Il trattamento dei dati sensibili richiede il consenso scritto
Home » News » Focus

Il trattamento dei dati sensibili richiede una specifica informativa e il consenso scritto dell’interessato

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.378 del 6 giugno 2018

riferimenti normativi: artt. 13 e 26 del Codice in materia di protezione dei dati personali;

Fatto

Nell’ambito del programma ispettivo semestrale disposto dal Garante per la protezione dei dati personali, il nucleo speciale privacy della Guardia di finanza aveva eseguito dei controlli nei confronti di una Società operante nel campo della vendita a domicilio, a seguito dei quali aveva contestato alla stessa la violazione delle norme contenute nel codice per la protezione dei dati personali in materia di (i) informativa del trattamento dei dati personali; (ii) informativa del trattamento dei dati sensibili idonei a rivelare lo stato di salute degli interessati, nonché, sempre in argomento, l’acquisizione del consenso scritto per i trattamenti di dati sensibili idonei a rivelare lo stato di salute degli interessati.
In particolare, la Guardia di Finanza una volta appurato che la Società risultava essere titolare del trattamento dei dati personali dei clienti, da essa raccolti sia in fase di commercializzazione dei prodotti offerti per mezzo degli incaricati alle vendite, sia attraverso il sito internet di cui è proprietaria, ha constatato alcune difformità nel trattamento posto in essere attraverso i dati raccolti dal sito internet, in particolare l’assenza di un’informativa al trattamento dei dati personali.
In specie la Guardia di finanza aveva constato che sui form di contatto per la raccolta dei dati personali presenti sulle pagine internet “diventa consulente” e “come acquistare” era presente una casella recante la dicitura “confermo di aver letto e compreso l’informativa privacy” che però non rimandava ad alcun testo dell’informativa.
Infine, in occasione dell’ispezione, l’Autorità competente in riferimento alla natura dei dati trattati per lo svolgimento delle attività commerciali aveva appurato che la Società, nel caso in di vendita di sussidi tecnici in regime di aliquota I.V.A. agevolata prevista per persone portatrici di handicap, raccoglieva informazioni e documenti idonei a rilevare lo stato di salute del cliente senza dare idonea informativa e senza acquisire il previsto consenso in forma scritta da parte degli interessati.
La Società, a seguito dell’avvenuta ispezione e successiva contestazione degli addebiti, aveva presentato le proprie giustificazioni in riferimento alle diverse violazioni a lei imputate. Con riguardo alla carenza di informativa del sito internet, la Società aveva sostenuto che seppur l’informativa non era consultabile nei singoli form, essa era comunque presente sul sito e in tutti i form del sito stesso. Ciò detto, la Società aveva scongiurato una possibile raccolta dei dati effettuata all’insaputa dell’interessato e per finalità che eccedono il riscontro alla richiesta formulata dall’interessato stesso, assicurando che l’interessato, fornendo il proprio recapito, riceveva un messaggio di conferma con i riferimenti all’informativa sul trattamento dei dati personali.
Con riguardo al trattamento dei dati sensibili e l’inidoneità dell’informativa adottata, la Società aveva specificato di non aver mai praticato attraverso i dati raccolti mediante il sito internet o i moduli cartacei nessuna attività di trattamento con finalità di marketing strutturato o di campagne di email marketing massivo. La Società aveva assicurato che i dati raccolti erano stati sempre utilizzati per finalità contabili, amministrative e contabili o per fornire riscontro a specifiche richieste formulate dagli interessati stessi.
Mentre in riferimento alla mancata acquisizione del consenso per il trattamento dei dati sensibili idonei a verificare lo stato di salute, la Società si era difesa sostenendo che i trattamenti dei dati sensibili da essa eseguiti si limitavano a dare riscontro alle richieste degli interessati e come tali rientravano nei casi nei quali il consenso dell’interessato non era necessario per il legittimo trattamento dei dati, essendo quest’ultimo strumentale all’esercizio di un diritto da parte dell’interessato e al conseguente obbligo da parte del titolare.

La decisione del Garante

Il Garante, valutate le argomentazioni addotte dalla Società in difesa delle accuse mosse, ha ritenuto accertate le violazioni imputate riconoscendo, dunque, una responsabilità della Società, e ritenendo la condotta poste in essere contrarie alle norme disposte dal Garante a tutele dei dati personali e sensibili degli interessati. Ha, quindi, condannato la Società al pagamento di una sanzione amministrativa.
In specie l’Autorità giudicante, tenuto conto di quanto emerso dall’ispezione e quanto dalle giustificazioni offerte dalla Società, ha confermato che i trattamenti dei dati personali effettuati dalla Società mediante il sito internet sono stati svolti senza che fosse stata rilasciata dal titolare del trattamento idonea informativa. Infatti il Garante ha appurato che non solo la dicitura riportata nel form delle due pagine di cui sopra non rimandava a nessun testo di informativa privacy, ma non risultava presente nessuna informativa neanche nelle pagine del sito. Vi era solo un documento, denominato privacy policy, che si occupava esclusivamente dei dati di navigazione, o comunque anonimi e non di quelli acquisibili tramite i form presenti sul sito web.
Con riferimento al trattamento dei dati sensibili idonei a rivelare lo stato di salute degli interessati, l’Autorità giudicante ha ribadito che il trattamento di questi dati necessita dell’acquisizione del consenso in forma scritta degli interessati e di una specifica informativa, ritenendo che nel caso di specie non è stata dimostrata l’acquisizione di detto consenso. I documenti presentati, infatti, si riferivano a modelli standard di informativa e di acquisizione del consenso per i trattamenti aventi finalità promozionali, e dunque il Garante non ha potuto che concludere nel senso che la Società aveva posto in essere un trattamento dei dati sensibili in carenza del consenso.

Potrebbe interessarti anche: “Legittima estensione nel tempo dei dati personali.

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it