ed esposte al rischio di significativo ridimensionamento.
Geolocalizzazione smartphone e tablet
(distribuzione volantini pubblicitari)
Il Garante si è occupato del trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di dispositivi smartphone e tablet (provvedimento n. 505 del 30 novembre 2017).
Nel caso specifico si è trattato della installazione di un’applicazione sui dispositivi smartphone o tablet forniti in dotazione ai dipendenti incaricati della verifica della qualità della distribuzione di materiale pubblicitario (volantini, depliant commerciali e simili) effettuata da soggetti terzi, allo scopo di realizzare maggior efficienza nella rendicontazione dell’attività di verifica sulla distribuzione di volantini e posta cartacea.
Il sistema tecnologico consente di effettuare la localizzazione geografica dei dispositivi aziendali forniti ai dipendenti (smartphone/tablet) allo scopo di certificare ai propri clienti con maggior precisione ed efficacia l’effettuazione delle attività di controllo sulla qualità della distribuzione di materiale pubblicitario.
Il Garante ha ritenuto che i trattamenti possano essere effettuati, nei confronti dei dipendenti, sulla base di un legittimo interesse del titolare al trattamento.
Geolocalizzazione smartphone
(rilevazione presenze dipendenti)
Il Garante si è occupato del trattamento di dati personali di dipendenti effettuato attraverso la localizzazione di dispositivi smartphone per finalità di rilevazione delle presenze (provvedimento n. 350 dell’8 settembre 2016).
L’applicazione è configurata in modo tale da consentire l’accesso – previa autenticazione con user id e password – al dipendente, che clicca sull’ icona «ingresso» per indicare l’inizio dell’attività lavorativa e su «uscita» per indicare la fine della giornata lavorativa».
Quando la App viene attivata, questa presenta al lavoratore il nome e cognome che è stato registrato in modo da confermare la sua identità e lo informa del raggio di approssimazione di lettura della posizione fisica che verrà associata alla timbratura. Verificate queste informazioni, il lavoratore potrà decidere il momento in cui effettuare la timbratura selezionando il verso (inizio o termine dell’attività). Solo e unicamente a questo punto la App richiede allo smartphone le coordinate geografiche della posizione in cui si trova e le trasmette al sistema di raccolta delle timbrature unitamente al codice identificativo del lavoratore, al verso di timbratura e alla data e ora di effettuazione.
L’applicazione utilizzata, inoltre, non accede ad altre informazioni presenti nello smartphone del dipendente.
Il Garante ha ritenuto che i descritti trattamenti possano essere effettuati, nei confronti dei dipendenti, per effetto di un legittimo interesse al trattamento.
Sistemi antifrode nell’e-commerce
Il Garante si è occupato di un sistema informatico antifrode nell’ambito delle transazioni di commercio elettronico effettuate attraverso un sito web aziendale (provvedimento n. 14 del 19 gennaio 2017).
Il sistema di vendita on line trasmette al sistema antifrode i dati della transazione (ammontare della somma autorizzata, identificativo della transazione), i dati del customer host (nome, cognome, indirizzo e-mail, indirizzo civico, indirizzo IP), i dati della spedizione, i dati relativi alla modalità di accesso (es. cliente registrato o ospite, privato o azienda), i dati dell’acquisto (nome e prezzo del prodotto).
Questi dati vengono poi verificati attraverso alcuni software sulla base di taluni parametri, quali: congruità tra luogo di emissione della carta e indirizzo IP da dove giunge la richiesta di transazione, numero degli acquisiti eseguiti nella giornata dalla stessa carta, valore totale degli acquisti, nome dell’acquirente privo di vocali, provenienza da domini storicamente etichettati come non sicuri, controlli su indirizzi diversi usati per pagamenti con la stessa carta, coerenza fra i dati della carta e quelli relativi alle transazioni precedenti, numero di pagamenti in un periodo di tempo predeterminato, verifiche su eventuali tentativi di acquisto con numeri di carta sequenziali.
L’esito complessivo di tale operazione di controllo viene con l’indicazione che la transazione è stata autorizzata o non autorizzata ovvero che è necessario un intervento manuale.
Il Garante ha ritenuto lecito il trattamento di dati in base a un legittimo interesse, individuando nello specifico trattamento di dati per finalità antifrode un’ipotesi in cui il consenso non deve essere richiesto.
Rilevazione persone
(marketing)
Il Garante si è occupato di un sistema di rilevazione di persone ai fini di marketing presso una filiale di una banca (Provvedimento n. 13 del 21 gennaio 2016).
Il sistema rileva il transito e la sosta di clienti e non clienti ed è costituito da tre componenti distinte che insieme avrebbero la funzione di elaborare profili di comportamento relativi alle abitudini, alle preferenze e alle scelte di consumo delle persone che accedono alla filiale, in riferimento sia ai prodotti offerti, sia ai servizi maggiormente utilizzati. Ciò, con l’obiettivo di rendere una prestazione migliore nei confronti della clientela.
