Garante Privacy – Provvedimento del 18 novembre 2015 doc. web n. 4487559

IL CASO

Una delle più importanti società operanti nella vendita on line di biglietti per spettacoli teatrali, manifestazioni sportive, concerti e di prodotti anche di marchi celebri ha subito un’ispezione da parte dell’Autorità Garante per la protezione dei dati personali (Privacy).

Dagli accertamenti ispettivi è emerso che la società:

  • raccoglieva dati personali attraverso tre siti web, senza farsi rilasciare dagli interessati un consenso libero (il flag di consenso era già preselezionato), separato e specifico per ciascuna delle finalità perseguite (vi era un unico flag di consenso, nonostante la pluralità di finalità perseguite: 1. vendita online; 2. marketing: invio mailing list promozionali; 3. profilazione; 4. comunicazione dei dati a terze società per scopi commerciali);
  • effettuava l’attività di profilazione (= creazione di profili sulla base delle scelte e abitudini di consumo manifestate dall’interessato sia in caso di acquisto sia in caso di mero inserimento di prodotti nel carrello- anche quando l’ordine non veniva finalizzato, per l’invio di mailing list “mirate”) senza aver adempiuto all'obbligo di notificazione al Garante previsto dal Codice Privacy, e senza aver stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.

LA DECISIONE

Il Garante ha prescritto alla società:

  • il divieto di utilizzare i dati dei clienti (oltre 300.000) acquisiti illecitamente;
  • di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy;
  • di integrare l'informativa privacy, indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le finalità promozionali;
  • di informare i soggetti ai quali i dati sono stati già comunicati o ceduti, che tali dati non potranno venire utilizzati se non previo consenso degli interessati;
  • di prevedere tempi di conservazione dei dati e, alla scadenza, di provvedere all'immediata cancellazione o all’anonimizzazione permanente.

 

Fonte: http://www.garanteprivacy.it