Privacy: le ultime indicazioni del Garante per rispettare il GDPR
In questo ultimo periodo il
Garante Privacy ha pubblicato alcuni interessati provvedimenti in ambito privacy. Decisioni che coinvolgono l'operatività di siti web ed ecommerce e confermano precedenti indicazioni della Autorità.
Ad esempio, il
Garante Privacy ha sanzionato il Gruppo Benetton per il trattamento illecito dei dati dei clienti,
vietato la creazione di un elenco telefonico non autorizzato e respinto la pratica di inviare
email promozionali senza consenso.
Inoltre, è stata
negata la richiesta di diritto all'oblio per un individuo condannato per reati gravi.
Attraverso queste decisioni, il Garante Privacy mira a proteggere i diritti degli utenti e garantire che le aziende rispettino le disposizioni del GDPR e le normative sulla privacy.
Vediamo nel dettaglio cosa ha deciso il Garante.
SOMMARIO
Sanzionato il Gruppo Benetton
Dati presi da elenco telefonico
Email senza consenso
Diritto all'oblio
Conclusioni
Il Gruppo Benetton è stato multato dal Garante Privacy con una sanzione di 240.000 euro per aver trattato in modo illecito i dati personali di un numero significativo di clienti e ex clienti.
Le violazioni più gravi riguardavano la
mancanza di adeguate misure di sicurezza e la
conservazione illimitata dei dati personali per scopi di marketing e profilazione.
I dati dei clienti venivano raccolti attraverso
l'iscrizione al servizio di e-commerce, al
programma fedeltà e alla
newsletter promozionale.
Dopo un'ispezione condotta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza, l'Autorità ha scoperto che l'azienda conservava i dati raccolti tramite le fidelity card, compresi i dettagli degli acquisti effettuati dal 2015, gli scontrini e i punti accumulati, anche per gli ex clienti.
Tali informazioni costituivano un'enorme fonte di valore per attività come l'arricchimento dei dati e la profilazione, che sono sempre più diffuse.
Inoltre, dalle verifiche è emerso che il database gestionale era accessibile a tutti i dipendenti dei negozi del Gruppo, presenti in sette paesi europei, da qualsiasi dispositivo connesso a Internet (computer, smartphone, tablet) utilizzando una singola password e un unico account.
A causa del gran numero di persone coinvolte e della durata considerevole delle violazioni, il Garante ha multato il Gruppo Benetton e ha ordinato all'azienda di adottare tutte le
misure necessarie per conformarsi alla normativa sulla privacy.
In particolare, il Gruppo dovrà
cancellare o anonimizzare i dati degli ex clienti che risalgono a più di dieci anni (salvo eventuali controversie in corso) e implementare soluzioni organizzative adeguate e misure di sicurezza per garantire la corretta conservazione dei dati dei clienti e degli ex clienti, nel rispetto dei principi di finalità e minimizzazione stabiliti dal GDPR.
Il Garante Privacy ha proibito al titolare del sito web "www.trovanumeri.com" di creare e diffondere online un elenco telefonico ottenuto tramite web scraping (ricerca automatizzata sul web) e gli ha imposto di pagare una sanzione di 60.000 euro.
Secondo il quadro normativo attuale, non è consentita la creazione di elenchi telefonici generici che non siano estratti dal DBU, il database unico contenente numeri di telefono e dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.
Negli anni, il Garante ha ricevuto numerose richieste di intervento relative alla pubblicazione non autorizzata di nomi, indirizzi e numeri di telefono, inclusi quelli di utenti con numeri riservati.
Dalle indagini condotte dall'Autorità è emerso che il titolare del sito web non aveva una base normativa idonea per trattare i dati e che mancavano sul sito le indicazioni per contattare il titolare del trattamento, così come non era possibile richiedere la cancellazione dei dati personali in caso di malfunzionamento del modulo apposito.
Anche nell'informativa sulla privacy pubblicata, non veniva indicato il proprietario del sito, il cui riconoscimento ha richiesto lunghe indagini.
Di conseguenza, il Garante ha dichiarato illegali la raccolta, la conservazione e la pubblicazione dei dati personali e ha comminato una sanzione di 60.000 euro.
La ditta individuale aveva già ricevuto una sanzione simile nel 2022 per una violazione analoga.
Nel determinare l'importo dell'ammenda, l'Autorità ha preso in considerazione la gravità della violazione, il gran numero di persone le cui informazioni sono state pubblicate (circa 26 milioni di utenti), la durata della violazione e la natura intenzionale del comportamento del titolare.
