GDPR e marketing: le indicazioni del Garante di cui i player del settore assicurativo dovranno fare tesoro nel 2023

Nel recente provvedimento n. 348 del 20 ottobre u.s. (doc. web n. 9825667) adottato nei confronti di una catena internazionale di profumerie (1 milione e 400 mila euro), il Garante ha formulato dei rilievi degni di nota in materia di “accountability” dei titolari del trattamento.

Di seguito un riepilogo pratico degli insegnamenti dell’Autorità di cui i player del settore assicurativo e della distribuzione assicurativa dovranno fare tesoro nel 2023 nell’implementazione degli adempimenti di compliance al GDPR:

  • informative distinte nelle policy dei siti web e delle app: occorre distinguere i contenuti dell’informativa privacy sia dall’informativa dedicata ai cookie (e dai rispettivi consensi), sia dalle condizioni generali di contratto;
  • trasparenza dell’informativa: nell’informativa devono essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite;
  • no ai consensi cumulativi: agli utenti deve essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing diretto, marketing di soggetti terzi e profilazione);
  • conservazione dei dati: a prescindere dalla revoca del consenso al marketing e/o alla profilazione o da richieste provenienti dall’interessato, nell’esercizio della propria accountability, il titolare deve conservare in modo limitato e selettivo i dati dei clienti partendo dallo screening dei criteri di data retention che il Garante aveva individuato prima dell’avvento del GDPR con il provvedimento del 24 febbraio 2005 sulle “fidelity card” (fissati rispettivamente, in ventiquattro e dodici mesi).