Si tratta di tre sistemi di «analisi video» distinti. Il primo è pensato per «ottimizzare il layout del punto vendita», compresa la disposizione dei vari luoghi di erogazione dei servizi e la generazione di avvisi automatici, per esempio, in caso di lunghe attese; il secondo è costituito da un sistema di telecamere per il conteggio delle persone che si trovano a transitare all’interno della filiale;
il terzo è in grado di conteggiare gli individui «che guardano i monitor sulle vetrine» esterne della filiale e «sul totem interno», nonché di contabilizzare il tempo durante il quale il singolo si trattenga davanti al «messaggio pubblicitario», con l’intento di valutarne l’attrattiva nei confronti del soggetto.
I sistemi complessivamente considerati consentono di misurare adeguatamente gli accessi in filiale, nonché il percorso e l’eventuale attenzione ai messaggi promozionali, con l’obiettivo di rilevare il tasso di vendita dei prodotti rispetto al numero di visitatori nella singola agenzia, di valutare il ritorno pubblicitario dei messaggi «che transitano sui monitor», nonché di gestire il personale in modo più puntuale e pianificare gli orari di apertura ottimali per la clientela.
In relazione a tali sistemo, il Garante ha individuato un caso di legittimo interesse con riferimento alle rappresentate finalità di marketing.
Data base clienti morosi
Il Garante si è occupato della costituzione di una banca dati relativa a morosità intenzionali della clientela del settore telefonico (Provvedimento n. 523 dell’8 ottobre 2015).
Il trattamento dei dati personali contenuti da parte del gestore e dai partecipanti è finalizzato esclusivamente a verificare l’eventuale presenza di morosità intenzionali, dovendosi intendere per tali i mancati pagamenti non dovuti a circostanze impreviste e contingenti, ma a una precisa volontà del soggetto.
L’accesso al data base è previsto al partecipante esclusivamente in caso di formale richiesta di instaurazione di un rapporto contrattuale o di un contratto già in essere per la fornitura di servizi di telefonia.
Il Garante ha ritenuto sussistente un caso di legittimo interesse degli imprenditori del settore dei servizi di comunicazione elettronica, anche in considerazione della normativa sulle liberalizzazioni, che garantisce ai consumatori la possibilità di transitare con facilità da un operatore all’altro per ottenere servizi migliori a costi più contenuti, cosicché lo scambio di informazioni riguardanti gli inadempimenti può risultare assai rilevante per la corretta gestione del rapporto contrattuale, in quanto necessario per valutare e contenere situazioni di morosità intenzionali che, se non circoscritte, nel lungo periodo, andrebbero a incidere non solo sugli stessi operatori, ma anche sugli altri interessati, i quali potrebbero essere costretti a sopportare costi ulteriori, altrimenti non dovuti.
Nel ritenere che il trattamento delle informazioni relative alle morosità intenzionali possa essere effettuato anche in assenza del consenso degli interessati, il Garante ha valutato come prevalente l’interesse -non solo degli operatori, ma anche degli interessati regolarmente adempienti- al corretto funzionamento di un sistema volto a favorire l’esatta gestione dei rapporti contrattuali alle migliori condizioni praticabili sul mercato.
Riconoscimento facciale (navi crociera)
Il Garante si è occupato del trattamento di dati personali derivante da un sistema di riconoscimento facciale dei passeggeri delle navi da crociera, utilizzato per agevolare questi ultimi nell’individuazione delle fotografie (a scopo di acquisto) che li ritraggono durante la permanenza a bordo delle proprie navi (provvedimento n. 360 del 18 giugno 2015).
Il sistema si propone di abbandonare la precedente procedura per cui le fotografie relative ai passeggeri venivano tutte affisse, il giorno successivo a quello dello scatto, presso un’apposita foto gallery liberamente accessibile dagli interessati; costoro, previo esame del complessivo materiale fotografico, potevano selezionare gli scatti di loro gradimento e procedere, eventualmente, al relativo acquisto. Il nuovo sistema consente, invece, di selezionare le sole fotografie di possibile interesse per i singoli passeggeri, evitando così un accesso indifferenziato e generalizzato alle immagini.
