Chi fa eCommerce non può raccogliere informazioni su gusti e abitudini dei clienti per l’invio di newsletter personalizzate se il consenso non è espresso chiaramente. E’ quanto stabilito oggi da un provvedimento del Garante della Privacy, con cui è stata dichiarata illecita la profilazione dei dati personali di 300 mila persone.
Come desumiamo dal sito dell’Authority, la società destinataria del provvedimento è la Bookingshow, azienda di Foggia che si occupa di prenotazioni online e vendita di biglietti elettronici per concerti, spettacoli, stadi, eventi, e anche nell’ecommerce di marchi celebri.
Su cosa è intervenuto il Garante
Il provvedimento del Garante arriva a seguito di una segnalazione, nella quale si lamentava il fatto che per poter acquistare i biglietti per un evento era necessario dare il consenso al trattamento dei dati per la finalità promozionale. L’Autorità ha quindi avviato un’istruttoria preliminare e una serie di accertamenti ispettivi (con la Guardia di Finanza), dai quali è emerso che la società raccoglieva dati personali attraverso 3 siti, bookingshow.it, sportmonamour.it e merchandisingplaza.com, ai quali l’Autorità contesta l’illecita richiesta del consenso al trattamento dei dati, che era preselezionato e unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali.
Profiling, cosa dice il Codice della Privacy
Una procedura ritenuta dal Garante contraria alla normativa, anche se l’utente poteva deselezionare il consenso e procedere alla registrazione al sito. Secondo quanto contestato dall’Autorità garante per la protezione dei dati personali, sempre senza espresso consenso dei clienti la società svolgeva peraltro un‘attività di profilazione, utilizzando un software per l’invio di newsletter personalizzate in base ai dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello e il cui ordine non era stato completato. Attività di profilazione che, contrariamente a quanto previsto dal Codice privacy, non era stata notificata al Garante.
“Chi fa eCommerce rischia 2 volte”
«Il provvedimento conferma quanto previsto dallo stesso Garante Privacy nelle “linee guida in materia di attività promozionale e contrasto allo spam” del 2013, troppo spesso sottovalutate, se non proprio ignorate, da chi si occupa di commercio elettronico e marketing online», ha detto a Startupitalia l’avvocato Ernesto Belisario, dello Studio e-Lex.
E chi non si adegua a quanto previsto dal Codice privacy rischia 2 volte. «Infatti – ha spiegato il legale – la scorretta o lacunosa redazione delle informative e dei form di iscrizione ai servizi, ad esempio nella parte in cui non prevedono uno specifico e distinto consenso per le finalità promozionali, espongono le aziende che gestiscono le piattaforme ad un duplice rischio: da un lato il provvedimento sanzionatorio del Garante, dall’altro l’impossibilità di utilizzare i dati raccolti».
2 mesi per adeguarsi o multa fino a 60 mila euro
Bookingshow, alla quale il Garante ha fatto divieto di usare i dati dei clienti acquisiti illecitamente, ha adesso 60 giorni di tempo per adeguarsi alle disposizioni del Codice. In particolare, dovrà integrare l’informativa sulla privacy, indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali. E dovrà informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso «espresso, libero, informato e specifico» degli interessati. La società dovrà, infine, prevedere tempi di conservazione dei dati e, alla scadenza, provvedere all’immediata cancellazione o alla anonimizzazione permanente. Se le determinazioni del Garante non saranno osservate, ai sensi dell’art. 164 del Codice privacy l’azienda rischia una sanzione amministrativa che va dai 10 mila ai 60 mila euro.
Aldo V. Pecora
@aldopecora
