NEWSLETTER N. 505 del 28 giugno 2023

• Fidelity card: il Garante privacy sanziona il Gruppo Benetton
• Garante: stop al web scraping per formare elenchi telefonici
• Garante privacy: illecite le email pubblicitarie senza consenso
• Garante privacy, no al diritto all’oblio per reati gravi

Fidelity card: il Garante privacy sanziona il Gruppo Benetton
Multa di 240mila euro per illecito trattamento di dati personali

Il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti. Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione, le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.

A seguito dell’attività ispettiva dell’Autorità, svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza L’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card - inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati - anche degli ex clienti. 

Una mole di informazioni di grande utilità ed “appetibilità” per le attività di data enrichment e di profilazione, sempre più diffuse.

Dalle verifiche effettuate è emerso, inoltre, che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account.

Considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (Gdpr).

Garante: stop al web scraping per formare elenchi telefonici
Sanzionato un sito per 60 mila euro

Il Garante privacy ha vietato al titolare del sito web “www.trovanumeri.com” la costituzione e diffusione on line di un elenco telefonico formato “rastrellando” i dati tramite web scraping (ricerca automatizzata nel web) e gli ha ingiunto il pagamento di una sanzione di 60 mila euro. L’attuale quadro normativo non consente infatti la creazione di elenchi telefonici generici che non siano estratti dal DBU, il data base unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

Numerosissime sono state in questi anni le richieste di intervento ricevute dal Garante relative alla pubblicazione non autorizzata di nominativi, indirizzi, numeri di telefono, anche di titolari di utenze riservate.

Dagli accertamenti dell’Autorità è emerso che il titolare del sito non aveva un’idonea base normativa per trattare i dati, che sul sito mancavano le indicazioni per rivolgersi al titolare del trattamento come pure assente risultava la possibilità di ottenere la cancellazione dei dati in caso di mancato funzionamento dell’apposito form.  Anche nella breve informativa privacy pubblicata, non era indicato l’intestatario del sito, la cui identificazione ha richiesto lunghe indagini.

Il Garante ha dichiarato dunque illecita la raccolta, la conservazione e la pubblicazione dei dati personali ed ha comminato una sanzione di 60 mila euro. La ditta individuale aveva già subito una sanzione nel 2022 per una violazione analoga.

Nel definire l’ammontare dell’ammenda l’Autorità ha tenuto conto della gravità della violazione, dell’elevato numero di soggetti i cui dati sono stati pubblicati (circa 26 milioni di utenti), della durata della violazione e del carattere doloso della condotta dell’intestatario.

Quale unico elemento attenuante, il Garante ha considerato le dimensioni economiche del titolare, che riveste la qualifica di piccolo imprenditore.

Garante privacy: illecite le email pubblicitarie senza consenso
Inserire un link per disiscriversi non rende l’invio lecito

Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

Lo ha precisato il Garante privacy nel comminare una sanzione di 10mila euro ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.

L’intervento dell’Autorità segue il reclamo di un utente che lamentava la ricezione di e-mail promozionali indesiderate, anche dopo essersi opposto a tali invii e non aver avuto alcun riscontro da parte della società. 

La società si è difesa dichiarando di aver estratto i nominativi da diversi elenchi pubblici e che l’invio delle e-mail era diretto, oltre che al reclamante, anche ad altri professionisti. I dati, poi, sarebbero stati trattati sulla base di un legittimo interesse.

Il Garante ha ricordato che l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi.

Deroga che, nel caso in esame, non risulta applicabile, dato che le persone raggiunte dall’attività di marketing non avevano rilasciato il proprio indirizzo nell’ambito di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento.

Dall’istruttoria è dunque emerso che nessuna e-mail poteva essere inviata al reclamante, così come agli altri destinatari, senza un idoneo consenso. Rispetto al link inserito in calce alla mail per disiscriversi, il Garante ha poi ricordato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito.

Tenuto conto dell’ampia portata dei trattamenti e del fatto che l’azienda non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante, il Garante privacy ha imposto alla società il divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso. In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria.

Garante privacy, no al diritto all’oblio per reati gravi
Per articoli recenti prevale l’interesse pubblico a conoscere la notizia

No al diritto all’oblio per chi si è macchiato di reati gravi e la cui vicenda giudiziaria si sia da poco conclusa e sia ancora di interesse pubblico.  Con questa motivazione il Garante privacy ha ritenuto infondata la richiesta di deindicizzazione di alcuni articoli recenti presentata da un uomo condannato a due anni di reclusione per detenzione di materiale pubblicato da Al-Qaida che aveva scontato la sua pena.

Nel reclamo al Garante, l’interessato aveva chiesto di ordinare a Google, la rimozione dai risultati di ricerca di 18 URL collegati ad articoli che riportavano la notizia di un suo arresto avvenuto nel 2019 nel Regno Unito per possesso di informazioni ritenute utili a commettere o preparare un atto terroristico.

A suo dire, avendo ormai interamente scontato la pena ed essendo rientrato in Italia, la permanenza in rete di tali notizie gli avrebbe impedito di ricostruirsi una nuova vita e di trovare lavoro e poter così fronteggiare le responsabilità familiari.

Nel rigettare la richiesta, il Garante ha ricordato che non si può procedere alla deindicizzazione di informazioni recenti quando a prevalere è l’interesse generale alla reperibilità delle notizie a causa della gravità delle condotte poste in essere dall’interessato. Nel caso specifico, il reclamante aveva commesso un reato di particolare allarme sociale legato al possesso di materiale appartenente a un’organizzazione terroristica internazionale come Al-Qaida. Per quanto riguarda il fattore tempo – altro elemento importante per la valutazione del caso - l’intervallo di pochi mesi intercorso dalla conclusione della vicenda giudiziaria e dall’espiazione della pena della reclusione è risultato assai limitato, non potendosi perciò qualificare le informazioni come risalenti nel tempo, né ancora prive di interesse pubblico.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Joint statement of the Federal Commissioner for Data Protection and Freedom of Information (BfDI), Germany, and the Garante per la Protezione dei Dati Personali (GPDP), Italy, on the 71st Meeting of the International Working Group on Data Protection in Technology or “Berlin Group" - Comunicato del 27 giugno 2023

• Privacy: i Responsabili della Protezione Dati al centro del cambiamento. Giornata di confronto organizzata dal Garante Privacy a Bologna - Comunicato del 23 giugno 2023

   

   

   

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it