Il Garante della privacy stoppa la profilazione senza consenso di gusti e abitudini dei clienti per l’invio di newsletter personalizzate. La decisione è contenuta in un provvedimento dell’authority, che ha vietato ad una società di e-commerce il trattamento illecito dei dati di oltre 300mila persone. Si tratta di una delle maggiori compagnie che vende online biglietti per spettacoli teatrali, manifestazioni sportive, concerti e prodotti di vari marchi.
Secondo gli accertamenti effettuati dall’Autorità, spiega il notiziario settimanale diffuso oggi, la società raccoglieva infatti dati personali attraverso tre siti, di cui uno operativo in più lingue straniere destinato ad utenti di paesi Ue ed extra Ue. La violazione della normativa è stata riscontrata nel consenso richiesto, strutturato in modo unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali. A nulla è valsa la possibilità fornita dalla compagnia di deselezionare il consenso e procedere alla registrazione al sito.
Sempre senza consenso, la società svolgeva un’attività di profilazione utilizzando un software per l’invio di newsletter personalizzate, create sulla base dei dati relativi agli ordini effettuati dai clienti e ai prodotti inseriti nel carrello senza aver poi finalizzato l’acquisto. Per di più il Garante ha rilevato sia il mancato adempimento dell’obbligo di notificazione all’authority previsto dal Codice per l’attività di profilazione, sia l’assenza di tempo di conservazione dei dati personali raccolti tramite i siti che vanno sempre stabiliti.
Oltre al divieto di uso dei dati dei clienti acquisiti illecitamente l’Autorità ha prescritto alla società di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy. In particolare l’operatore di e-commerce dovrà integrare l’informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali. Inoltre, sarà tenuto a informare i soggetti, ai quali i dati sono stati già comunicati o ceduti. Quest’ultimi non potranno in ogni caso utilizzarli senza aver prima acquisito il consenso degli interessati. Infine, la società dovrà anche i tempi di conservazione dei dati e, alla scadenza, provvedere all’immediata cancellazione o alla anonimizzazione degli stessi.
