Le nuove regole del Garante della Privacy per il trattamento dei dati personali e la profilazione degli utenti online.
Giro di vite per le società di e-commerce. Il Garante della Privacy ha vietato la profilazione senza consenso di gusti e abitudini dei clienti per l’invio di newsletter personalizzate.
La sentenza, ufficializzata nel provvedimento n. 605 del 18 novembre 2015, è stata resa pubblica in seguito alla segnalazione di un utente riguardo al trattamento illecito di dati da parte di un’importante società di vendita on line di biglietti per spettacoli e manifestazioni sportive.
La società raccoglieva dati personali attraverso tre diversi siti web ed agiva aggirando le regole già esistenti in materia. Per poter procedere all’acquisto on line, era infatti obbligatorio per l’utente dare il consenso al trattamento dei propri dati per scopi promozionali. La richiesta era già preselezionata e unica per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società. L’unica scelta concessa era quella di deselezionare il consenso, ma tale procedura risultava comunque contraria alla normativa in vigore, la quale non prevede la predisposizione di “check box” di acquisizione del consenso precompilate con un flag e che indica che per marketing, profilazione e cessione a terzi sia sempre necessario acquisire consensi separati.
La società svolgeva anche un’ulteriore attività di profilazione senza consenso utilizzando un software per l’invio di newsletter personalizzate, costruite a partire dai dati relativi agli ordini dei clienti, anche se non finalizzati. Inoltre, non aveva provveduto ad adempiere all’obbligo di notificazione previsto dal Codice per l’attività di profilazione e non aveva nemmeno stabilito il tempo di conservazione dei dati personali raccolti tramite i tre siti.
Nel provvedimento che ne è conseguito, il Garante della Privacy si è dunque pronunciato vietando l’uso dei dati dei clienti acquisiti illecitamente e ha prescritto alla società di adottare tutte le misure necessarie in materia indicate dalle disposizioni del Codice sulla Privacy.
La società è stata obbligata, in particolare, ad integrare l’informativa, specificando le aziende e le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali e ha dovuto, di conseguenza, informare i soggetti ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati. Infine, le è stato chiesto di prevedere i tempi di conservazione dei dati e, alla scadenza, di provvedere alla loro cancellazione o all’anonimizzazione permanente.
Questa pronuncia dell’Autorità ha voluto, quindi, cercare di far ordine nel mondo dell’e-commerce, stabilendo delle regole condivise a partire da un caso specifico e cercando di creare maggiori tutele per il consumatore.
