Piattaforma di dating e trattamento dati sull’orientamento sessuale: sanzione del Garante

Il Garante sanziona la piattaforma di dating on line perché tratta dati relativi all’orientamento sessuale degli utenti senza il necessario consenso.

Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni: I ricorsi al Garante della privacy

1. I fatti

Il Garante per la protezione dei dati personali aveva effettuato d’ufficio un’attività di controllo nei confronti di una società che gestisce una piattaforma di dating on line, volta a consentire agli utenti registrati la ricerca di potenziali partner sul territorio nazionale, al fine di verificare il trattamento dei dati personali relativi agli utenti della piattaforma.
Dagli accessi effettuati durante l’attività di controllo e dalle dichiarazioni della società emergeva che:
–       la società gestisce un sito di incontri, previa registrazione e pagamento di un abbonamento, cui sono presenti oltre 4.700.000 utenti (di cui circa 9.000 hanno un abbonamento attivo);
–       in sede di registrazione degli utenti, la società raccoglie i dati personali degli utenti relativi a interesse di incontro, nazione, regione e città di provenienza, data di nascita, email, nickname, password e, successivamente alla registrazione, altri dati facoltativi quali altezza, peso, colore dei capelli e degli occhi, professione, titolo di studio, interessi personali;
–       l’indirizzo email fornito in sede di registrazione viene verificato attraverso l’invio di una email di conferma;
–       i dati di registrazione sono conservati finchè l’utente non li cancella, mentre la società provvede a cancellare autonomamente gli account non più attivi sulla base di criteri di scelta di volta in volta definiti dalla società;
–       i dati relativi agli utenti che hanno effettuato una prova gratuita della piattaforma, senza fare un abbonamento, sono conservati potenzialmente senza alcun termine di durata;
–       vi sono circa 1.200.000 utenti che hanno effettuato l’ultimo accesso prima del 1 gennaio 2012;
–       le foto di alcuni utenti cancellati risultavano comunque conservate dalla società. 
Conseguentemente, il Garante notificava alla società la comunicazione di avvio del procedimento sanzionatorio nei suoi confronti e la invitava a inviare le proprie memorie difensive.
La società si difendeva sostenendo che le suddette fotografie trovate sui sistemi della piattaforma non erano qualificabili come dati personali, in quanto inidonee a identificare anche indirettamente delle persone fisiche perché le stesse erano collegate unicamente a dei numeri ID relativi a utenze eliminate e quindi non associabili in alcun modo a profili utenti. In secondo luogo, la società faceva presente di essersi attivata per allinearsi alla normativa in materia di trattamento dei dati personali, avendo introdotto nel form di registrazione degli utenti al sito una spunta per consentire agli utenti di prestare il loro consenso al trattamento dati, nonché di aver conformato il contenuto dell’informativa privacy alle disposizioni di legge. Inoltre, la società faceva presente di aver individuato il periodo massimo di conservazione dei dati personali e di aver cancellato i profili degli utenti il cui ultimo accesso risaliva ad una data anteriore al 1.1.2013. Infine, la società faceva presente di aver implementato le misure di sicurezza, tramite l’installazione di un firewall, nonché di aver redatto il registro dei trattamenti ed aver effettuato la valutazione di impatto, oltre ad avere in corso la selezione di un soggetto da nominare quale data protection officer.
Per avere un quadro completo sui ricorsi al Garante della privacy, si consiglia il seguente volume il quale affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali e le relative sanzioni:

