SITI INTERNET E PRIVACY: sotto osservazione del Garante la liceita del trattamento dati nei siti internet

Garante Privacy, provvedimento del 18/11/2015 [doc. web n. 4487559]

È stato un anno denso di novità per i siti internet e i trattamento dati.

Nel mese di maggio il Garante ha pubblicato "Linee guida in materia di trattamento di dati personali per profilazione on line" e nel mese di giugno tra mille dubbi, molti chiarimenti e qualche polemica è entrato in vigore il provvedimento c.d. sui cookie law.

A conclusione di questo anno, molto impegnativo per la privacy dei siti internet, il Garante ha emesso un importante provvedimento Inibitorio e Prescrittivo  per una rinomata società di fornitura di biglietti on-line per spettacoli teatrali, concerti, manifestazioni sportive ed e-commerce di prodotti anche di brand molto famosi.

In generale le violazioni riguardano tutte quanto previsto dalle Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013, importante documento spesso però dimenticato dalle aziende e da chi si occupa di comunicazione e siti internet.

Il Garante ha ritrovato tre importanti violazioni nei siti internet sotto accusa.

1. Il form di registrazione ai siti internet con cui si raccoglievano i dati personali degli utenti riportava un unico “flag” di consenso per varie  finalità tra cui marketing e comunicazione a soggetti terzi per analoghe finalità. Non solo i consenso era unico, ma era anche preselezionato, pur consentendo la possibilità di deselezionare lo stesso consenso.

Quindi, non vanno bene un unico consenso né la preselezione.

2. Il Titolare, inoltre, nel corso dell’Ispezione della Guardia di Finanza ha ammesso di fare uso di un software finalizzato all'invio di newsletter personalizzate, utilizzando i dati  "relativi agli ordini effettuati dai clienti" e "i dati di navigazione degli stessi sul sito", nonché di una piattaforma destinata all'invio di e-mail agli utenti "sulla base dei prodotti inseriti nel proprio carrello e il cui ordine non è stato finalizzato".

Tale attività è attività di profilazione, per la quale però non si è provveduto ad adempiere all'obbligo di notificazione disciplinato dagli artt. 37 e 38 del Codice, oltre a non acquisire il consenso in maniera lecita.

3. Infine, è risultato che il Titolare comunicava ad un soggetto terzo i dati raccolti sui propri siti per lo svolgimento di finalità promozionali nell'ambito di un accordo commerciale di "coobranding".
Di tale attività non veniva data idonea informativa all’utente e non veniva richiesto alcun consenso.

Per l’azienda coinvolta un duro colpo.

Oltre alla sanzione, nel provvedimento non quantificata, il Garante ha bloccato il trattamento dei dati personali acquisiti illecitamente di oltre 300mila Clienti, ha prescritto un termine di 60 giorni l’adozione di tutte quelle misure necessarie al fine di rendere conforme al Codice Privacy il proprio modello di business e, infine, ha subito un davvero rilevante danno all’immagine.

I siti internet sotto accusa sono indicati in chiaro nel Provvedimento e anche il titolare del trattamento.

Pensate quale ricaduta può avere una pubblicità negativa come questa per un sito e-commerce.

Un’ultima considerazione.

Il controllo dei siti internet è nei fatti un controllo molto semplice per lo stesso Garante. È sufficiente un collegamento Internet e un dispositivo per navigare e controllare informative, form di acquisizione
dati e moduli di consenso.

Si raccomanda, quindi, di non sottovalutare il problema, ma di esaminare  con attenzione le attività che si decidono di fare e gli adempimenti implementati con una sola regola: la privacy non è un ostacolo alla libera concorrenza, ma l’utente deve esserne informato e poter dare autonomamente il proprio consenso al trattamento dati.