Siti di e-commerce: per la profilazione serve il consenso

14/12/2015
di Silvia Calissi

Nell’ultima newsletter, il Garante della Privacy rende noto il divieto di profilazione di gusti e abitudini dei clienti a fini marketing, senza un appropriato consenso.

Il contesto e la pronuncia del Garante

L’Autorità Garante ha emanato un recente provvedimento con cui vieta ad un’importante società di e-commerce, specializzata nella fornitura di biglietti entertainment e nell’e-commerce di prodotti di marca, di utilizzare dati di centinaia di migliaia di persone trattati in modo illecito.

A seguito degli accertamenti ispettivi, l’Autorità ha rilevato due procedure non conformi alla normativa.

privacy_28244313_xxlIn primo luogo, la società raccoglieva i dati personali da un sito operativo in più lingue straniere destinato ad utenti di Paesi Ue e Extra UE. Complessivamente, i dati raccolti provenivano da tre siti internet con un generico consenso, preselezionato e unico per diverse finalità, comprese quelle di attività di marketing e comunicazione per scopi commerciali svolte da società terze. Procedimento contrario alla normativa, in quanto il consenso al trattamento deve essere acquisito in modo libero, informato e deve essere specifico per ciascuna finalità.

In secondo luogo, il consenso richiesto non prevedeva l’attività di profilazione che la società invece effettuava attraverso un software, elaborando dati relativi agli ordini processati, nonché ai prodotti semplicemente selezionati dai clienti nel carrello personale, con lo scopo di personalizzare le newsletter commerciali.

Tale attività, peraltro, non era stata notificata al Garante come previsto dal Codice Privacy, né prevedeva un termine della conservazione di tali dati.

Il Garante, dunque, oltre a disporre il divieto di uso dei dati dei clienti acquisiti illecitamente, ha prescritto alla società di adottare misure necessarie e opportune al fine di rendere i trattamenti conformi alle disposizioni del Codice, e in particolare:

  • di integrare l’informativa resa agli utenti, specificando le aziende, o le loro tipologie merceologiche, alle quali intende comunicare i dati per le finalità promozionali;
  • di informare le aziende alle quali i dati erano già stati comunicati o ceduti, che non potranno utilizzarli senza aver acquisito appropriato consenso degli interessati.
  • di prevedere tempi certi di conservazione dei dati e, alla scadenza, avviare il processo per la loro cancellazione o anonimizzazione.

Infine il Provvedimento ricorda il mancato riscontro a tali richieste, ex art. 157, è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Quali regole per la profilazione?

ConsensoLa profilazione è utilizzata per suddividere l’utenza in gruppi di comportamento, al fine di operare azioni commerciali di marketing mirato. Le raccolte di dati finalizzate alle analisi dei profili di clienti e prospect, sono regolamentate dal Garante e il recente Provvedimento è un’utile occasione per ribadire le corrette pratiche da intraprendere prima di realizzare qualunque attività di raccolta dati destinata alla profilazione dell’utenza:

  • Rendere un’Informativa
  • Acquisire il Consenso al trattamento secondo le modalità previste
  • Garantire l’esercizio dei diritti dell’interessato
  • Formalizzare nomine ai Responsabili agli incaricati del trattamento
  • Predisporre la Notifica del trattamento
  • Eventualmente, richiedere una Verifica Preliminare
  • Regolamentare il trasferimento di dati all’estero
  • Rendere un’informativa in caso di trattamento di cookies profilanti

Oltre alle conseguenze amministrative, e penali nei casi più gravi, questo intervento del Garante ben evidenzia uno dei fattori che dovrebbe suggerire alle imprese la necessità di operare in conformità: i dati raccolti in modo illecito non possono essere utilizzati. Un danno, tutt’altro che collaterale, che si aggiunge a quelli di immagine ed economici.

Riproduzione riservata ©

ALTRE NEWS

E-health: condivisione e privacy dei pazienti

Secondo un recente sondaggio curato da EPSON che ha coinvolto professionisti del settore e-health e sanitario, dai medici di medicina generale agli specialisti agli infermieri,… Leggi Tutto

Risk assessment in ambito informatico: cosa dice la normativa. Da SMAU Milano 2014

Si spengono i riflettori della 51° edizione di SMAU Milano, uno dei principali eventi del panorama nazionale dedicato alle tecnologie e all’innovazione. Anche quest’anno la… Leggi Tutto

Business Case Videosorveglianza. Prolungamento dei termini di conservazione delle immagini. DI & P Srl soddisfatta del risultato ottenuto

I termini di conservazione possono essere prolungati sino a 30 giorni per gli impianti di videosorveglianza. Il Garante, con nuovo provvedimento emesso a seguito di… Leggi Tutto

AziendaSpeech & Eventi

COLIN & PARTNERS

CHI SIAMO

Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI

Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE

Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.