I passeggeri interessati al servizio proposta si recano presso l’apposito «computer interattivo di bordo» (c.d. «chiosco»), venendo informati a video in merito alle caratteristiche del trattamento; ottenuto, quindi, anche il relativo consenso, verrebbe scattata una foto-campione dell’interessato da cui estrarre le caratteristiche biometriche del volto e creare il corrispondente codice Fir (Face Identification Record), utilizzato quale «parametro» per la successiva ricerca delle fotografie. Il sistema, attraverso il confronto tra il codice Fir così generato e i codici Fir risultanti dall’analisi dei volti presenti nelle fotografie caricate giornalmente dal fotografo di bordo, selezionerebbe unicamente le immagini recanti le medesime caratteristiche -sì da garantire agli interessati l’accesso ai soli scatti che li ritraggono-, salvo poi provvedere, all’esito del processo di selezione e di eventuale acquisto, alla cancellazione delle informazioni biometriche acquisite; in tal modo, i passeggeri interessati alla successiva fruizione del servizio sarebbero chiamati a sottoporsi nuovamente all’intera procedura (con l’eccezione delle operazioni relative all’acquisizione della foto-campione, conservata in memoria dal sistema).
A riguardo del descritto trattamento il Garante ha individuato un legittimo interesse del titolare del trattamento, che ha potuto così utilizzare i dati biometrici degli interessati, limitatamente alle operazioni necessarie all’elaborazione dei codici Fir ricavati dalle immagini caricate dal fotografo nell’apposito file system, anche senza il loro consenso.
Posta elettronica
Il Garante si è occupato di sistemi di profilazione degli utenti nell’ambito dei servizi di comunicazione elettronica (provvedimento n. 534 del 15 ottobre 2015).
Si è trattato di un modello di profilazione che permette la classificazione degli utenti in cluster a un modello in cui, parallelamente a tale passaggio, si opera anche una «tipizzazione» dell’individuo in gruppi familiari di appartenenza.
In relazione a tale attività il Garante ha individuato il legittimo interesse rappresentato dal titolare, ravvisandolo nella circostanza che la nuova attività di profilazione rappresenta un’esigenza importante del titolare del trattamento in un ambito sensibilmente cambiato in ragione della sempre crescente richiesta della clientela di servizi personalizzati sotto il profilo dei contenuti e del piano tariffario.
Il Garante ha anche considerato che un’offerta unica e indifferenziata nel lungo periodo non soddisfa i bisogni della clientela e finisce per incidere negativamente sulla performance societaria, soprattutto in un mercato caratterizzato da un alto tasso di competitività.
La profilazione, in commento, comporta una maggiore comprensione dei bisogni della clientela per definire nuovi prodotti e un miglioramento del grado di soddisfazione della stessa grazie a offerte ritagliate su misura, permettendo al titolare del trattamento di svolgere il ruolo di fornitore di un servizio pubblicamente accessibile con un accresciuto grado di qualità.
Il Garante ha, allo stesso tempo, avvisato che la successiva attività di marketing, rivolta agli utenti, può svolgersi solo in presenza del loro specifico consenso.
2.I TEMPI DI CONSERVAZIONE DEI DATI (per quanto tempo si possono trattare i dati)
Le imprese, le pubbliche amministrazioni e i professionisti devono indicare nelle informative agli interessati e negli altri documenti del modello organizzativo privacy i termini di conservazione dei dati.
Bisogna indicare il termine ultimo di conservazione dei dati nel registro del trattamento, nelle analisi dei rischi e nelle valutazioni di impatto privacy, nei contratti con i responsabili esterni del trattamento.
È un’operazione non certamente facile, interamente a carico del titolare del trattamento e che ha un’importanza tale da essere inserita tra i principi del trattamento (articolo 5 del regolamento Ue sulla privacy n. 2016/679, Gdpr).
La mancata indicazione di un termine comporta la violazione contestuale della pluralità di articoli del Gdpr che disciplinano gli istituti sopra elencati. Il grosso problema è che non c’è un catalogo dei termini massimi e ogni titolare del trattamento deve darseli da sé e la congruità di questa scelta è controllata dal Garante, anche a pena di sanzioni amministrative pecuniarie.
Per ridimensionare questo problema, in questa sede andremo a censire un certo numero di casi, tratti dalle decisioni del Garante della privacy, così da stilare una rassegna di situazioni da confrontare.
Magari si troverà il caso identico al proprio o uno simile e, allora, si può tenere conto dell’autorevole precedente nel proprio modello organizzativo privacy.
Vediamo di passare in rassegna, dunque, la casistica del Garante.
Marketing profilato/alta moda
Il Garante (provvedimento n. 325 del 22 maggio 2018) ha esaminato il caso di una società, operante nel campo della moda, la quale offrendo prodotti di fascia medio-alta (sia nei negozi che attraverso l’e-commerce), trattava i dati della clientela per finalità per finalità di profilazione e di marketing diretto, organizzati all’interno di un sistema di customer relationship management («Crm»), e intendeva conservarli per un periodo pari a 7 anni, in ragione della frequenza media di acquisto dei propri prodotti, non ritenuta significativa nell’arco temporale di un solo anno, posto che un cliente «effettua mediamente un solo acquisto durante un anno solare o due acquisti in corrispondenza dei periodi primavera-estate e autunno-inverno».
