Illecito uso di dati personali a fini di marketing. La sanzione del Garante
di Proseguono gli utilizzi indebiti di dati personali a fini di marketing e proseguono le sanzioni del Garante per la protezione dei dati personali per tali illiceità.
Il Garante ha, infatti, sanzionato recentemente una digital company con una multa di 300mila euro per aver trattato in modo illecito dati personali a fini di marketing.
L’azienda trasmetteva agli utenti presenti nel proprio database messaggi promozionali riferiti ad aziende sue clienti, utilizzando sms, email e chiamate automatizzate.
La banca dati era composta da informazioni che l’azienda raccoglieva tramite i suoi portali e acquistava a mezzo di broker di dati personali.
I dark pattern usati indebitamente
Attraverso le sue indagini, il Garante ha scoperto che, per carpire i dati degli utenti, l’azienda impiegava i dark pattern (modelli oscuri). Si tratta di interfacce grafiche, appositamente create per spingere, in maniera subliminale, l’utente a prestare il consenso al trattamento dei dati personali per finalità di marketing e alla comunicazione dei dati, sempre per scopi promozionali, a terze parti.
Accadeva, più in dettaglio che se una delle due caselle presenti sul sito non veniva selezionata, si apriva un pop up che informava della mancanza del consenso e che presentava un pulsante con cui l’utente veniva invogliato a rilasciare il consenso al trattamento.
Diversamente, il link per continuare senza accettare, era eclissato e difficilmente rinvenibile dall’utente e il relativo pulsante era privo di formato grafico.
Era evidente che il pop up non aveva alcuna funzione per lo svolgimento del processo di iscrizione al servizio proposto dall’azienda, ma serviva come un ulteriore tentativo di raccolta del consenso dell’utente, sebbene questi avesse già chiaramente manifestato la sua volontà nella fase precedente.
In tal modo, subdolo, aumentavano le probabilità che l’interessato rilasciasse il proprio consenso, ma non per scelta cosciente, bensì perché indotto in errore o perché intento a velocizzare la conclusione del processo.
Più dati rispetto alla finalità del trattamento. Violazione del principio di minimizzazione
In molti dei siti visitati veniva richiesto di inserire numerosi dati personali, oltre quelli necessari a ricevere il servizio richiesto e di fornire risposte a numerosissime domande tutte obbligatorie, violando il principio di necessità del dato rispetto alle finalità di trattamento e minimizzazione.
In alcuni casi, inoltre, l’azienda utilizzava dei form per carpire informazioni sulle abitudini di acquisto dell’utente, mentre in altri, durante il processo di iscrizione ad un servizio (ad esempio, per scaricare e-book o ricette), veniva richiesto di inserire i dati di contatto di amici potenzialmente interessati con un’opzione per negare l’inserimento non facilmente visibile.
Le caselle dei consensi non vanno preselezionate
Il Garante ha rinvenuto su un altro sito, sempre nella titolarità dell’azienda, la presenza, dopo la procedura per l’inserimento dei dati finalizzata all’iscrizione alla newsletter, di un invito a cliccare su un link che portava ad un altro sito per scaricare un e-book, con i dati di profilo dell’utente già indicati e i consensi privacy già preselezionati.
I ruoli nella privacy seguono la realtà del trattamento e non i rapporti commerciali tra le parti
Da ultimo, non vi era chiarezza nella gestione dei ruoli di responsabile e titolare del trattamento tra l’azienda in questione e i suoi partners, giacchè nel rapporto commerciale instaurato tra le parti, l’azienda era da considerare titolare autonomo del trattamento e non come di fatto accadeva responsabile del trattamento.
A tal proposito, infatti, l’Autorità ha chiarito che nel contratto sottoscritto con il partner non può aver rilievo la causa (acquisto, noleggio, gestione/ sfruttamento del database), quando di fatto si realizza sempre e comunque una acquisizione di dati da terzi finalizzata alla veicolazione di messaggi promozionali da parte di un’azienda per conto dei propri clienti.
In tali casi, il trattamento è sempre consistente nella raccolta di dati personali (indipendentemente dalla fonte) e, nel caso di specie, era l’azienda sanzionata a definire la finalità di tale trattamento, ossia lo sfruttamento commerciale della banca dati attraverso la veicolazione di messaggi promozionali di propri clienti.
Definirsi, dunque, responsabile del trattamento, quando invece la realtà nel trattamento dei dati implica il ruolo di titolare autonomo infierisce negativamente sugli interessati, per quanto può concernere ad esempio, le richieste di opposizione o di cancellazione ricevute.
Ed infatti nel caso trattato, gli utenti che si erano opposti, non hanno visto nel concreto esaudire le loro richieste.
Ciò detto, dunque l’errata qualificazione di responsabile del trattamento nei rapporti contrattuali denominati di gestione di database ha fatto ritenere il trattamento in questione in contrasto anche con i requisiti di liceità, correttezza e trasparenza, in violazione dell’art. 5, par. 1, lett. a).