Il Garante Privacy ha vietato ad un portale di comparazione di prezzi di effettuare il trattamento di dati personali per finalità di marketing e di cessione degli stessi ad altre aziende. Nello specifico, la raccolta del dato veniva effettuata impiegando un pop up (banner a video) senza richiedere il consenso specifico e libero agli utenti.
L’autorità è intervenuta a seguito di numerose segnalazioni inviate dagli utenti e relative alla ricezione di comunicazioni indesiderate di natura promozionale, inviate dalla stessa società via SMS o via email, ma anche di chiamate telefoniche sempre di natura commerciale su numeri telefonici sia fissi che mobili effettuate da call center per conto di aziende terze del settore energetico e telefonia.
La GdF che ha condotto le indagini ha rilevato che l’utente non poteva accedere ai servizi messi a disposizione dal portale senza aver prima accettato necessariamente il trattamento dei dati per diverse finalità, tra le altre, marketing e cessione di dati ad aziende terze. Il consenso richiesto peraltro era unico per entrambe le finalità. Sebbene l’informativa riportasse le diverse finalità di trattamento correttamente, il consenso non era richiesto dunque nella forma idonea e rispettosa dei requisiti richiesti dalla legge. Nel dettaglio la tecnica utilizzata era quella di non consentire di concludere la registrazione e quindi l’invio della richiesta da parte dell’utente senza aver prima spuntato l'unica casella del consenso riferita all’uso dei dati per fini di marketing e cessione a terzi. L’azienda infatti avrebbe dovuto richiedere uno specifico consenso per ciascuna finalità di trattamento in quanto si trattava di due finalità diverse e ulteriori rispetto a quella specificamente riferita alla fruizione del servizio e avrebbe dovuto consentire all’utente di effettuare la propria scelta liberamente senza condizionarla all’out-out del tutto o niente, ovvero servizio richiesto comprensivo dell’uso dei dati anche per fini diversi.
Il Garante ha sottolineato nel suo provvedimento inibitorio che la raccolta e/o la conservazione di dati personali, effettuate in violazione dell’obbligo del consenso informato, rappresentano un trattamento illecito dei dati al di là del loro ulteriore utilizzo, i dati raccolti dunque con il pop up inidoneo possono essere utilizzati esclusivamente per l’esecuzione delle richieste degli utenti.
La società dunque per utilizzare in futuro i dati anche per quelle ulteriori finalità dovrà adeguare le proprie richieste di consenso modificando il banner pop up in modo che i consensi vengano adeguatamente richiesti e ottenuti nel rispetto delle norme.
L’Autorità ha rilevato anche che alcuni dati venivano acquisiti da elenchi di altre aziende senza aver richiesto il consenso, la società accertata infatti non è riuscita a dimostrare, quindi non aveva una traccia documentabile, di aver ricevuto il consenso libero e specifico per il marketing né quello per la comunicazione dei dati a terzi che li avrebbero usati per scopi promozionali.
L’azienda dovrà avvisare anche tutti i destinatari cui ha comunicato, cedendoli, tali dati, dell’impossibilità di utilizzarli, in quanto sprovvisti di consenso necessario.
Per tali violazioni sono state comminate le dovute sanzioni amministrative, mentre il Garante, per la lotta al telemarketing selvaggio, si è riservato di procedere anche con eventuali accertamenti nei confronti dei partner commerciali della società.