Il Garante, nel decidere la questione, ha formulato il principio generale, secondo il quale i tempi di conservazione non devono ridurre «significativamente» l’utilità dell’attività di profilazione e della successiva attività di marketing.
Ciò deve essere considerato soprattutto nel caso in cui i dati personali concernenti gli acquisti effettuati dalla clientela della società presentano una frequenza media di acquisto alquanto bassa, rispetto alla quale le operazioni di trattamento per le richiamate finalità, se svolte per archi temporali inferiori a quelli richiesti, ne vanificherebbero utilità ed effetti.
Pertanto, il Garante ha ritenuto congruo un periodo di conservazione dei dati di 7 anni, decorrente dalla loro registrazione, potendo ritenersi tale arco temporale congruo e proporzionato alle finalità che la società intende perseguire.
Marketing profilato/autovetture di alta gamma
Il Garante (provvedimento n. 274 del 9 maggio 2018) ha analizzato il caso di una società che commercializza autovetture di alta gamma e svolge un’attività di informazione e/o di offerta di servizi anche senza contenuto prettamente commerciale nei confronti della propria clientela inserendone i dati nei sistemi gestionali di Customer Relationship Management (Crm) durante tutto il ciclo di possesso di un’autovettura, in molti casi superiore a dieci anni (per esempio informazioni su aggiornamenti di contenuto di prodotti o reminder di scadenze, come i termini di revisione o la fine della copertura delle garanzie previste dalla legge o dal contratto). La società, pertanto, tenendo conto che la frequenza media di acquisto delle autovetture è pari a un massimo di due volte in un decennio, intendeva essere autorizzata a conservare i dati raccolti per un arco temporale pari a 15 anni.
Il Garante, nel decidere la questione, ha formulato il principio generale, secondo il quale trattandosi di beni di valore considerevole il cui acquisto si realizza mediamente due volte in un decennio, il termine massimo di 10 anni, decorrente dalla registrazione dei dati, appare congruo e proporzionato rispetto alle finalità che si intendono perseguire e non risulta eccessivo in relazione ai possibili rischi per gli interessati dei cui dati si tratta.
Al termine di tale arco temporale, i dati personali oggetto dell’attività di profilazione e di marketing dovranno essere o automaticamente cancellati o resi anonimi in modo permanente e irreversibile, fermo restando che la società è tenuta a indicare il periodo massimo di conservazione dei dati, pari a 10 anni a decorrere dalla registrazione degli stessi nei modelli di informativa predisposti dalla società.
Marketing profilato/cosmesi
Il Garante (provvedimento n. 328 del 22 maggio 2018) ha esaminato il caso di una società, operante nel campo della cosmesi, la quale offrendo prodotti di fascia medio-alta (sia nei negozi che attraverso l’e-commerce), trattava i dati della clientela per finalità di profilazione e di marketing diretto, organizzati all’interno di un sistema di customer relationship management («Crm»), e intendeva conservarli per un periodo pari a 7 anni, in ragione della frequenza media di acquisto dei propri prodotti, che non appare significativa nell’arco temporale di un solo anno, posto che un cliente «effettua mediamente un solo acquisto durante un anno solare o due acquisti in corrispondenza dei periodi primavera-estate e autunno-inverno».
Il Garante, nel decidere la questione, ha osservato che, data la tipologia e le caratteristiche dei prodotti in questione non è possibile affermare che essi appartengono a una fascia di consumo alta o medio-alta, tale da dar luogo a una frequenza di spesa diluita nel tempo e in particolare a un acquisto per singolo prodotto nell’arco di una o due volte l’anno, e pertanto non vi è necessità di conservare i dati della propria clientela per periodi più lunghi.
Di conseguenza, secondo il Garante, i dati acquisiti e registrati nei sistemi aziendali dovranno essere conservati per 12 mesi per finalità di profilazione e per 24 mesi per scopi di marketing diretto, ed essere cancellati, ovvero trasformati in forma anonima in modo permanente e non reversibile alla relativa scadenza.
Marketing profilato/autovetture non di alta gamma
Il Garante (provvedimento n. 233 del 18 aprile 2018) si concentra sul caso di una società operante nella vendita di autovetture non di alta gamma che svolge attività di promozione mediante iniziative di marketing rivolte alla propria clientela o comunque nei confronti di chi ha espressamente conferito il consenso al trattamento dei propri dati per tali finalità, prevedendo attività di elaborazione dei dati dei clienti e dei potenziali clienti mediante tecniche di profilazione, organizzati all’interno di un sistema di customer relationship management («Crm»). Tuttavia, le autovetture, «pur non essendo tutti qualificabili come beni di lusso, presentano comunque un valore considerevole rispetto ad altre categorie merceologiche e il loro acquisto si realizza in media ogni otto anni e, di conseguenza, la società ha chiesto al Garante l’autorizzazione a conservare i dati raccolti per 15 anni.
