Il Garante vieta a una società di utilizzare una banca dati per l’invio di pubblicità indesiderata. Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.
Lo ha deciso il Garante della privacy in seguito alla segnalazione di alcuni utenti che si lamentavano per la ricezione di pubblicità indesiderata da parte di una società di shopping online e per il mancato rispetto del diritto di opposizione al trattamento dei loro dati. Dai riscontri raccolti dall’Autorità, anche grazie all’attività ispettiva effettuata in collaborazione con il Nucleo Speciale Privacy della Guardia di finanza, è emerso che gli utenti che desideravano accedere alle sezioni del sito web gestito dalla società di e-commerce, ed eventualmente acquistare i prodotti in vetrina, erano prima obbligati a registrarsi e ad accettare (barrando un’apposita casella) i termini e le condizioni e la privacy policy del sito.
Con l’adesione alla policy, con un unico click, l’utente acconsentiva che i propri dati venissero utilizzati non solo per le finalità connesse ai servizi offerti online, ma anche per finalità di promozione commerciale, sia della società stessa sia dei suoi partner commerciali. Una mole ingente di indirizzi e-mail e altri dati raccolti in questo modo venivano dunque registrati in una banca dati per l’invio di pubblicità non richiesta.
Nel provvedimento, il Garante ha ricordato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell’invio di comunicazioni promozionali. Non si può quindi obbligare una persona a ricevere pubblicità solo per avere accesso alla “vetrina online” di un sito.
I dati richiesti dalla società in fase di registrazione, tra l’altro, spesso non erano necessari per la navigazione nel sito e neppure per l’acquisto dei prodotti reclamizzati, in violazione dei principi di minimizzazione e di necessità previsti dal Codice della privacy. Il Garante ha quindi vietato alla società di utilizzare per attività di marketing i dati personali raccolti. Il Nucleo Speciale Privacy ha già attivato un autonomo procedimento sanzionatorio relativo alla violazione accertata.