Siti web, comunicazioni promozionali e attività di marketing

privacy sui siti web

Nuovo provvedimento inibitorio del Garante Privacy per un’azienda che non ha adottato misure adeguate per rispettare la privacy degli utenti

Necessario il consenso libero, espresso, informato, specifico e documentato per iscritto, per l’invio di comunicazioni promozionali (per conto proprio o di terzi), per attività di profilazione e comunicazione di dati a terzi per fini legati a loro attività promozionali.

E’ questo quello che ribadisce il Garante Privacy nel suo provvedimento sanzionatorio del 10 dicembre scorso, con cui ha vietato la prosecuzione del trattamento dei dati personali a tre siti web appartenenti ad un gruppo aziendale, in quanto, a seguito di indagini espletate dal Nucleo Speciale Privacy della GdF, è risultato che la società, mediante tali siti web, effettuava il trattamento dei dati personali in modo non idoneo a quanto stabilito dalla legge.

Infatti, sul form di registrazione presente sui siti di ecommerce della società, i dati personali degli utenti venivano raccolti, chiedendo loro, per il trattamento dei dati, un consenso preselezionato e unico per varie finalità, fra cui quelle di marketing profilato e comunicazione a soggetti terzi per finalità affini (anche se la società aveva previsto la possibilità per l’utente di deselezionare il predetto consenso e quindi poter procedere comunque alla registrazione al sito), violando, pertanto, gli artt. 13, 23 e 130 del Codice Privacy (D. Lgs. n. 196/2003).

Peraltro, l’informativa, presente sui siti e resa agli utenti, non menzionava chiaramente alcune attività effettivamente svolte con i dati raccolti mediante i siti stessi, attività risultate particolarmente invasive per il diritto alla protezione dei dati degli interessati (ovvero, invio di comunicazioni promozionali, per conto proprio e per conto terzi, mediante e-mail; attività di profilazione; comunicazione dei dati a soggetti terzi per finalità promozionali).

Inoltre, la società comunicava i dati dei suoi clienti a terzi suoi partner commerciali, secondo un accordo di “co-branding”, senza richiedere il consenso espresso e specifico agli utenti stessi per la comunicazione dei dati a terzi soggetti.

Con specifico riferimento all’attività di profilazione, il Garante, nel suo provvedimento, ha ritenuto che per tale attività, la società non ha provveduto ad adempiere all’obbligo di notificazione al Garante, secondo quanto invece stabilito dagli artt. 37 e 38 del Codice, infatti, il software utilizzato dalla società e finalizzato all’invio di newsletter personalizzate, utilizzava i dati  “relativi agli ordini – d’acquisto – effettuati dai clienti” e “i dati di navigazione degli stessi sul sito”, nonché si serviva di una piattaforma destinata all’invio di e-mail agli utenti “sulla base dei prodotti inseriti nel proprio carrello (…)”, conservando, peraltro, i dati trattati, in palese contrasto con l’art. 11 del Codice Privacy, per un periodo di tempo superiore a quello necessario agli scopi per i quali essi erano stati raccolti o successivamente trattati e senza la fissazione del termine massimo entro cui tali dati dovevano essere definitivamente cancellati o resi anonimi.

Ricordiamo che secondo l’art. 23, comma 3, e l’art. 130, commi 1 e 2, del Codice, il trattamento di dati personali da parte dei privati per finalità diverse da quella di erogazione del servizio (o altra finalità di tipo contrattuale) è ammesso solo dopo la previa acquisizione di un consenso dell’interessato espresso, libero, informato e specifico, con riferimento a trattamenti chiaramente individuati e documentato per iscritto, come ribadito dalle “Linee guida in materia di attività promozionale e contrasto allo spam”.

Quindi, salvo alcuni casi come il c.d. “soft spam”, relativo all’invio di e-mail  promozionali destinate ai propri clienti chiaramente informati e finalizzate a promuovere prodotti o servizi analoghi a quelli già acquistati, per cui è sufficiente il consenso già espresso nella fase di acquisto, è necessario sempre chiedere ed ottenere una specifica ed ulteriore autorizzazione al trattamento dei dati personali per l’invio di comunicazioni promozionali relative a prodotti/servizi differenti da quelli già acquistati e farne chiara menzione nell’informativa.

Il Garante, quindi, ha inibito alla società la prosecuzione di tale attività illecita, invitandola ad adottare le misure necessarie e opportune al fine di rendere i trattamenti dei dati personali conformi alle disposizioni del Codice e di fornire riscontro di tale adeguamento e delle relative misure utilizzate all’Autorità stessa entro 60 giorni dall’emanazione del provvedimento.

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy