di Enrica Maio
Duro no dell’Autorità Garante per la protezione dei dati alla profilazione, senza consenso, di gusti e abitudini dei clienti per l’invio di newsletter personalizzate.
Il Garante, con la sua pronuncia contenuta nel provvedimento n. 605 del 18 novembre 2015, ha vietato a una società di e-commerce l’illecito trattamento dei dati di oltre 300.000 persone.
Il provvedimento è stato emesso dopo una serie di accertamenti ispettivi svolti dall’Autorità – in seguito a una segnalazione – sul sito di una delle più importanti società di fornitura online di biglietti per spettacoli teatrali, manifestazioni sportive, concerti (ma che vende online anche prodotti di marca), la quale chiedeva necessariamente agli utenti, per poter acquistare i biglietti, di dare il consenso al trattamento dei dati per finalità promozionali.
Dagli accertamenti dell’Autorità è effettivamente emerso un riscontro a quanto denunciato nella segnalazione, in particolare, la società in questione raccoglieva dati personali attraverso tre siti, di cui uno, operativo in più lingue straniere, destinato a utenti di paesi Ue ed Extra Ue.
Per tale motivo, il Garante ha deciso di verificare la liceità del trattamento dei dati personali effettuato, anche alla luce delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013.
Il consenso richiesto agli utenti, però, era preselezionato e unico per varie finalità, fra cui quelle di marketing e comunicazione dei dati a soggetti terzi per finalità promozionali. Tale procedura, anche se l’utente poteva deselezionare il consenso e procedere alla registrazione al sito, è contraria alla normativa vigente, la quale prevede che non sia corretta la predisposizione di “check box” di acquisizione del consenso precompilate con un flag. Inoltre, il consenso dell’utente deve essere specifico e distinto per ciascuna finalità perseguita e per ciascun eventuale trattamento effettuato[1], quale in particolare la comunicazione a terzi per l’invio di messaggi promozionali.
In più, la società non indicava nell’informativa resa agli utenti alcune attività effettivamente svolte con i dati raccolti, peraltro particolarmente invasive per il diritto alla protezione dei dati degli interessati, tra cui l’invio di comunicazioni promozionali, per conto proprio e per conto di terzi, mediante e-mail, la profilazione e la comunicazione dei dati a soggetti terzi per finalità promozionali.
In più, la società non indicava nell’informativa resa agli utenti alcune attività effettivamente svolte con i dati raccolti, peraltro particolarmente invasive per il diritto alla protezione dei dati degli interessati, tra cui l’invio di comunicazioni promozionali, per conto proprio e per conto di terzi, mediante e-mail, la profilazione e la comunicazione dei dati a soggetti terzi per finalità promozionali.
Dalla verifica del Garante è emerso anche che la società svolgeva, sempre senza consenso, un’attività di profilazione utilizzando un software per l’invio di newsletter personalizzate, “create” elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello il cui ordine non era stato finalizzato. La società, peraltro, non aveva provveduto ad adempiere all’obbligo di notificazione al Garante previsto dal Codice per l’attività di profilazione, né aveva stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.
L’Autorità Garante per la protezione dei dati, pertanto, ha dichiarato illecito il trattamento dei dati raccolti operato dalla società senza la previa acquisizione di un consenso espresso, libero, informato e specifico degli interessati con riferimento a trattamenti chiaramente individuati e documentato per iscritto, ex artt. 13, 23 e 130 del Codice.
Infatti, ai sensi dell’art. 23, comma 3, e dell’art. 130, commi 1 e 2, del Codice privacy, salvo limitate eccezioni – come il c.d. “soft spam”, di cui all’art. 130, comma 4, del Codice relativamente alle e-mail promozionali destinate ai propri clienti adeguatamente informati e finalizzate a reclamizzare prodotti o servizi analoghi a quelli già acquistati – il trattamento di dati personali da parte dei privati per finalità diverse da quella di erogazione del servizio (o altre finalità di tipo contrattuale) è ammesso solo dopo la previa acquisizione di un consenso dell’interessato. Inoltre, sia l’attività di invio di comunicazioni promozionali per conto proprio e/o per conto di terzi, sia l’attività di profilazione dei dati personali raccolti, sia anche l’eventuale comunicazione dei dati raccolti a soggetti terzi per le loro finalità promozionali, costituiscono ciascuna una diversa attività di trattamento dei dati che necessita di un previo distinto consenso.
In conclusione, il Garante ha vietato l’uso dei dati dei clienti acquisiti illecitamente e ha prescritto alla società di adottare tutte quelle misure necessarie indicate dalle disposizioni del Codice privacy.
Infatti, ai sensi dell’art. 23, comma 3, e dell’art. 130, commi 1 e 2, del Codice privacy, salvo limitate eccezioni – come il c.d. “soft spam”, di cui all’art. 130, comma 4, del Codice relativamente alle e-mail promozionali destinate ai propri clienti adeguatamente informati e finalizzate a reclamizzare prodotti o servizi analoghi a quelli già acquistati – il trattamento di dati personali da parte dei privati per finalità diverse da quella di erogazione del servizio (o altre finalità di tipo contrattuale) è ammesso solo dopo la previa acquisizione di un consenso dell’interessato. Inoltre, sia l’attività di invio di comunicazioni promozionali per conto proprio e/o per conto di terzi, sia l’attività di profilazione dei dati personali raccolti, sia anche l’eventuale comunicazione dei dati raccolti a soggetti terzi per le loro finalità promozionali, costituiscono ciascuna una diversa attività di trattamento dei dati che necessita di un previo distinto consenso.
In conclusione, il Garante ha vietato l’uso dei dati dei clienti acquisiti illecitamente e ha prescritto alla società di adottare tutte quelle misure necessarie indicate dalle disposizioni del Codice privacy.
La società non solo dovrà integrare l’informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per finalità promozionali e informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati, ma dovrà anche prevedere tempi di conservazione dei dati (elemento questo spesso dimenticato o sottovalutato dai titolari del trattamento nelle loro strategie di marketing e non regolamentato nelle privacy policy interne) e, alla scadenza, provvedere all’immediata cancellazione o alla anonimizzazione permanente, così come disposto dalla normativa in materia di privacy.
Questa pronuncia dell’Autorità vuole, quindi, cercare di eliminare quel “far west” che, in alcuni casi, circonda il mondo dell’e-commerce a discapito dei consumatori, parte debole di un sistema che sta prendendo sempre più piede in tutto il mondo e che comporta molti vantaggi non solo per l’utente, ma anche per il “negoziante digitale”.
[1] Del resto già le “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013 avevano specificato che per marketing, profilazione e cessione a terzi è necessario acquisire consensi separati.