Come unico elemento attenuante, il Garante ha considerato le dimensioni economiche del titolare, che è un piccolo imprenditore.
Il Garante Privacy ha chiarito che la presenza di un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l'invio stesso.
Questa precisazione è stata fatta durante l'imposizione di una sanzione di 10.000 euro a un'azienda che ha utilizzato questa pratica per le proprie campagne promozionali indirizzate a numerosi destinatari.
L'intervento dell'Autorità è stato scaturito da un reclamo di un utente che si lamentava di ricevere email promozionali indesiderate, nonostante avesse espresso il suo dissenso e non avesse ricevuto alcuna risposta dalla società.
La società ha cercato di difendersi affermando di aver ottenuto i nominativi da diverse liste pubbliche e che l'invio delle email era rivolto non solo al reclamante, ma anche ad altri professionisti. Inoltre, ha sostenuto che i dati erano stati trattati sulla base di un legittimo interesse.
Il Garante ha ricordato che l'invio di comunicazioni automatizzate è consentito solo con il consenso del destinatario o dell'utente, ad eccezione dei casi in cui l'indirizzo email sia stato fornito dall'interessato nell'ambito di una vendita di beni o servizi simili.
Nel caso specifico, tale eccezione non risultava applicabile, poiché le persone raggiunte dalle attività di marketing non avevano fornito il loro indirizzo nell'ambito di un precedente rapporto contrattuale e non avevano alcuna conoscenza né del titolare né del trattamento dei dati.
Dall'istruttoria è emerso che nessuna email poteva essere inviata né al reclamante né agli altri destinatari senza un consenso adeguato.
Riguardo al link per la disiscrizione presente in fondo all'email, il Garante ha sottolineato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure per limitare i danni, l'invio stesso dell'email è illegittimo.
Considerando l'ampio ambito delle attività di trattamento e il fatto che l'azienda non ha mai dichiarato di aver interrotto tale comportamento limitandosi a cancellare i dati del reclamante, il Garante Privacy ha imposto alla società il divieto di trattare per scopi promozionali tutti i dati presenti nel database oggetto dell'istruttoria, a meno che l'azienda non sia in grado di dimostrare di avere ottenuto un consenso adeguato. Inoltre, ha ordinato alla società di cancellare i dati in questione, ad eccezione di quelli necessari per adempiere a un obbligo di legge o per la difesa di un diritto in sede giudiziaria.
Il Garante Privacy ha respinto una
richiesta di deindicizzazione presentata da un individuo condannato a due anni di reclusione per detenzione di materiale pubblicato da Al-Qaida, il cui processo si è appena concluso e che rimane di interesse pubblico. Il motivo dietro questa decisione è che il diritto all'oblio non si applica a coloro che hanno commesso reati gravi e la cui vicenda giudiziaria è di interesse pubblico.
Nel reclamo presentato al Garante, l'interessato ha chiesto a Google di rimuovere dai risultati di ricerca 18 URL correlati a articoli che riportavano la notizia del suo arresto avvenuto nel 2019 nel Regno Unito per il possesso di informazioni ritenute utili per commettere o preparare un atto terroristico.
Secondo il reclamante, avendo scontato completamente la sua pena e essendo tornato in Italia, la permanenza di tali notizie online gli avrebbe impedito di costruire una nuova vita, trovare lavoro e affrontare le sue responsabilità familiari.
Nel respingere la richiesta, il Garante ha sottolineato che non è possibile procedere alla deindicizzazione di informazioni recenti quando
prevale l'interesse generale all'accessibilità delle notizie a causa della gravità dei comportamenti dell'interessato. Nel caso specifico, il reclamante aveva commesso un reato di grande allarme sociale legato al possesso di materiale appartenente a un'organizzazione terroristica internazionale come Al-Qaida.
Per quanto riguarda il
fattore tempo, che è un altro elemento importante nella valutazione del caso, l'intervallo di pochi mesi dalla conclusione del processo e dalla scontata pena di reclusione è risultato molto limitato, quindi le informazioni non possono essere considerate datate né prive di interesse pubblico.
Questa serie di provvedimenti ci ricorda l'importanza di curare la privacy di siti web, ecommerce a APP nel modo migliore e con
avvocati realmente esperti in privacy.
LegalBlink è un Team di avvocati esperti in ecommerce e privacy, che ha creato nel 2018 LegalBlink, il primo generatore di documenti legale specifico per ecommerce.
Contattaci per sapere come possiamo adeguare la tua azienda al GDPR, evitando così sanzioni del Garante Privacy e contestazioni degli utenti.
LegalBlink