eCommerce: vietata la profilazione senza consenso
Stop alla newsletter personalizzata e all’utilizzo dei dati di oltre 300mila clienti
E’ trascorso ormai oltre un anno e mezzo dall’entrata in vigore della c.d. Cookie Law ed è tuttora in corso un forte dibattito sull’utilità ed efficacia di tale norma soprattutto da parte dei gestori dei siti web e relativi addetti. E non solo, frequenti sono indagini di settore, contenuti, workshop ed altre iniziative che cercano di fare tale punto della situazione.
Probabilmente sarebbe più opportuno invece dover fare un passo indietro e porsi un’altra domanda: quanto è conosciuto e applicato il Codice Privacy e i suoi elementi essenziali? L’Informativa e il Consenso, i due pilastri principali su cui si fonda l’intera disciplina in materia di protezione dei dati personali: due perfetti sconosciuti!
Ne sa qualcosa, da ieri, una delle più importanti società nella fornitura di biglietti on-line per spettacoli teatrali, concerti, manifestazioni sportive ed e-commerce di prodotti anche di brand molto famosi che è stata colpita da un Provvedimento Inibitorio e Prescrittivo dell’Autorità Garante Privacy a seguito di ispezione.
I fatti. A seguito di una segnalazione, consenso unico e preselezionato per finalità diverse, tra cui il marketing e comunicazione a soggetti terzi per analoghe finalità, nonché obbligatorio per poter completare la registrazione sul sito web tramite form al fine dell’acquisto di biglietti per eventi vari, l’Autorità Garante coadiuvata dal Nucleo Speciale Privacy della Guardia di Finanza di Roma ha sottoposto tale Organizzazione ad attività ispettiva.
Dall’indagine è emerso non solo tale Consenso non idoneo, ma che tale raccolta di dati personali non lecita era effettuata anche da altri due importanti siti web sempre riconducibili alla stessa organizzazione e che tali informazioni erano a loro volta "comunicate" ad altri soggetti terzi sempre per finalità di marketing.
Durante l’attività ispettiva si è anche evidenziata un’altra azione non lecita: sempre senza consenso specifico e facoltativo la società, per il tramite di un cookie di profilazione o tecnologia ad esso assimilabile, procedeva a monitoraggio delle preferenze di navigazione degli utenti, degli ordinativi dei clienti e anche dei soli prodotti inseriti nel carrello di un ordine poi non confermato, e a seguito di successiva elaborazione di tali informazioni personalizzava la propria newsletter inviando contenuti mirati e pertinenti solo sulla base degli interessi manifestati durante la fruizione dei propri servizi offerti.
Per tale trattamento dei dati non solo si rendeva necessario anche un corretto recepimento della c.d. Cookie Law, ma doverosa era anche la Notificazione nei confronti dell’Autorità Garante Privacy. E non solo, l’organizzazione non aveva neanche stabilito e quindi non indicato in Informativa i diversi tempi di conservazione dei dati personali a seconda delle finalità perseguite. Altro tasto molto dolente: spesso le Informative sono proprio carenti da questo punto di vista anche se l’indicazione dei tempi di conservazione dei dati è uno dei suoi elementi fondamentali.
A conclusione di tale verifica, nella giornata di ieri l’Autorità Garante ha colpito tale società con un Provvedimento che da una parte blocca il trattamento dei dati personali acquisiti illecitamente di oltre 300mila Clienti e dall’altra parte prescrive entro un termine di 60 giorni l’adozione di tutte quelle misure necessarie al fine di rendere conforme al Codice Privacy il proprio modello di business.
Tale organizzazione, in particolare, dovrà integrare la propria Informativa stabilendo i tempi di conservazione dei dati e con l’indicazione anche delle aziende e/o delle categorie merceologiche alle quali comunicherà i dati specificando soprattutto per quali finalità, gestire in maniera specifica e non preselezionata e facoltativa i Consensi per ogni specifica finalità che intende perseguire, informare i soggetti terzi a cui tali dati sono stati "comunicati" che non potranno essere effettuati ulteriori trattamenti senza aver conseguito a loro volta un proprio consenso, e procedere alla Notificazione all’Autorità Garante per tutti quei trattamenti per i quali è previsto tale obbligo.
Il Provvedimento è di tipo pubblico con l’indicazione della Società colpita da tali prescrizioni e relativi siti web coinvolti: pensate al danno non solo economico, ma soprattutto di tipo reputazionale.
Non ci resta che attendere le relative sanzioni che di sicuro non saranno contenute. Per maggiori e ulteriori informazioni è possibile consultare il Provvedimento dell’Autorità Garante (doc. web. n. 4487559): http://www.microell.it/ecommerce-vietata-la-profilazione-senza-consenso/.
