Siti di e-commerce: per la profilazione serve il consenso

14/12/2015
di Silvia Calissi

Nell’ultima newsletter, il Garante della Privacy rende noto il divieto di profilazione di gusti e abitudini dei clienti a fini marketing, senza un appropriato consenso.

Il contesto e la pronuncia del Garante

L’Autorità Garante ha emanato un recente provvedimento con cui vieta ad un’importante società di e-commerce, specializzata nella fornitura di biglietti entertainment e nell’e-commerce di prodotti di marca, di utilizzare dati di centinaia di migliaia di persone trattati in modo illecito.

A seguito degli accertamenti ispettivi, l’Autorità ha rilevato due procedure non conformi alla normativa.

privacy_28244313_xxlIn primo luogo, la società raccoglieva i dati personali da un sito operativo in più lingue straniere destinato ad utenti di Paesi Ue e Extra UE. Complessivamente, i dati raccolti provenivano da tre siti internet con un generico consenso, preselezionato e unico per diverse finalità, comprese quelle di attività di marketing e comunicazione per scopi commerciali svolte da società terze. Procedimento contrario alla normativa, in quanto il consenso al trattamento deve essere acquisito in modo libero, informato e deve essere specifico per ciascuna finalità.

In secondo luogo, il consenso richiesto non prevedeva l’attività di profilazione che la società invece effettuava attraverso un software, elaborando dati relativi agli ordini processati, nonché ai prodotti semplicemente selezionati dai clienti nel carrello personale, con lo scopo di personalizzare le newsletter commerciali.

Tale attività, peraltro, non era stata notificata al Garante come previsto dal Codice Privacy, né prevedeva un termine della conservazione di tali dati.

Il Garante, dunque, oltre a disporre il divieto di uso dei dati dei clienti acquisiti illecitamente, ha prescritto alla società di adottare misure necessarie e opportune al fine di rendere i trattamenti conformi alle disposizioni del Codice, e in particolare:

  • di integrare l’informativa resa agli utenti, specificando le aziende, o le loro tipologie merceologiche, alle quali intende comunicare i dati per le finalità promozionali;
  • di informare le aziende alle quali i dati erano già stati comunicati o ceduti, che non potranno utilizzarli senza aver acquisito appropriato consenso degli interessati.
  • di prevedere tempi certi di conservazione dei dati e, alla scadenza, avviare il processo per la loro cancellazione o anonimizzazione.

Infine il Provvedimento ricorda il mancato riscontro a tali richieste, ex art. 157, è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Quali regole per la profilazione?

ConsensoLa profilazione è utilizzata per suddividere l’utenza in gruppi di comportamento, al fine di operare azioni commerciali di marketing mirato. Le raccolte di dati finalizzate alle analisi dei profili di clienti e prospect, sono regolamentate dal Garante e il recente Provvedimento è un’utile occasione per ribadire le corrette pratiche da intraprendere prima di realizzare qualunque attività di raccolta dati destinata alla profilazione dell’utenza:

  • Rendere un’Informativa
  • Acquisire il Consenso al trattamento secondo le modalità previste
  • Garantire l’esercizio dei diritti dell’interessato
  • Formalizzare nomine ai Responsabili agli incaricati del trattamento
  • Predisporre la Notifica del trattamento
  • Eventualmente, richiedere una Verifica Preliminare
  • Regolamentare il trasferimento di dati all’estero
  • Rendere un’informativa in caso di trattamento di cookies profilanti

Oltre alle conseguenze amministrative, e penali nei casi più gravi, questo intervento del Garante ben evidenzia uno dei fattori che dovrebbe suggerire alle imprese la necessità di operare in conformità: i dati raccolti in modo illecito non possono essere utilizzati. Un danno, tutt’altro che collaterale, che si aggiunge a quelli di immagine ed economici.

Riproduzione riservata ©

ALTRE NEWS

ADS Relazione annuale in scadenza: termine ultimo del 15 dicembre 2019

Come ogni anno, si ricorda che entro e non oltre il termine del 15 dicembre 2019, in osservanza degli obblighi derivanti dal Provvedimento del 27… Leggi Tutto

Cancellazione apparente dei dati: conseguenze penali e civili

Nella gestione di un sistema informatico, la cancellazione di un file è una delle attività, apparentemente, più sicure e più facili da realizzare. Utilizzando, infatti,… Leggi Tutto

Il data breach nel contesto sanitario

Anche se la maggior parte delle azioni legali collettive intraprese negli Stati Uniti, collegate al data breach, falliscono un caso ha di certo dimostrato che… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.