Il Garante, nel decidere la questione, ha formulato il principio generale, secondo il quale trattandosi di beni di valore considerevole il cui acquisto si realizza in media ogni otto anni, il termine massimo di 10 anni, decorrente dalla registrazione dei dati, appare congruo e proporzionato rispetto alle finalità che si intendono perseguire.
In aggiunta, il Garante precisa che considerata l’articolazione dei rapporti tra la società e i concessionari, anche questi ultimi, qualora ne abbiano interesse, potranno anch’essi procedere all’allungamento fino a 10 anni dei tempi di conservazione dei dati, con esclusivo riferimento a quelli raccolti direttamente da essi.
Localizzazione geografica/servizi di vigilanza
Il Garante (provvedimento n. 232 del 18 aprile 2018) ha analizzato la fattispecie di una società che, fornendo servizi di vigilanza privata preordinati alla tutela di persone e beni nonché al trasporto e alla custodia di valori, tramite guardie giurate, intende installare sui dispositivi smartphone o tablet consegnati alle guardie un’applicazione, completa di funzionalità di localizzazione geografica al fine di assicurare «la sicurezza della pattuglia»; la «razionale assegnazione e distribuzione degli interventi alle pattuglie di zona»; il «corretto svolgimento dell’ordinaria attività di vigilanza/ispezione». Pertanto, chiede che i dati così raccolti siano conservati «per un periodo non superiore alle ore 24, fatte salve speciali esigenze di ulteriore conservazione».
Il Garante, nel decidere la questione, ha reputato che l’arco temporale di 24 ore sia conforme ai menzionati principi di necessità e proporzionalità, fermo restando che ai sensi del D.M. n. 269/2010, vi è l’obbligo di conservare per due anni a disposizione dell’autorità di pubblica sicurezza «tutta la documentazione relativa all’attività svolta, nonché quella relativa alle guardie giurate» e inoltre che l’ordine di servizio giornaliero debba essere custodito «per almeno due anni» al fine di poter essere esibito a richiesta di «ufficiali e agenti di pubblica sicurezza, nell’ambito dell’ordinaria attività di controllo».
In aggiunta, per minimizzare il rischio di accesso ai dati non necessario e/o non pertinente, il Garante, ritiene necessario, a tutela degli interessati, che la società configuri il sistema in modo da oscurare la visibilità della posizione geografica dopo un periodo determinato di inattività dell’operatore sul monitor.
Videosorveglianza/ e-security
Il Garante (provvedimento n. 141 del 8 marzo 2018) si è concentrato sul caso di una importante società che opera nel settore delle comunicazioni elettroniche, svolgendo, tra l’altro, l’attività di Internet Service Provider, su concessione del Ministero delle Comunicazioni, e inoltre si occupa della vendita di servizi di hosting e domini, cloud e data center, erogando anche servizi di E-security quali posta elettronica certificata, servizi di certificazione digitale, conservazione a norma di documenti informatici e SPID (Sistema pubblico per la gestione dell’identità digitale) nei confronti di una clientela varia (Pubblica Amministrazione, grandi clienti internazionali, Istituti bancari).
Attesa l’elevata quantità e la delicatezza delle informazioni ospitate in particolare all’interno dei Data Center, la società chiede di poter conservare per 90 giorni le immagini registrate attraverso i sistemi di videosorveglianza presenti presso due sedi operative in grado di riprendere sia il perimetro, sia gli ingressi della struttura, sia gli ambienti interni, ove sono allocati i server mediante cui sono erogati i servizi. In tal modo, asserisce che siffatti impianti avrebbero maggiore efficacia, data la particolare «rischiosità» della natura dei servizi erogati, considerando anche che l’accertamento di fatti illeciti potrebbe esigere l’utilizzo di immagini registrate molto tempo prima dell’evento, per verificare comportamenti sospetti da parte di soggetti che, in una fase antecedente, abbiano effettuato un’attività propedeutica all’eventuale illecito.
Il Garante, nel decidere la questione, ha reputato che vi fossero gli estremi per un allungamento dei tempi di conservazione dei dati oltre i sette giorni, in ragione della finalità sottesa all’istallazione del sistema di videosorveglianza, ossia non solo la tutela del patrimonio aziendale, ma altresì la tutela del personale e dei dati dei clienti, di talché una eventuale manomissione dei server sarebbe idonea a danneggiare non solo il patrimonio aziendale, ma anche la gestione e la messa in sicurezza di dati, informazioni e contenuti fondamentali per la continuità dello svolgimento delle attività degli stessi clienti.
