Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.

IL FATTO:

A seguito dell’attività ispettiva compiuta dall’Autorità per la protezione dei dati personali in collaborazione con il Nucleo Speciale Privacy della Guardia di finanza, è emerso che gli utenti che accedevano al sito web gestito da una società di e-commerce per mera navigazione o per acquistare i prodotti in vetrina, erano prima obbligati a registrarsi e ad accettare (flaggando un’apposita casella) i termini, le condizioni e la privacy policy del sito. Con l’adesione alla policy l’utente acconsentiva contemporaneamente all’utilizzo dei propri dati personali per i servizi richiesti on line ma anche per finalità di marketing da parte della società stessa e di suoi partner commerciali.

Con questo meccanismo illegittimo di raccolta del consenso, la società ha costituito una corposa banca dati di indirizzi e-mail che veniva utilizzata per l’invio di comunicazioni commerciali e promozionali non desiderate, senza peraltro rispettare il diritto di opposizione esercitato da alcuni utenti.

I dati richiesti dalla società in fase di registrazione, tra l’altro, spesso non erano necessari per la navigazione nel sito e neppure per l’acquisto dei prodotti pubblicizzati.

Il Garante, rilevato che il trattamento posto in essere dalla società, violava i principi di pertinenza, correttezza, minimizzazione e necessità previsti dal D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, ha quindi vietato alla stessa di utilizzare per attività di marketing i dati personali degli utenti del proprio sito web.

PERCHE’ E’ IMPORTANTE:

E’ importante perché, anche in questa occasione, il Garante per la protezione dei dati personali ricorda che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell’invio di comunicazioni promozionali. Il Garante ribadisce, in sostanza, come non si possa obbligare un utente a ricevere comunicazioni commerciali e promozionali per consentirgli la mera navigazione in un sito web.

Il provvedimento in esame è altresì importante perché i principi di liceità, correttezza, pertinenza, minimizzazione dei dati, il diritto di opposizione e le caratteristiche del consenso dell’interessato per essere valido, ivi ribaditi dal Garante, sono espressamente indicati nel Regolamento UE/679 “Regolamento generale sulla protezione dei dati” ed assumono un’estrema rilevanza ai fini della messa in conformità dei trattamenti di dati personali alle relative prescrizioni, obbligatoria dal 25.5.2018.