Garante per la protezione dei dati personali: provvedimento n. 130 del 12 giugno 2019
Riferimenti normativi: art. 23, comma 3, del Codice privacy, d.lgs. n. 196/2003
Fatto
A seguito di una segnalazione inoltrata da un soggetto privato, l’Autorità Garante per il trattamento dei dati personali ha avviato un accertamento nei confronti di una multinazionale che produce, tra gli altri prodotti di igiene intima, anche pannolini, per accertare la liceità del trattamento dei dati dei clienti che effettuavano la registrazione sul sito internet del marchio produttore dei pannolini.
In particolare, il soggetto interessato, in riferimento al servizio di registrazione, ha richiamato l’attenzione del Garante su due aspetti che secondo il proprio giudizio contrastavano con la normativa vigente in materia di trattamento dei dati personali.
In primo luogo, ha riferito che al momento della compilazione del form relativo alla raccolta punti venivano richiesti dei dati che, secondo il suo giudizio, erano eccedenti e non pertinenti le finalità di raccolta dei punti dei pannolini.
In secondo luogo, l’interessato ha riferito che per partecipare alla raccolta punti, e dunque per effettuare la registrazione al sito, era obbligatorio prestare il proprio consenso per il trattamento dei dati per finalità di ricezione di comunicazioni promozionali.
A fronte di una tale segnalazione, il Garante aveva avviato una istruttoria preliminare finalizzata ad apprendere le modalità di raccolta dei dati posta in essere dal sito. Da tale istruttoria era emerso che, proprio come segnalato dal reclamante, in sede di registrazione sul sito venivano richiesti agli utenti vari dati personali, tra cui l’indirizzo fisico di residenza, l’indirizzo di posta elettronica, il numero di telefonia fisso e mobile.
Il Garante, sempre nella fase preliminare dell’istruttoria, aveva inoltre appurato che sempre al momento della registrazione sul sito, veniva richiesto all’utente di rilasciare un consenso per finalità promozionali, sondaggistiche e statistiche, come invio di newsletter, analisi statistiche, sondaggi d’opinione, con riguardo al marchio produttore di pannolini. Ed un altro consenso, che doveva essere necessariamente dato al fine di procedere alla registrazione, per finalità promozionali, di invio di newsletter, analisi statistiche, sondaggi d’opinione, con riguardo ad altri marchi, sempre produttori di beni legati all’igiene personale.
Alla luce di quanto emerso da una preliminare fase istruttoria, l’Autorità ha incaricato il nucleo speciale privacy di effettuare degli approfondimenti relativi alle modalità di raccolta dei dati e degli ulteriori trattamenti effettuati dalla Società.
Nel corso delle verifiche, la Stessa, oltre ad aver dichiarato di raccogliere circa 1.600.000 dati personali relativi ai propri clienti mediante i siti web afferenti ad alcuni propri marchi, ha reso noto al Garante che solo sul sito web del marchio produttore dei pannolini vengono richiesti come dati obbligatori il nome ed il cognome del bambino, mentre resta un dato facoltativo l’età dello stesso.
La Società ha specificato che i dati riferiti ai minori vengono cancellati dopo 36 mesi dalla data di raccolta e la finalità della raccolta è legata ad eventuali iniziative promozionali legate al compleanno.
Con riferimento alla raccolta del numero di utenza mobile la Società ha spiegato che tale dato serve per il funzionamento del meccanismo di autenticazione, e per l’invio di messaggi nei limiti delle preferenze impostate dall’interessato, nel suo pannello di controllo privacy, e solo in presenza di espresso consenso in tal senso.
Con riguardo poi ai due aspetti lamentati dall’interessato, ovverosia le modalità di acquisizione dei due consensi richiesti in fase di registrazione al sito di pannolini, la Società ha ammesso che il form di registrazione prevedeva l’obbligatorietà del consenso in ordine alla casella riguardante le finalità promozionali, di invio di newsletter, di analisi statistiche, di sondaggi d’opinione, con riguardo ai diversi marchi produttori di beni relativi all’igiene intima.
La decisione del Garante
Il Garante valutato in primo luogo l’applicabilità al caso di specie delle norme contenute nel codice privacy (d.lgs. n. 196/2003 ), essendo l’accertamento avvenuto nel periodo di vigenza della normativa ante GDPR, si è espresso nel merito della vicenda segnalata, rilevando l’illiceità dei trattamenti posti in essere dalla Società e vietando la prosecuzione del trattamento per finalità promozionali e statistiche dei dati personali raccolti mediante il sito web di pannolini, in assenza di un consenso, degli interessati, libero e specifico per tali distinte finalità, oltre che informato e documentato.
Più precisamente, il Garante sia in ordine alla prima tipologia di consenso richiesto, ovverosia quello finalizzato al trattamento dei dati per finalità promozionali, statistiche e sondaggistiche da parte del marchio produttore dei pannolini, sia in riferimento al secondo consenso, ovverosia quello richiesto per le finalità promozionali, statistiche e sondaggistiche da parte di diversi marchi produttori di beni di igiene intima, ha evidenziato che tale consenso è risultato accomunare indistintamente più diverse finalità, impedendo all’interessato di poter distinguere fra di esse e di fornire il proprio consenso libero e selettivo.
Per tale ragione il Garante ha ritenuto che il trattamento dei dati riferiti agli utenti, raccolti con le modalità verificate durante la fase di accertamento, sia avvenuto in modo illecito.
Il Garante, richiamando sue precedenti pronunce, ha ribadito che la capacità di autodeterminazione degli interessati, e quindi la libertà del consenso che questi sono chiamati a manifestare, è compromessa quando viene richiesto un unico consenso per più diverse finalità di trattamento e quando si assoggetta, la fruizione di un servizio, qual è il programma di raccolta punti, alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse, qual è quella promozionale o quella statistica. Ciò, con la conseguenza che i dati raccolti dal titolare per l’erogazione del servizio vengono di fatto piegati ad una finalità diversa da quella che ne ha giustificato la raccolta, in violazione anche dei principi di correttezza e finalità del trattamento dei dati personali.
Il Garante, poi, ha ricordato che ogni trattamento che comporti l´identificabilità degli interessati, necessita del loro consenso specifico, informato e distinto per ciascuna finalità.
E’ per queste ragioni che il Garante ha ritenuto che la Società abbia raccolto i dati personali dei clienti in modo illecito, perché avvenuto in assenza di un consenso libero e specifico, oltre che informato e documentato, dovendo la Società, qualora intenda effettuare in futuro trattamenti di dati personali per le finalità promozionali e statistiche provvedere a riformulare il form di raccolta dei dati sul proprio sito web, così che venga acquisito dagli utenti un consenso, oltre che informato e documentato, anche libero, specifico e chiaramente formulato con riferimento a tali distinte finalità.
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 18.05 € |
Scrivi un commento
Accedi per poter inserire un commento