2. Piattaforma di dating e trattamento dati su orientamento sessuale: la valutazione del Garante

All’esito dell’istruttoria effettuata nei confronti dei trattamenti posti in essere dalla società, il Garante ha ritenuto che i trattamenti da questa compiuti hanno riguardato circa 1 milione di utenti ed anche delle categorie particolari di dati (in particolare, le informazioni idonee a rivelare l’orientamento e la vita sessuale degli utenti).
A tal proposito, il Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che le categorie particolari di dati, fra cui le informazioni relative alla preferenze e agli orientamenti sessuali degli utenti, possono essere trattati solo in presenza di alcuni specifici presupposti individuati dalla predetta normativa, tra cui – per quanto di interesse nel caso di specie – il consenso esplicito dell’interessato. Tuttavia, dall’istruttoria effettuata, è emerso che nel caso di specie non vi era il predetto consenso, né sussistevano gli altri presupposti previsti dalla legge.
In secondo luogo, il Garante ha accertato che, al momento di adesione al servizio di dating, la società non ha fornito agli utenti le informazioni privacy idonee a comprendere le caratteristiche del trattamento dati posto in essere dalla piattaforma. Infatti, l’informativa presente sul sito risultava in parte lacunosa e inadeguata e in parte totalmente carente di alcune informazioni necessarie.
In terzo luogo, dall’istruttoria è emerso che la società non aveva individuato le tempistiche di conservazione dei dati personali trattati, ma si limitava a cancellare gli account, in base a dei criteri di inattività degli stessi dalla medesima di volta in volta stabiliti ed in alcuni casi i dati personali dell’utente restavano nella piattaforma anche dopo la cancellazione dell’utenza. Sul punto, il Garante ha ricordato che i dati personali devono essere conservati in modo da consentire l’identificazione dell’interessato per un arco di tempo non superiore a quello necessario a conseguire le finalità del trattamento e che è onere del titolare del trattamento valutare la durata del trattamento necessaria in base alle specifiche finalità stabilite al momento della raccolta, in modo tale che il periodo di conservazione sia limitato al minimo necessario.
Per quanto riguarda le difese della società, relative al fatto che le fotografie rivenute nel database al momento del controllo non fossero riconducibili a dei profili e quindi a delle persone fisiche, il Garante ha opposto che le fotografie contengono per propria natura degli elementi caratteristici dei tratti fisici dell’individuo ivi raffigurato che sono in grado di consentire l’identificazione dell’individuo medesimo (anche se non sono associate ai dati anagrafici di quest’ultimo).
Per quanto riguarda, invece, le tempistiche di conservazione dei dati contenute nel registro dei trattamenti redatto dalla società dopo l’inizio del procedimento del Garante, quest’ultimo ha ritenuto che dette tempistiche non rispettano il principio di limitazione della conservazione dei dati poc’anzi richiamato. Infatti, la società ha previsto un periodo di conservazione di 10 anni per tutte le tipologie di dati personali trattati. Invece, secondo il Garante, vi dovrebbero essere delle tempistiche differenziate in base alla tipologia di informazioni trattate (per esempio 10 anni è un termine di conservazione eccessivo per le informazioni relative all’orientamento sessuale dell’utente).
In quarto luogo, il Garante ha ritenuto che l’istruttoria ha fatto emergere che le misure di sicurezza adottate dalla società non fossero in linea con le disposizioni normative in materia di privacy e in particolare non erano idonee a garantire l’integrità e la riservatezza dei dati personali. Secondo il Garante, tenuto conto della peculiare tipologia di servizio erogato dalla piattaforma e pertanto che i dati personali degli utenti hanno ad oggetto anche informazioni di natura estremamente sensibile in quanto atte a rilevare le preferenze e l’orientamento sessuale degli interessati, i trattamenti richiedono delle misure di sicurezza proporzionate ai rischi connessi, quali misure adeguate di conservazione dei dati personali degli utenti, di policy di cancellazione, di sistemi strutturati per il back-up e il disaster recovery, di presidi di sicurezza fisica, informatica e infrastrutturale.
Infine, il Garante ha accertato che la società non aveva redatto il registro dei trattamenti (e che anche quello redatto dopo l’inizio del procedimento non è conforme alla normativa privacy), non aveva compiuto la valutazione d’impatto (obbligatoria in considerazione del numero di utenti coinvolti e dei relativi dati trattati) e non aveva nominato il DPO (anch’esso obbligatorio per la enorme mole di dati trattati).

