Il Garante per la privacy ha sanzionato (300mila euro) recentemente una nota catena di grandi magazzini per aver attuato molteplici condotte illecite nel contesto delle attività di marketing e profilazione (provvedimento n. 253 del 08.06.2023, doc. web n. 9856345). Degne di nota sono le indicazioni rese dall’Autorità nella decisione in parola che i player del comparto assicurativo dovranno attentamente considerare nell’implementazione dei presidi e processi di compliance al GDPR. Nel dettaglio:
📌attività di profilazione ad ampio raggio: prima di iniziare i trattamenti di profilazione (nel caso di specie, detta attività era stata svolta tramite il sito di e-commerce su larga scala), è necessario preliminarmente eseguire una valutazione di impatto(art. 35, par. 1, del GDPR);
📌 conservazione dei dati per finalità di marketing: il Garante ha osservato come il termine di conservazione dei dati per finalità di marketing indicato (7 anni, indistintamente dai brand reclamizzati, non tutti di “fascia alta”) fosse eccedente e incongruo;
📌 informativa trasparente e data retention: nell’informativa devono essere indicati in modo puntuale e trasparente i termini di data retention (o i relativi criteri di riferimento) per finalità di marketing e profilazione. Secondo l’Autorità, l’espressione utilizzata nell’informativa “i dati personali correlati all’utilizzo della Carta sono conservati per il periodo massimo consentito per legge e previsto dai provvedimenti del Garante per la protezione dei dati personali” risultava eccessivamente generica e indeterminata. Tali riferimenti, infatti, inevitabilmente costringono l’utente/cliente a cercare di rinvenire tali fonti, con non agevoli ricerche.
| P. IVA 02917600302 |