Il Garante Privacy dice no all’oblio per i reati gravi e torna sul tema del trattamento dati a fini di marketing

La Redazione
30 Giugno 2023

Con la Newsletter n. 505 del 28 giugno 2023, il Garante Privacy ha dato notizia di alcuni provvedimenti approvati riguardo ai temi del diritto all’oblio, del trattamento dati per le fidelity card, del web scraping e delle mail pubblicitarie senza consenso.

Diritto all'oblio

In caso di reati gravi, non può essere riconosciuto il diritto all'oblio se la vicenda giudiziaria si è da poco conclusa e sia ancora di interesse pubblico. Con questa motivazione il Garante ha ritenuto infondata la richiesta di deindicizzazione di alcuni articoli recenti presentata da un uomo condannato a due anni di reclusione per detenzione di materiale pubblicato da Al-Qaida che aveva scontato la sua pena (provvedimento del 17 maggio 2023). L'interessato aveva chiesto di ordinare a Google la rimozione dai risultati di ricerca di diverse URL collegate ad articoli che riportavano la notizia del suo arresto avvenuto nel 2019 nel Regno Unito per possesso di informazioni ritenute utili a commettere o preparare un atto terroristico. Avendo ormai interamente scontato la pena ed essendo rientrato in Italia, la permanenza in rete di tali notizie gli avrebbe impedito di ricostruirsi una nuova vita e di trovare lavoro. Il Garante ha però rigettato la richiesta ricordando che «non si può procedere alla deindicizzazione di informazioni recenti quando a prevalere è l'interesse generale alla reperibilità delle notizie a causa della gravità delle condotte poste in essere dall'interessato». Il reclamante aveva commesso un reato di particolare allarme sociale. Mentre, per quanto riguarda il «fattore tempo – altro elemento importante per la valutazione del caso - l'intervallo di pochi mesi intercorso dalla conclusione della vicenda giudiziaria e dall'espiazione della pena della reclusione è risultato assai limitato, non potendosi perciò qualificare le informazioni come risalenti nel tempo, né ancora prive di interesse pubblico».

Fidelity card

Il Gruppo Benetton è stato sanzionato per la cifra di 240mila euro per l'illecito trattamento dei dati personali di un numero rilevante di clienti ed ex clienti (provvedimento del 27 aprile 2023). «Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione», le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l'iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale, generando così una mole di informazioni di grande utilità e appetibilità per le attività di data enrichment e profilazione. Dalle verifiche effettuate «è emerso, inoltre, che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un'unica password e un unico account». Considerato l'elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, «il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (GDPR)».

Web scraping

Il Garante privacy ha vietato al titolare del sito web “www.trovanumeri.com” la «costituzione e diffusione di un elenco telefonico formato “rastrellando” i dati tramite web scraping (ricerca automatizzata nel web) e gli ha ingiunto il pagamento di una sanzione di 60 mila euro» (provvedimento del 17 maggio 2023). L'attuale quadro normativo non consente infatti «la creazione di elenchi telefonici generici che non siano estratti dal DBU, il data base unico che contiene i numeri telefonici e i dati identificativi dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile». Dalle indagini dell'Autorità è emerso che il titolare del sito non aveva un'idonea base normativa per trattare i dati, che sul sito mancavano le indicazioni per rivolgersi al titolare del trattamento come pure assente risultava la possibilità di ottenere la cancellazione dei dati in caso di mancato funzionamento dell'apposito form. Inoltre la breve informativa privacy pubblicata non indicava l'intestatario del sito, la cui identificazione ha richiesto lunghe indagini.

Mail pubblicitarie senza consenso

Infine, il Garante dà notizia dell'adozione di un provvedimento con cui è stata sanzionata per 10mila euro una società che, all'interno delle proprie mail promozionali inviate a numerosi destinatari in assenza di un loro consenso, si limitava ad inserire un link per disiscriversi. Tale modalità non rende infatti lecito l'invio (provvedimento del 17 maggio 2023). Il Garante ha ricordato che «l'invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell'indirizzo e-mail da parte dell'interessato nel contesto di una vendita di beni o servizi analoghi. Deroga che, nel caso in esame, non risulta applicabile, dato che le persone raggiunte dall'attività di marketing non avevano rilasciato il proprio indirizzo nell'ambito di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento». Rispetto al link inserito in calce alla mail per disiscriversi, il Garante ha poi ricordato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell'e-mail ad essere illecito. Il Garante privacy ha imposto alla società il «divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l'acquisizione di un idoneo consenso. In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria».

(Fonte:  Diritto e Giustizia )

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.