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto che il trattamento dei dati posto in essere dalla società fosse illecito, in quanto in violazione dei principi di liceità, correttezza e trasparenza, di limitazione della conservazione, di responsabilizzazione e di integrità e riservatezza, nonché in quanto in violazione degli obblighi di redigere il registro delle attività di trattamento, di effettuare una valutazione di impatti e di designazione del DPO. Secondo l’Autorità, inoltre, la gravità dell’illecito di cui sopra è ancora più rilevante tenendo conto del fatto che la condotta illecita è proseguita per 16 anni (cioè dalla creazione della piattaforma nel 2007 fino all’inizio del procedimento sanzionatorio del Garante nel 2023) e ha riguardato circa un milione di soggetti interessati.
Conseguentemente il Garante ha ritenuto necessario applicare nei confronti della società sia delle misure correttive, sia una sanzione pecuniaria.
Per quanto concerne l’esercizio dei poteri correttivi, il Garante ha ingiunto alla società:
1)     di individuare adeguate tempistiche di conservazione delle informazioni personali trattate, distinte per categorie di dati e per specifiche finalità dei trattamenti posti in essere;
2)     una volta previsti tempi di conservazione proporzionati alle diverse finalità dei trattamenti effettuati, di cancellare definitivamente i profili utenti che risultano superare i termini ivi individuati, avendo cura di rimuovere tutti i dati personali ad essi relativi;
3)     di verificare la presenza nel backend del sito e nel file system di dati personali, anche in forma non strutturata, associati a profili utente non più esistenti, e procedere all’immediata cancellazione degli stessi;
4)     di redigere la valutazione d’impatto conformemente alle indicazioni previste dall’art. 35 del GDPR, individuando nel dettaglio le misure approntate dal titolare per affrontare i rischi dei trattamenti posti in essere dalla piattaforma;
5)     di adottare un sistema di Identity and Access Management, per individuare profili e ruoli dei soggetti che operano sul sito e sui sistemi utilizzati dalla società;
6)     di adottare misure specifiche a protezione dei dati particolari trattati dalla Società, quali, ad esempio misure di cifratura o di pseudonimizzazione di tale tipologia di dati;
7)     di conservare i dati particolari trattati dalla società in una partizione del back-end del sito ad accesso riservato ad un numero ristretto di soggetti;
8)     di prevedere un corretto sistema di tracciatura delle operazioni effettuate sui dati e sui sistemi utilizzati dalla Società;
9)     di dotare i log file di marche temporali e di controlli di integrità a garanzia della loro inalterabilità e autenticità;
10)  di adottare una procedura formalizzata per la cancellazione dei profili degli utenti, anche quando presenti sul sito per la sola prova gratuita, che preveda la verifica della cancellazione di tutti i dati ad essi relativi;
11)  di adottare sistemi di intrusion detection and prevention, al fine di individuare le attività dannose sui sistemi e l’esecuzione di codice malevolo, nonché gli eventuali tentativi di accesso non autorizzato, adottando le necessarie contromisure.
Per quanto riguarda, invece, la sanzione amministrativa pecuniaria, il Garante, nella sua quantificazione ha tenuto in considerazione vari aspetti. In primo luogo, la rilevante gravità delle violazioni poste in essere dalla società, tenuto conto sia la stessa natura delle violazioni (concernenti l’inosservanza dei principi generali del trattamento) sia l’elevato numero di interessati coinvolti (circa un milione) e la lunga durata delle violazioni medesime (continuate per ben 16 anni). In secondo luogo, ha tenuto conto del grado di responsabilità della società, che non ha adottato degli strumenti di sicurezza adeguati nella gestione dei dati (anche relativi alle categorie particolari di cui al GDPR) trattati nella piattaforma. In terzo luogo, la natura “sensibile” di una parte dei dati trattati, in quanto relativi alla vita e all’orientamento sessuali degli interessati. Dal punto di vista delle circostanze attenuanti, invece, il Garante ha valutato il fatto che il titolare abbia adottato alcune misure per mitigare le conseguenze della violazione ed abbia cooperato attivamente con il Garante durante il procedimento sanzionatorio nonché infine che non vi erano dei precedenti a carico della società.
Sulla base della ponderazione di tutti sopra indicati elementi e tenendo altresì conto delle condizioni economiche del titolare del trattamento (individuate in base al volume di affari della società rinvenibile dell’ultimo bilancio depositato), il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in ben €. 200.000 (duecentomila).