Il Garante della Privacy fa il punto sulla gestione dei dati personali degli utenti che comprano online all’interno dei molti eShop che affollano la rete. Il Garante ha, dunque, deciso di mettere la parola fine alla profilazione dei dati degli utenti a scopo di invio di email pubblicitarie senza il loro consenso. Il provvedimento, molto importante per tutte le società che operano online, arriva a seguito di una vicenda che vedeva protagonista un’azienda di e-commerce che ha trattato illecitamente i dati di oltre 300 mila clienti.
Dagli accertamenti ispettivi svolti dall’Autorità è emerso che la società raccoglieva dati personali attraverso tre siti, di cui uno operativo in più lingue straniere destinato ad utenti di paesi Ue ed Extra Ue. Il consenso richiesto, però, era preselezionato e unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali. Una procedura contraria alla normativa, anche se l’utente poteva deselezionare il consenso e procedere alla registrazione al sito. La società, inoltre, svolgeva, sempre senza consenso, un’attività di profilazione utilizzando un software per l’invio di newsletter personalizzate, “create” elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello il cui ordine non era stato finalizzato.
La società peraltro non aveva provveduto ad adempiere all’obbligo di notificazione al Garante previsto dal Codice per l’attività di profilazione, né aveva stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.
Il Garante ha dunque disposto il divieto di uso dei dati dei clienti acquisiti illecitamente e ha prescritto alla società di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy. La società dovrà, in particolare, integrare l’informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali. Dovrà, poi, informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati.
La società dovrà, infine, prevedere tempi di conservazione dei dati e, alla scadenza, provvedere all’immediata cancellazione o alla anonimizzazione permanente.