No del Garante alla profilazione, senza consenso, di gusti e abitudini dei clienti finalizzata all’invio di newsletter personalizzate.
Vietata la profilazione senza consenso di gusti e abitudini dei clienti finalizzata all'invio di newsletter personalizzate: è quanto affermato dal Garante privacy in un provvedimento con cui ha vietato ad una società di e-commerce l'illecito trattamento dei dati di centinaia di migliaia di persone.
Il caso. Dagli accertamenti ispettivi svolti dall'Autorità, era emerso che la società raccoglieva dati personali attraverso tre siti, uno dei quali operativo in più lingue straniere e destinato sia ad utenti di Paesi UE, sia ad utenti di Paesi extra UE.
La società, però, richiedeva un consenso «preselezionato e unico» per più finalità, comprese quelle di marketing e comunicazione dei dati ad altre società per scopi commerciali - anche se l'utente poteva deselezionare il consenso e procedere alla registrazione al sito -, in contrasto con quanto previsto dalla normativa.
La società, poi, svolgeva, sempre senza consenso, anche un'attività di «profilazione», utilizzando un software per l'invio di newsletter personalizzate, “generate” elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello senza che l'ordine venisse finalizzato. Per l'attività di profilazione, infine, la società non aveva adempiuto l'obbligo di notificazione al Garante previsto dal Codice, né aveva stabilito le tempistiche di conservazione dei dati personali raccolti tramite i siti.
No alla profilazione senza consenso. In esito agli accertamento svolti, pertanto, il Garante ha disposto il divieto di uso dei dati dei clienti acquisiti illecitamente e ha prescritto alla società di adottare, nel termine di sessanta giorni, le misure necessarie al rispetto delle disposizioni del Codice privacy.
Nello specifico, la società dovrà «integrare l'informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali» e «informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati»; infine, la società dovrà «prevedere tempi di conservazione dei dati e, alla scadenza, provvedere all'immediata cancellazione o all'anonimizzazione permanente».
12-12-2015 14:21
Richiedi una Consulenza