Siti di e-commerce: per la profilazione serve il consenso

Nell’ultima newsletter, il Garante della Privacy rende noto il divieto di profilazione di gusti e abitudini dei clienti a fini marketing, senza un appropriato consenso.

Il contesto e la pronuncia del Garante

L’Autorità Garante ha emanato un recente provvedimento con cui vieta ad un’importante società di e-commerce, specializzata nella fornitura di biglietti entertainment e nell’e-commerce di prodotti di marca, di utilizzare dati di centinaia di migliaia di persone trattati in modo illecito.

A seguito degli accertamenti ispettivi, l’Autorità ha rilevato due procedure non conformi alla normativa.

In primo luogo, la società raccoglieva i dati personali da un sito operativo in più lingue straniere destinato ad utenti di Paesi Ue e Extra UE. Complessivamente, i dati raccolti provenivano da tre siti internet con un generico consenso, preselezionato e unico per diverse finalità, comprese quelle di attività di marketing e comunicazione per scopi commerciali svolte da società terze. Procedimento contrario alla normativa, in quanto il consenso al trattamento deve essere acquisito in modo libero, informato e deve essere specifico per ciascuna finalità.

In secondo luogo, il consenso richiesto non prevedeva l’attività di profilazione che la società invece effettuava attraverso un software, elaborando dati relativi agli ordini processati, nonché ai prodotti semplicemente selezionati dai clienti nel carrello personale, con lo scopo di personalizzare le newsletter commerciali.

Tale attività, peraltro, non era stata notificata al Garante come previsto dal Codice Privacy, né prevedeva un termine della conservazione di tali dati.

Il Garante, dunque, oltre a disporre il divieto di uso dei dati dei clienti acquisiti illecitamente, ha prescritto alla società di adottare misure necessarie e opportune al fine di rendere i trattamenti conformi alle disposizioni del Codice, e in particolare:

• di integrare l’informativa resa agli utenti, specificando le aziende, o le loro tipologie merceologiche, alle quali intende comunicare i dati per le finalità promozionali;
• di informare le aziende alle quali i dati erano già stati comunicati o ceduti, che non potranno utilizzarli senza aver acquisito appropriato consenso degli interessati.
• di prevedere tempi certi di conservazione dei dati e, alla scadenza, avviare il processo per la loro cancellazione o anonimizzazione.

Infine il Provvedimento ricorda il mancato riscontro a tali richieste, ex art. 157, è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Quali regole per la profilazione?

La profilazione è utilizzata per suddividere l’utenza in gruppi di comportamento, al fine di operare azioni commerciali di marketing mirato. Le raccolte di dati finalizzate alle analisi dei profili di clienti e prospect, sono regolamentate dal Garante e il recente Provvedimento è un’utile occasione per ribadire le corrette pratiche da intraprendere prima di realizzare qualunque attività di raccolta dati destinata alla profilazione dell’utenza:

• Rendere un’Informativa
• Acquisire il Consenso al trattamento secondo le modalità previste
• Garantire l’esercizio dei diritti dell’interessato
• Formalizzare nomine ai Responsabili agli incaricati del trattamento
• Predisporre la Notifica del trattamento
• Eventualmente, richiedere una Verifica Preliminare
• Regolamentare il trasferimento di dati all’estero
• Rendere un’informativa in caso di trattamento di cookies profilanti

Oltre alle conseguenze amministrative, e penali nei casi più gravi, questo intervento del Garante ben evidenzia uno dei fattori che dovrebbe suggerire alle imprese la necessità di operare in conformità: i dati raccolti in modo illecito non possono essere utilizzati. Un danno, tutt’altro che collaterale, che si aggiunge a quelli di immagine ed economici.