Pertanto, il Garante ammette la conservazione fino a 90 giorni di tutte le immagini registrate mediante gli impianti di videosorveglianza attualmente in uso presso le due sedi operative al solo fine dell’accertamento di eventuali illeciti e dell’individuazione, da parte dell’Autorità giudiziaria, dei possibili responsabili.
Videosorveglianza/ crociere
Il Garante (provvedimento n. 13 del 18 gennaio 2018) si è occupato del caso di una società operante nel settore dell’attività crocieristica la quale rappresenta che sulle navi da crociera sussiste l’esigenza di una sicurezza di tipo non invasivo e di un controllo efficace ma al contempo non limitativo dei movimenti dei passeggeri e del personale. Di conseguenza, la società rappresenta che su ogni singola nave è adottato un sistema di videosorveglianza che prevede l’installazione di telecamere a circuito chiuso nelle aree della nave interessate dal passaggio dei passeggeri e in quelle con maggiore afflusso di persone allo scopo di assicurare la copertura e il presidio delle aeree dove il rischio del verificarsi di atti e condotte illecite risulta maggiormente probabile e dove, quindi, le telecamere assolvono anche la funzione di prevenzione e controllo. Inoltre, le telecamere sono asseritamente orientate in modo da effettuare una raccolta di immagini adeguata alla finalità perseguita.
Per poter rafforzare il livello di tutela delle persone, del patrimonio e dei beni aziendali la società chiede di poter allungare l’attuale termine di conservazione delle immagini fino a 14 giorni.
Il Garante, nel decidere la questione, ha ritenuto che l’installazione di un sistema di videosorveglianza sia funzionale ad assicurare un livello adeguato di sicurezza non solo del patrimonio aziendale ma, soprattutto, delle persone che si trovano a bordo delle navi. Pertanto, atteso che una maggiore durata di conservazione delle immagini assicurerebbe un maggiore livello di sicurezza essendo in grado di consentire il controllo e la ricostruzione di tutto ciò che accade su una nave durante l’intera crociera, ammette la necessità di un allungamento a 14 giorni del tempo di conservazione delle immagini correlata al periodo medio di durata di una crociera, visto che spesso le condotte presumibilmente illecite sono denunciate dai passeggeri solo al termine della crociera e, dunque, anche alla Società diventano note solo al termine delle procedure di sbarco. Si pensi, in particolare, ai casi di scomparsa di persone per i quali la presa visione delle immagini è un elemento fondamentale nello svolgimento delle indagini.
Traffico telefonico/prodotti e tecnologie biomedicali
Il Garante (provvedimento n. 3 del 11 gennaio 2018) si concentra sul caso di una società che si occupa dello sviluppo e della commercializzazione di prodotti e tecnologie biomedicali la quale ha presentato una richiesta di verifica preliminare con riguardo al trattamento di dati personali dei propri dipendenti «cui sia stato assegnato un telefono aziendale». Il trattamento avrebbe la finalità di «controllo delle fatture del provider del servizio telefonico» nonché di «analisi dell’andamento complessivo dei consumi in modo da valutare nel tempo l’adeguatezza del contratto con il provider con l’obiettivo di ridurre i costi aziendali e ottimizzare la qualità del servizio» nonché «rilevare eventuali situazioni anomale di consumi». I dati oggetto di trattamento sarebbero «forniti dal provider per ogni bolletta inviata» e consisterebbero nel: «numero chiamato o chiamante, giorno, ora dell’inizio della telefonata, durata della stessa» e l’arco temporale di conservazione sarebbe fissato in dodici mesi «in ragione dell’esigenza di realizzare un’analisi di dettaglio dei consumi e dei conseguenti costi aziendali del servizio di comunicazione elettronica».
Il Garante, nel decidere la questione, reputa che, atteso il principio secondo il quale la disciplina di protezione dei dati personali fa salva la possibilità di conservare i dati personali trattati dal sistema «per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati» (art. 11, comma 1, lett. e), del Codice Privacy), la conservazione dei dati relativi al traffico telefonico strettamente necessari a fini di fatturazione e di documentazione in caso di contestazione, possono essere trattati e conservati dallo stesso fornitore del servizio per un arco temporale non superiore a sei mesi (art. 123, comma 2, del Codice Privacy).
Pertanto, la conservazione da parte della società dei dati per finalità di «controllo sulle fatture», anche in vista di contenimento dei costi o di eventuali contestazioni, è giustificata entro il termine massimo di sei mesi.
