ICO: sanzionata azienda per poca trasparenza e consenso non informato
Marketing, informativa e consenso si confermano criticità da non sottovalutare
Il 9 aprile scorso l’autorità di controllo del Regno Unito (Information Commissioner’s Office, ICO) ha emesso un provvedimento sanzionatorio per 400.000 sterline (circa 460.000 euro) per aver illecitamente condiviso con terze parti i dati personali appartenenti a oltre 14 milioni di persone.
Il fatto.
Nell’ambito degli accertamenti messi in atto dall’ICO, è stato rilevato che la Bounty Limited avesse raccolto informazioni personali ai fini della registrazione e dell’iscrizione tramite differenti modalità, tra cui il suo sito web e la sua app per smartphone, schede di richieste di merchandise e direttamente da nuove madri ai letti d’ospedale.
La società gestisce un sito web che fornisce informazioni, consigli e supporto in gravidanza e genitorialità per le mamme nuove e incinte, offrendo anche prodotti a supporto delle famiglie nella transizione alla genitorialità, dalla gravidanza alla nascita, dall’infanzia all’asilo. Inoltre, gestisce anche una comunità online che consente alle famiglie di condividere problemi, preoccupazioni, suggerimenti e risultati con una rete di supporto di mamme che stanno attraversando la stessa situazione; ancora, fornisce prodotti e servizi, come borse e pacchetti di campioni di prodotti, invii postali e newsletter, ritratti e servizi di pubblicazione settimanali. Infine, gestisce Bounty Boutique, un negozio online che vende giocattoli, coperte e mussole, carte e accessori (fonte: Bloomberg).
Durante le indagini è emerso altresì che la società avesse operato, sino al 30 aprile dello scorso anno, anche trasferendo i dati raccolti, cedendoli, a soggetti terzi per finalità di marketing diretto tramite modalità elettroniche, per un ammontare di oltre 34 milioni di record tra giugno 2017 e aprile 2018. Tali dati sono stati ceduti a un totale di 39 organizzazioni (tra cui le quattro di maggior rilievo sono Acxiom, Equifax, Indicia e Sky) operanti nel credito al consumo e nel marketing.
I dati personali condivisi erano riferibili a neomamme o future madri, neonati o bambini molto piccoli e includevano, oltre alla data di nascita e al sesso del bambino, anche altre informazioni particolarmente meritevoli di tutela.
Inoltre, il procedimento ispettivo ha rilevato che per le registrazioni online, sebbene l’informativa sul trattamento dei dati personali resa da Bounty fornisse “una descrizione ragionevolmente chiara delle organizzazioni con le quali potevano condividere le informazioni”, non indicava in modo esplicito nessuno dei quattro maggiori destinatari sopra citati.
Infine, è risultato che le finalità di marketing (anche da parte di terzi) non soggiacessero al cosiddetto otp-in, ossia un’espressione libera, volontaria, chiara, inequivocabile e specifica del consenso degli interessati.
Le ragioni della sanzione.
Secondo la legislazione del Regno Unito, pertanto, la Bounty ha violato il Data Protection Act del 1998 (il loro omologo del nostro Codice privacy), condividendo le informazioni in suo possesso con un numero di organizzazioni terze senza rendere un’idonea informativa, in particolare sotto al profilo della chiarezza al riguardo di tale attività di trattamento, agli interessati.
Steve Eckersley, dell’ICO, ha dichiarato:
“Il numero di documenti personali e di persone coinvolte in questo caso non ha precedenti nella storia delle indagini condotte dall’ICO nei settori dell’intermediazione di dati e delle organizzazioni collegate a questo.
Bounty non ha tenuto un comportamento aperto e trasparente verso le milioni di persone interessate, che, quindi, non erano a debita conoscenza del fatto che i loro dati personali potessero essere trasmessi a un numero così grande di organizzazioni. Qualsiasi consenso dato da queste persone era chiaramente non informato. Le azioni di Bounty sembravano essere state motivate dal guadagno finanziario, dato che la condivisione dei dati era una parte integrante del loro modello di business al momento.
Tale sconsiderata condivisione di dati potrebbe aver causato disagio a molte persone, dal momento che non sapevano che le loro informazioni personali venissero condivise più volte con così tante organizzazioni, incluse le informazioni sul loro stato di gravidanza e sui loro figli”.
Dopo Google, un altro caso.
Solo poche settimane fa un’altra autorità di controllo, la CNIL, aveva sanzionato Google per la stessa ragione (qui l’articolo).
Appare sempre più chiaro, quindi, la centralità della trasparenza e della completezza delle informazioni da rendere alle persone di cui si vogliono trattare i dati personali, sulla base delle quali esse possono esprimere un consenso regolare oppure rifiutarci il trattamento per determinate finalità.
Ne consegue che determinare il contenuto di un’informativa, disciplinata dagli articoli 13 e 14 del GDPR e dalle linee guida dell’EDPB sulla trasparenza, non è così semplice e dovrebbe essere oggetto di una progettazione approfondita, poiché dovrebbe rispecchiare in modo fedele l’ambito e il contesto a cui si deve riferire.
L’attenzione al dettaglio non è mai troppa e la sanzione, come abbiamo visto, è dietro l’angolo e potrebbe non essere irrisoria.
Fonte: Fiscal Focus