Il Garante, con recente ordinanza, ha ingiunto ad una società di e-commerce il pagamento della somma di Euro 62.000,00.
La sanzione trae origine da una segnalazione pervenuta all’Autorità, con cui veniva lamentato un illecito trattamento di dati personali posto in essere dall’ingiunta che, attraverso il proprio sito web, avrebbe raccolto i dati personali del segnalante, conferiti per l’acquisto on line di biglietti.
Il Garante, delegati al Nucleo privacy della Guardia di finanza gli opportuni accertamenti, ha dichiarando l’illecito il trattamento dei dati personali effettuato per mezzo dei citati siti internet in assenza di un consenso libero, specifico e informato.
La società, infatti, raccoglieva i dati personali degli utenti, chiedendo loro un consenso per il trattamento dei dati preselezionato e unico per varie finalità, fra cui marketing e comunicazione dei dati a terzi per analoghe finalità; inoltre è risultato che la società non indicava nell’informativa resa agli utenti alcune attività effettivamente svolte (ovvero invio di e-mail promozionali per conto proprio e per conto terzi, profilazione, comunicazione dei dati a soggetti terzi per finalità promozionali) e raccoglieva tali dati richiedendo un consenso preselezionato e unico rispetto alle suindicate diverse finalità.
Infine alla società è stato contesto di aver utilizzato un software finalizzato all’invio di newsletter personalizzate, utilizzando i dati “relativi agli ordini effettuati dai clienti” e “i dati di navigazione degli stessi sul sito”, nonché di una piattaforma destinata all’invio di e-mail degli utenti “sulla base dei prodotti inseriti nel proprio carrello e il cui ordine non è stato finalizzato”; rispetto a tale attività, a detta del Garante, la società non avrebbe provveduto ad adempiere all’obbligo della notificazione al Garante, ai sensi degli artt. 37 e 38 del Codice.
Con relativo verbale l’Autorità ha quindi contestato la violazione degli artt. 13, 28, 161, 162 comma 2 bis e 163 del Codice.
Nel provvedimento di ingiunzione il Garante afferma che:
“le argomentazioni addotte non permettono di escludere la responsabilità della parte in relazione a quanto contestato. L’esame della documentazione agli atti del fascicolo, comprensiva delle dichiarazioni rese dalla parte nel corso degli accertamenti ispettivi e di quanto successivamente prodotto con lo scritto fatto pervenire al Nucleo privacy della Guardia di finanza, permette di rilevare diversi profili di criticità in ordine ai trattamenti di dati posti in essere dalla società. Si rileva che la modalità di acquisizione del consenso relativa al perseguimento di altre finalità, ulteriori rispetto a quella di registrazione al sito al fine di usufruire dei servizi offerti, non risulta conforme alle disposizioni del Codice. Infatti, tale formula di consenso, oltre ad essere preselezionata sulla dicitura “Accetto”, è comprensiva sia dell’autorizzazione al trattamento per finalità di marketing sia dell’autorizzazione all’eventuale comunicazione a terzi. Trattasi di finalità diverse tra loro che, come tali, richiedono, ciascuna, una specifica manifestazione del consenso da parte dell’utente. Con riferimento, poi, al sito (omissis) si osserva come sia stato rilevato lo svolgimento dell’attività di profilazione mediante l’invio di newsletter ed e-mail personalizzate. Anche in tal caso, sarebbe stato necessario prevedere uno specifico consenso da parte dell’utente al perseguimento di tale finalità, che, tra l’altro, non veniva menzionata nel testo dell’informativa tra quelle perseguite. Tale circostanza spiega perché sia stata contestata alla società anche la violazione dell’art. 13 del Codice per inidoneità dell’informativa resa all’interessato.
Un altro aspetto particolarmente rilevante riguarda la comunicazione dei dati alla società (omissis). La dichiarazione resa dalla parte negli scritti difensivi, secondo cui il contratto di monetizzazione con la citata società non si sarebbe concluso e che, quindi, nessuna comunicazione dei dati sarebbe stata attuata, non trova riscontro nella documentazione prodotta. Infatti, nella nota inviata dalla parte il 5 novembre 2014, alla quale è stato allegato il contratto di monetizzazione recante la data del 15 novembre 2013, si fa più volte riferimento all’avvenuto invio dei dati degli utenti alla società spagnola e viene dettagliatamente descritta la procedura di coobranding esistente tra le due società. Pertanto, sulla base degli elementi a disposizione, si deve ritenere che la cessione dei dati alla (omissis) sia effettivamente avvenuta.
Per quanto riguarda la violazione dell’art. 13 del Codice, l’inidoneità dell’informativa si riferisce, in alcuni casi, all’erronea indicazione di finalità di fatto non perseguite. E’ il caso delle informative predisposte in calce ai form di iscrizione alla newsletter, “Diventa punto vendita”, “Contatti” e “Lavora con noi”, presenti sul sito www.bookingshow.it, dove vengono indicate le finalità di “marketing, statistiche e promozionali con comunicazione dei dati a soggetti terzi” che, come dichiarato dalla parte, non sono poste in essere in quanto “l’unica finalità è dare soddisfacimento alle richieste per cui l’utente compila i predetti form”. L’informativa posta in calce al sito (omissis), come già accennato, risulta inidonea perché incompleta nell’indicazione delle finalità perseguite (nel caso specifico, manca l’indicazione della finalità della profilazione).
Quanto all’ultima osservazione formulata dalla parte, in ordine all’applicazione dell’art. 8 della legge n. 689/1981, si rileva che presupposto applicativo del concorso formale è “l’unicità dell’azione o omissione”. Nel caso di specie, dunque, si osserva come le fattispecie contestate (artt. 13, 23 e 37) siano sostanziate da condotte diverse, non collegate tra loro, poste in essere dal titolare del trattamento attraverso diversi siti internet (sul punto vedasi ordinanza del 30 dicembre 2011 pubblicata sul sito www.garanteprivacy.it [doc. web. 1892823]);
RILEVATO, pertanto, che (omissis), in qualità di titolare del trattamento ai sensi dell’art. 28 del Codice:
– ha effettuato un trattamento di dati personali per mezzo del sito web (omissis), rendendo un’informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita (marketing e comunicazione di dati a terzi), in violazione degli artt. 13 e 23 del medesimo Codice;
– ha effettuato un trattamento di dati personali per mezzo del sito web (omissis), raccogliendo un consenso unico e obbligatorio in relazione alle finalità di marketing e di comunicazione dei dati a terzi, in violazione dell’art. 23 del medesimo Codice;
– ha effettuato un trattamento di dati personali per mezzo del sito web (omissis)rendendo un’informativa inidonea e omettendo di acquisire un consenso specifico in relazione a ciascuna finalità perseguita (profilazione, comunicazione di dati a terzi), in violazione degli artt. 13 e 23 del medesimo Codice;
– ha effettuato attività di profilazione mediante il sito web (omissis) senza aver effettuato la notificazione al Garante, ai sensi degli artt. 37 e 38 del medesimo Codice”