Marketing profilato/mediazione creditizia e assicurativa
Il Garante (provvedimento n. 534 del 15 dicembre 2016) si concentra sul caso di una società operante nel settore della mediazione creditizia e assicurativa che domanda di poter conservare e trattare i dati riferiti alla propria clientela per un periodo pari a venti anni per finalità di profilazione e marketing mediante un sistema di Customer relationship management («Crm») contenente i dati personali dei clienti. A tale sistema avrebbero accesso tutti gli agenti, designati responsabili del trattamento e dai rispettivi incaricati del trattamento, in quanto, nel mercato della mediazione creditizia e assicurativa, il cliente usufruisce di un servizio strumentale alla conclusione di un contratto di mutuo, finanziamento e/o assicurazione e tale servizio può essere reso senza che si pervenga, in ultima analisi, alla conclusione del contratto stesso.
La società ritiene che il tempo massimo ventennale di conservazione dei dati sarebbe necessario in considerazione della circostanza che i clienti si rivolgono a un’agenzia di mediazione creditizia per la richiesta di mutui da una a due volte nell’arco di dieci anni e per quanto riguarda la richiesta di prestiti da una a cinque volte nell’arco di dieci anni. In relazione ai prodotti assicurativi, prevalentemente collegati a mutui e prestiti, essi seguono le stesse tempistiche del prodotto cui si riferiscono, di talché un tempo di conservazione dei dati inferiore a quello ventennale inciderebbe significativamente sull’utilità della profilazione della clientela.
Il Garante, nel decidere la questione, ha formulato il principio generale, secondo il quale, atteso che i dati personali concernenti operazioni di richieste di mutuo, finanziamento e/o assicurazione hanno una frequenza mediamente bassa, deve ritenersi che i dati, nel rispetto del principio di pertinenza e non eccedenza, potranno essere conservati per un periodo massimo pari a dieci anni, decorrente dalla registrazione degli stessi. Ciò in quanto tale arco temporale appare congruo e proporzionato alle finalità che si intendono realizzare, considerata la tipologia di dati personali oggetto di trattamento e le finalità dello stesso.
Marketing profilato/intermediazione immobiliare
Il Garante (provvedimento n. 285 del 30 giugno 2016) esamina la fattispecie di una società operante nel settore della intermediazione immobiliare
attraverso oltre un migliaio di soggetti affiliati operanti in franchising. Tale società coordina le attività gestendo i database tra gli «affiliati» e stabilisce le politiche generali di funzionamento relative alla «condivisione» dei dati.
La società domanda di poter conservare e trattare i dati riferiti alla clientela propria e a quella dei propri «affiliati» per un periodo pari a venti anni per finalità di profilazione e marketing mediante un sistema di Customer relationship management («Crm») contenente i dati personali dei clienti cui avrebbero accesso anche tutti gli «affiliati» nonché le richieste di acquisto o di affitto, le richieste di vendita o di locazione, le richieste di valutazione degli immobili, gli incarichi di acquisto o di affitto, gli incarichi di vendita o di locazione, le sottoscrizioni di proposte di acquisto/affitto e i dati concernenti i contratti preliminari o definitivi di compravendita o di locazione conclusi grazie alla mediazione degli «affiliati».
Siffatto arco di tempo ventennale, a detta della società, sarebbe necessario in ragione delle caratteristiche dell’intermediazione immobiliare, in quanto, di norma, i clienti si rivolgono a una agenzia immobiliare da una a due volte nell’arco di dieci anni, per quanto riguarda la compravendita di immobili, e da una a quattro volte, per quanto riguarda la locazione. Di conseguenza, un tempo di conservazione dei dati inferiore a quello indicato graverebbe sull’utilità della profilazione della clientela.
Il Garante, nel decidere la questione, ha ritenuto che i dati personali riguardanti le operazioni di acquisto/vendita o affitto/locazione hanno una frequenza mediamente bassa e pertanto siffatti dati potranno essere conservati per un periodo massimo pari a 15 anni, decorrente dalla registrazione degli stessi, arco temporale che appare congruo e proporzionato alle finalità che si intendono realizzare, alla luce della tipologia di dati personali oggetto di trattamento e le finalità dello stesso.
Fidelizzazione e marketing profilato/sale gioco
Il Garante (provvedimento n. 394 del 2 luglio 2015) si concentra sul caso di una società operante nel settore delle sale gioco che ha richiesto di essere autorizzata a conservare i dati personali )informazioni personali, preferenze riguardo ai giochi disponibili, dati relativi alla frequentazione della sala) di clienti e potenziali clienti per un loro utilizzo a fini di profilazione e di promozione commerciale profilata nell’ambito di un programma di fidelizzazione per la durata di 24 mesi consistente nella raccolta, da parte della società titolare, dei dati personali dei frequentatori di sale da gioco dislocate sull’intero territorio nazionale, della cui conduzione e gestione si occupa in qualità di concessionaria. Agli utenti viene rilasciata una carta fedeltà che, mediante inserimento in appositi lettori situati presso le sale del circuito, permette la registrazione del numero di accessi effettuati, con relativa data e ora. Tale trattamento verrebbe effettuato a scopo di fidelizzazione, di profilazione e di promozione commerciale e previa acquisizione del relativo consenso, ove necessario, nonché al fine di recuperare gli ospiti persi o riattivare gli utenti i cui comportamenti, a seguito di monitoraggio, facciano registrare una significativa riduzione della frequentazione delle sale.
Secondo la società, l’obbiettivo di incentivazione della frequentazione degli utenti poco attivi non sarebbe conseguibili nell’arco temporale di conservazione dei dati relativi agli accessi alle sale attualmente consentito pari a dodici mesi dalla loro registrazione, essendo dunque opportuna una estensione del periodo di conservazione fino a cinque anni al fine di registrare le visite massime effettuate prendendo in considerazione un congruo lasso temporale per determinarne il comportamento tipico.
Il Garante, nel decidere la questione, ha formulato il principio generale, secondo il quale il prolungamento dei tempi di conservazione dei dati personali per finalità di profilazione esige un bilanciamento tra le ragioni del beneficio atteso e ambito dal titolare e le ragioni del costo e del rischio che gravano sull’interessato in ragione della prolungata conservazione e del conseguente, reiterato e straordinario utilizzo dei propri dati personali per il conseguimento di quella finalità. Nel caso di specie, l’estensione da uno a cinque anni del tempo di conservazione dei dati dei frequentatori delle sale gioco sarebbe ostacolata dalla circostanza che la maggior parte degli utenti ha una frequentazione sporadica o inesistente (cioè da una visita al mese ad almeno una visita nel semestre).
Del resto, già a partire dal termine del primo mese dalla registrazione dell’ultimo ingresso dell’interessato alla sala gioco è possibile evincere comportamenti chiaramente interpretabili come segnali di continuità e dunque di abitualità ovvero, al contrario, di disaffezione o comunque di riduzione della frequenza di visita. Di conseguenza, la limitazione del periodo di monitoraggio a un mese (o, al più, il mantenimento del parametro del semestre) permette già di comprendere la tipologia di utente osservato.
In conclusione, per il Garante il termine di conservazione di 24 mesi per attività di marketing appare proporzionato in relazione a tale finalità, senza che si ravvisino idonei presupposti per consentire un prolungamento dei tempi di conservazione dei dati.
Videosorveglianza/ beni e servizi di lusso
Il Garante (provvedimento n. 380 del 25 giugno 2015) si concentra sul caso di una società operante nel settore della vendita di prodotti e servizi di lusso, come gioielli, orologi, accessori, profumi e cosmesi, hotel, che riferisce di custodire nelle proprie boutiques pezzi di piccole dimensioni con la conseguenza che un eventuale mancanza non può essere facilmente verificato nell’immediatezza, ma solo a distanza di tempo, in coincidenza dell’inventario. Di conseguenza, eventuali azioni criminali potrebbero essere scoperte solo a distanza di molti mesi. Pertanto, la società, nel valutare i miglioramenti da apportare nella sicurezza delle proprie strutture, ha rilevato che le attuali modalità di videosorveglianza risulterebbero inadeguate, in quanto la conservazione delle immagini per soli sette giorni spesso impedisce l’accertamento delle cause dei possibili ammanchi o dei furti, in considerazione delle peculiari caratteristiche dei prodotti, con conseguente impossibilità per le Forze dell’ordine di acquisire elementi utili per individuare i responsabili
La società, dunque, per le dette ragioni di sicurezza, chiede di essere autorizzata a conservare le immagini fino a un anno o «per diverso termine che sarà ritenuto congruo» dal Garante.
Il Garante, nel decidere la questione, ha ritenuto che, nel tutelare il patrimonio aziendale e il legittimo interesse del titolare a prevenire o a far perseguire possibili illeciti posti in essere a danno della società, dei suoi dipendenti e dei clienti, è possibile accogliere la richiesta di allungamento dell’arco temporale. Del resto, la procedura di accesso predisposta dalla società risulta pienamente adeguata, permettendo di prendere visione delle registrazioni solo in caso di necessità, per il tramite di appositi soggetti designati «incaricati del trattamento» e con l’osservanza di un sistema di autenticazione basato sulla digitazione di «user name» e «password».
Di conseguenza, il Garante ammette la conservazione fino a sette mesi di tutte le immagini registrate dalla Società attraverso gli impianti di videosorveglianza in uso presso le boutiques al solo fine di accertare eventuali illeciti.
Tuttavia, l’accesso alle immagini registrate potrà essere effettuato solo nel caso in cui vengano ravvisati o segnalati eventuali illeciti, oppure allorché pervenga una richiesta in tal senso da parte dell’Autorità giudiziaria.
Fonte:
