Spia e fatti spiare

Se vi è capitato di essere costretti a registrarvi su una piattaforma di shopping online per fare anche un singolo acquisto, trovandovi poi a ricevere newsletter e offerte promozionali da quel sito, è bene sapere che questa antipatica pratica viola il GDPR.

Lo evidenzia quanto accaduto a un cliente di Verkkokauppa.com, azienda finlandese che vende i suoi prodotti sia con consegna a domicilio sia attraverso 4 megastore e oltre 2500 punti di ritiro, che fattura oltre 500 milioni di euro l’anno.

Indagando sulle attività di Verkkokauppa.com a seguito di una denuncia presentata da un cliente indispettito dall’obbligo impostogli di registrarsi come utente sul sito di e-commerce anche per effettuare un singolo acquisto, il garante per la protezione dei dati (Ombudsman), ha infatti scoperto un trucchetto attuato dalla società finlandese per ottenere i dati personali degli aspiranti acquirenti e conservarli poi a tempo indeterminato, mettendosi così in condizione di profilarli e inviare loro le proprie newsletter contenenti promozioni e offerte mirate in base ai loro gusti ed abitudini di acquisto.

In pratica era impossibile fare acquisti nel negozio online senza creare un account sulla piattaforma online, perché la procedura di Verkkokauppa.com non prevedeva alternativa a quella di registrarsi obbligatoriamente al sito come cliente prima di effettuare acquisti.

E non solo il sito di acquisti online obbligava i clienti a creare un account fornendo dati come il loro nome e cognome, email, indirizzo di consegna, e recapiti telefonici, ma conservava tutte quelle informazioni a tempo indeterminato insieme alla cronologia di tutti ordini effettuati, accumulando così uno storico dalla cui analisi era possibile formulare nuove proposte d’acquisto personalizzate.

Anche se la Verkkokauppa.com si era giustificata sostenendo che sarebbero stati “gli clienti stessi a determinare il periodo di conservazione dei propri dati, poiché essi possono richiedere la chiusura del proprio account e la cancellazione dei propri dati in qualsiasi momento”, d’altra parte tali asserzioni non sono bastate a persuadere l’autorità per la privacy finlandese, la quale ha sentenziato che Verkkokauppa.com avrebbe invece deciso consapevolmente di non specificare un periodo di conservazione per i dati raccolti, e quindi gli utenti si sarebbero trovati schedati a tempo indeterminato con la sola possibilità di correre successivamente ai ripari chiedendo la cancellazione del proprio account e dei loro dati personali dal sito di e-commerce.

Ma in base al principio di accountability previsto dal GDPR, come ha precisato la stessa autorità al termine delle indagini, è responsabilità della società di e-commerce, come titolare del trattamento, di stabilire termini adeguati per la conservazione dei dati personali dei clienti, e la memorizzazione delle informazioni non può essere giustificata dal fatto che essi possano semplicemente richiederne la cancellazione.

Il garante finlandese ha così ritenuto che Verkkokauppa.com, rendendo obbligatoria la creazione di un account cliente con la conseguente memorizzazione indefinita dei dati un requisito per effettuare acquisti online, abbia violato gli art. 5, paragrafo 1, lettera e) e l’art. 25, paragrafo 2 del GDPR, e per questo ha infine imposto una sanzione amministrativa di ben 856.000 euro alla società di e-commerce, che da parte sua pare non rassegnarsi a pagare la multa, in quanto avrebbe già manifestato l’intenzione di voler fare ricorso al provvedimento amministrativo inflittole dall’autorità, anche se le regole in materia di protezione dei dati sono ormai ben note e valide per tutti i paesi membri dell’UE, compresa l’Italia.

Oltre alla pesante multa, il garante ha ordinato alla società Verkkokauppa.com Oyj anche di specificare nella propria informativa sulla privacy un periodo di conservazione adeguato per le informazioni degli account e di rivedere e rettificare la propria procedura di registrazione obbligatoria, permettendo così ai clienti che desiderano fare singoli acquisti di avere la possibilità di evitare di essere schedati e poi vessati da comunicazioni pubblicitarie indesiderate.

di Nicola Bernardi, presidente di Federprivacy @Nicola_Bernardi

Blog

Fatti, attualità, curiosità, e approfondimenti riguardanti uno dei diritti fondamentali dell'individuo sempre più complessi e sfuggenti: quello alla privacy e alla protezione dei dati personali

Indica un intervallo di date:

Archivio post

Post Recenti

Viola la privacy il sito di e-commerce che ti obbliga a registrarti per fare acquisti online

Il paradosso della privacy dei lavoratori che vengono istruiti per rispettarla mentre la loro viene violata

Data Protection Officer e CISO, tra i due litiganti il terzo gode

Segui anche su

Twitter
@Nicola_Bernardi

RSS
Segui

Commenti Recenti

Ho dei dubbi che la mia compagna che ė molto gelosa, mi sta spionando. Sono sic...

[…] stessa compagnia aerea. Una ricerca della Carnegie Mellon University...

[…] Attenzione alle app che vi rubano la privacy per fare soldi con i dati...

I Nostri Blog

Alley Oop

La domanda

In cerca di idee