Nei prossimi giorni pubblicherò un nuovo contenuto relativo ai soggetti che sarebbero tenuti alla Notificazione per Profilazione tramite siti web, forse è il caso di fare un po’ di chiarezza anche su tale obbligo!
Fonte: microell.it
Probabilmente sarebbe più opportuno invece dover fare un passo indietro e porsi un’altra domanda: quanto è conosciuto e applicato il Codice Privacy e i suoi elementi essenziali? L’Informativa e il Consenso, i due pilastri principali su cui si fonda l’intera disciplina in materia di protezione dei dati personali: due perfetti sconosciuti!
Ne sa qualcosa, da ieri, una delle più importanti società nella fornitura di biglietti on-line per spettacoli teatrali, concerti, manifestazioni sportive ed e-commerce di prodotti anche di brand molto famosi che è stata colpita da un Provvedimento Inibitorio e Prescrittivo dell’Autorità Garante Privacy a seguito di ispezione.
I fatti. A seguito di una segnalazione, consenso unico e preselezionato per finalità diverse, tra cui il marketing e comunicazione a soggetti terzi per analoghe finalità, nonché obbligatorio per poter completare la registrazione sul sito web tramite form al fine dell’acquisto di biglietti per eventi vari, l’Autorità Garante coadiuvata dal Nucleo Speciale Privacy della Guardia di Finanza di Roma ha sottoposto tale Organizzazione ad attività ispettiva.
Dall’indagine è emerso non solo tale Consenso non idoneo, ma che tale raccolta di dati personali non lecita era effettuata anche da altri due importanti siti web sempre riconducibili alla stessa organizzazione e che tali informazioni erano a loro volta "comunicate" ad altri soggetti terzi sempre per finalità di marketing.
Durante l’attività ispettiva si è anche evidenziata un’altra azione non lecita: sempre senza consenso specifico e facoltativo la società, per il tramite di un cookie di profilazione o tecnologia ad esso assimilabile, procedeva a monitoraggio delle preferenze di navigazione degli utenti, degli ordinativi dei clienti e anche dei soli prodotti inseriti nel carrello di un ordine poi non confermato, e a seguito di successiva elaborazione di tali informazioni personalizzava la propria newsletter inviando contenuti mirati e pertinenti solo sulla base degli interessi manifestati durante la fruizione dei propri servizi offerti.
Per tale trattamento dei dati non solo si rendeva necessario anche un corretto recepimento della c.d. Cookie Law, ma doverosa era anche la Notificazione nei confronti dell’Autorità Garante Privacy. E non solo, l’organizzazione non aveva neanche stabilito e quindi non indicato in Informativa i diversi tempi di conservazione dei dati personali a seconda delle finalità perseguite. Altro tasto molto dolente: spesso le Informative sono proprio carenti da questo punto di vista anche se l’indicazione dei tempi di conservazione dei dati è uno dei suoi elementi fondamentali.
A conclusione di tale verifica, nella giornata di ieri l’Autorità Garante ha colpito tale società con un Provvedimento che da una parte blocca il trattamento dei dati personali acquisiti illecitamente di oltre 300mila Clienti e dall’altra parte prescrive entro un termine di 60 giorni l’adozione di tutte quelle misure necessarie al fine di rendere conforme al Codice Privacy il proprio modello di business.
Tale organizzazione, in particolare, dovrà integrare la propria Informativa stabilendo i tempi di conservazione dei dati e con l’indicazione anche delle aziende e/o delle categorie merceologiche alle quali comunicherà i dati specificando soprattutto per quali finalità, gestire in maniera specifica e non preselezionata e facoltativa i Consensi per ogni specifica finalità che intende perseguire, informare i soggetti terzi a cui tali dati sono stati "comunicati" che non potranno essere effettuati ulteriori trattamenti senza aver conseguito a loro volta un proprio consenso, e procedere alla Notificazione all’Autorità Garante per tutti quei trattamenti per i quali è previsto tale obbligo.
Il Provvedimento è di tipo pubblico con l’indicazione della Società colpita da tali prescrizioni e relativi siti web coinvolti: pensate al danno non solo economico, ma soprattutto di tipo reputazionale.
Non ci resta che attendere le relative sanzioni che di sicuro non saranno contenute. Per maggiori e ulteriori informazioni è possibile consultare il Provvedimento dell’Autorità Garante (doc. web. n. 4487559): http://www.microell.it/ecommerce-vietata-la-profilazione-senza-consenso/.
Nei prossimi giorni pubblicherò un nuovo contenuto relativo ai soggetti che sarebbero tenuti alla Notificazione per Profilazione tramite siti web, forse è il caso di fare un po’ di chiarezza anche su tale obbligo!
Fonte: microell.it
Articolo del: