Piattaforme di dating online: come rispettare il principio di accountability

Massima

Il principio di limitazione della conservazione “impone al titolare l’onere di valutare la durata del trattamento in necessaria correlazione con le specifiche finalità prefissate a monte all’atto della raccolta”. Ai sensi del principio di accountability “il titolare è il soggetto cui è attribuita la “responsabilità generale” del trattamento, gravando, pertanto, sullo stesso l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili in primis mediante la corretta e puntuale predisposizione degli adempimenti imposti dal Regolamento nonché attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti alla disciplina di riferimento”.

Il caso

Nel 2022 il Garante avviava d’ufficio un’attività di controllo nei confronti di un noto gestore di una piattaforma di dating online. I dati trattati erano quelli richiesti obbligatoriamente in fase di registrazione (es. città di residenza; nickname; password) oltre a quelli descrittivi che l’utente poteva inserire facoltativamente (altezza, professione, titolo di studi), l’annuncio della scheda personale e la foto del profilo. L’indirizzo e-mail fornito veniva poi verificato attraverso l’invio di una mail di conferma e, in caso di fallimento della verifica, l’utente non veniva attivato. Era inoltre data la possibilità di sottoscrivere un abbonamento oppure semplicemente di effettuare una prova gratuita. Il trattamento riguardava più di un milione di utenti e includeva categorie particolari di dati ai sensi dell’art. 9 del Regolamento (informazioni idonee a rivelare l’orientamento e la vita sessuale degli stessi).

Nel corso degli accertamenti emergevano una serie di violazioni. In particolare, il trattamento veniva ritenuto in contrasto con i principi di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), art. 9 e art. 13, Regolamento), in quanto posto in essere in assenza di idonea informativa, nonché in assenza di idonea base giuridica per quanto attiene al trattamento dei dati personali di afferenti alla vita e agli orientamenti sessuali degli utenti. Inoltre, veniva contestata la violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e) in quanto la società non aveva previsto una policy di retention dei dati e conservava sine die dati relativi ad utenti che avevano solo effettuato la prova gratuita o la cui iscrizione non era andata a buon fine per mancata verifica dell’indirizzo e-mail. Inoltre, venivano considerate non idonee le misure di sicurezza a garanzia dell’integrità e della riservatezza dei dati, considerata la natura particolarmente sensibile dei dati, con conseguente violazione dell’art. 32 del Regolamento. Infine, venivano contestate anche la violazione dell’articolo 30 (non era stato redatto il registro dei trattamenti) dell’articolo 37 (mancanza del DPO) e 35 del Regolamento (mancanza di valutazione di impatto) trattandosi di adempimenti necessari nel caso di trattamenti su larga scala di dati attinenti all’orientamento e alla vita sessuale.

A seguito degli accertamenti ispettivi la società si attivava prontamente per sanare le vulnerabilità riscontrate dal Garante (integrando la raccolta del consenso, revisionando l’informativa, redigendo il registro dei trattamenti, definendo una policy di data retention).

A conclusione dell’istruttoria il Garante riteneva comunque sussistenti una serie di violazioni e, in considerazione del tempo in cui si era perpetrata la violazione (più di 16 anni), del numero di interessati e della natura dei dati trattati, con il provvedimento in esame comminava la sanzione amministrativa pecuniaria di 200.000 euro, oltre a dettare una serie di prescrizioni ai sensi dell’articolo 58 del Regolamento.

La questione

Le questioni che si è trovato ad affrontare il Garante sono quelle relative al rispetto del principio di accountability da parte delle piattaforme di dating online, nonché dell’attuazione in concreto dei principi di limitazione della conservazione e di integrità e riservatezza dei dati: come devono essere definiti i tempi di conservazione dei dati? Quali misure di sicurezza è necessario implementare? È necessario redigere una valutazione di impatto?

Le soluzioni giuridiche

Il Garante Privacy nel suo provvedimento chiarisce come sia essenziale la redazione di una specifica policy inerente alle tempistiche di conservazione dei dati personali trattati, “che valuti la durata del trattamento in necessaria correlazione con le specifiche finalità prefissate a monte all’atto della raccolta”. Nel caso di specie, invece, il titolare del trattamento si limitava a procedere in maniera disarticolata alla cancellazione degli account “in base a criteri di volta in volta definiti (es: mail non validata e assenza di foto) per individuare account non più attivi” e non aveva individuato tempi di conservazione specifici con riferimento ai dati relativi agli utenti che avevano effettuato la prova gratuita, nonché a quelli riferiti ad utenti la cui registrazione non era andata a buon fine. Inoltre, era stato evidenziato che dopo la cancellazione di un utente, potevano comunque permanere alcuni dati personali relativi allo stesso, incluse foto, nel file system del titolare o nel backend del sito. Il Garante precisa quindi come le durate di conservazione dei dati debbano essere distinte in considerazione alle diverse finalità dei trattamenti posti in essere e alle diverse categorie di dati, e come, una volta definite, debbano essere cancellate definitivamente i profili che risultano superare i termini ivi individuati (avendo cura di rimuovere tutti i dati personali ad essi relativi, anche quando presenti in tabelle referenziate o in archivi non strutturati conservati sul file system).

Quanto alle misure relative all’integrità e riservatezza dei dati, le stesse nel caso di specie vengono ritenute non idonee, soprattutto in considerazione della natura particolarmente sensibile dei dati trattati. Afferma infatti il Garante che, “in ragione di tali caratteristiche, il relativo trattamento necessita di specifiche misure di sicurezza, proporzionate ai rischi significativi connessi allo stesso”. Chiarisce inoltre che le misure di sicurezza non debbano essere applicate in maniera indistinta a tutti i dati e trattamenti, ma debbano tener conto della natura dei dati e dei rischi gravanti sugli stessi: dovranno quindi essere predisposte misure specifiche a tutela dei dati idonei a rivelare le preferenze sessuali degli utenti.

Con riferimento alla valutazione di impatto, il Garante la ritiene necessaria in caso di piattaforma di dating online. Nel caso in esame, inoltre, non ritiene soddisfacente il documento trasmesso all’Autorità successivamente alla fase di contestazione delle violazioni in quanto le misure previste per affrontare i rischi risultano descritte in maniera generica e sono applicate indistintamente a tutte le minacce individuate, indipendentemente dal livello di gravità e di probabilità di ognuna di esse. Le misure devono quindi essere indicate in modo specifico in considerazione dei diversi rischi.

Infine, il Garante ritiene che “dall’insieme di tutte le violazioni singolarmente prospettate, emerge, più in generale, che le misure tecniche e organizzative complessivamente adottate dal titolare al fine di conformare i trattamenti al Regolamento, non sono adeguate alla natura, al contesto, alle finalità e ai rischi del trattamento dedotto in contestazione, configurando, in capo al suddetto titolare, la violazione del principio di “accountability”.

Osservazioni

Interessante notare come nel provvedimento in oggetto il Garante fornisca indicazioni specifiche e pratiche sui tempi di conservazione. Infatti, anche a seguito dell’individuazione delle tempistiche di conservazione dei dati nel Registro dei trattamenti presentato nel corso dell’istruttoria da parte del titolare, continua a ritenerle non adeguate, ed evidenzia come il titolare abbia determinato un unico termine di conservazione (10 anni dalla cancellazione del profilo utente) per tutti i trattamenti, senza tenere in considerazione le diverse finalità. Se infatti queste tempistiche possono sembrare “giustificate con riferimento ad alcune tipologie di informazioni (quali, in ipotesi, i dati comuni necessari alla fatturazione dei servizi), risultano invece assolutamente sproporzionate rispetto a trattamenti aventi ad oggetto differenti categorie di dati personali e distinte finalità (v. ad esempio, tra le tante, la categoria dei “dati del profilo di un’utente”, dati rispetto ai quali, in quanto suscettibili anche di ricomprendere informazioni particolarmente sensibili come quelle inerenti all’orientamento o alla vita sessuale degli interessati, dovrebbero essere individuate tempistiche di conservazione strettamente correlate alle finalità dei relativi trattamenti)”.

Anche con riferimento alle misure di sicurezza il provvedimento appare di interesse pratico, potendosi configurare come una guida all’attuazione del principio di accountability per le piattaforme di dating online. Vengono infatti prescritte una serie di misure specifiche (quali, ad esempio, la conservazione dei dati particolari trattati in una partizione del back-end del sito ad accesso riservato).