L'autorità belga per la protezione dei dati ha inflitto una multa di 50.000 euro ad un fornitore di social media per il trattamento illecito di dati personali in relazione alla funzione "invite-a-friend" offerta sulla sua piattaforma, delineando le condizioni per l’utilizzo e concludendo poi con delle precisazioni riguardanti l’invio di e-mail finalizzate all’acquisizione del consenso per attività di marketing.
La funzione “invita un amico”
La funzione mira ad aumentare continuamente la base di utenti incoraggiando sia gli utenti esistenti che i nuovi iscritti ad invitare i loro amici sulla piattaforma di social media. Nel caso in oggetto, il provider sosteneva che la funzionalità “invita un amico” implementata fosse legittima e che non rientrava nel campo di applicazione del GDPR in virtù della cosiddetta "esenzione domestica" menzionata all’interno Considerando 18 del testo europeo, che consente a ciascuno di noi di elaborare dati personali (a titolo meramente esemplificativo, sui nostri amici e familiari) nel contesto della nostre vite private.
I rilievi
In primo luogo, l'utente che sceglie di utilizzare la funzione "invita un amico" non può dare una forma valida di consenso al trattamento dei dati personali del destinatario. Il Garante ha precisato che solo l'interessato i cui dati personali sono trattati può validamente acconsentire al trattamento (salvo eccezioni specifiche come il consenso dei genitori). Nel caso in cui i dati personali forniti riguardino una terza parte, tale terza parte deve dare il proprio consenso in conformità alle condizioni di cui agli articoli 4, n.11 e 7 del GDPR.
Ci si chiede se l’interesse legittimo del titolare possa costituire una valida base giuridica per il trattamento dei dati degli utenti.
Tale base giuridica sarebbe soddisfatta solo se:
- gli interessi perseguiti dal trattamento, possono essere riconosciuti come legittimi ("purpose test");
- il trattamento previsto è necessario ai fini del trattamento stesso ("necessity test");
- la ponderazione di questi interessi rispetto ai diritti e alle libertà fondamentali delle persone interessate dalla protezione dei dati pesa a favore del responsabile del trattamento o di un terzo ("balancing test").
Nel caso di specie, il Garante ha ritenuto il consenso condicio sine qua non, in quanto gli interessati non si sarebbero potuti ragionevolmente aspettare un simile ed invasivo trattamento di dati.
L’invio di e-mail di richiesta del consenso a ricevere comunicazioni commerciali
Il Garante ha precisato che non è lecito, ai sensi del GDPR, inviare una e-mail finalizzata esclusivamente a chiedere il consenso per l’invio successivo di comunicazioni commerciali. Per l’invio di e-mail di marketing, infatti, è necessario il consenso dell’interessato, che deve essere preventivo rispetto al trattamento dei dati.
Si rammenta altresì che anche il Garante privacy italiano, con il provvedimento del 22 giugno 2016, aveva già affermato il principio secondo cui il trattamento dei dati dell’interessato tramite invio di comunicazioni allo scopo di chiedere il consenso per finalità di marketing è un trattamento per finalità di marketing ipso facto, per cui è necessario ottenere il relativo consenso.
Conclusioni
Essendo frutto della cooperazione dell’Autorità belga con altre 23 autorità di controllo di 16 Stati membri (Italia compresa), i principi stabiliti nella pronuncia hanno valenza generale sul territorio dell’Unione.
Sulla base delle constatazioni di mancata trasparenza e di motivazioni giuridiche inopportunamente documentate e giustificate, il Garante belga ha imposto un'ammenda di 50.000 euro. Per evitare una simile sanzione, il social network avrebbe dovuto riflettere attentamente sulla base giuridica da invocare per le suddette attività di trattamento e predisporre idonee informative in ossequio agli articoli 13 e 14 del GDPR, assicurando il rispetto di tutti gli elementi a cui si fa riferimento in tali disposizioni.
