Nel corso di un’attività ispettiva avviata d’ufficio in forza di alcune segnalazioni e di un reclamo, il Garante per la Protezione dei Dati personali (“Garante” o l’“Autorità”), ha accertato la mancata osservanza di numerose disposizioni del GDPR (di seguito anche “Regolamento”) in tema di trattamento dei dati per finalità di marketing, posto in essere dalla società “Assiteca S.p.a.” (broker di assicurazioni, “Assiteca”).
A seguito di un accertamento ispettivo presso la sede della società, l’Autorità ha riscontrato numerose violazioni della normativa europea rispetto alle modalità di gestione dei dati personali degli utenti dei portali e, di proprietà di Assiteca. Il Garante ha ritenuto non adeguate le misure tecniche ed organizzative predisposte dalla società, che ha hanno portato ad aggirare la volontà espressa dagli utenti in merito alle finalità del trattamento ed a causare diversi errori di sistema. Tale carenza ha generato un invio non richiesto agli interessati di messaggi promozionali e la comunicazione a terzi dei dati personali degli utenti in assenza di idoneo consenso.
Le violazioni riscontrate dal Garante
Dall’indagine effettuata, è emerso che, al termine della compilazione dei campi nei siti su menzionati, veniva richiesto il rilascio di distinti consensi per altrettante finalità di trattamento, oltre a specifici consensi per l’approvazione di clausole contrattuali. Con riguardo ai consensi relativi al trattamento dei dati personali, alcuni di essi erano qualificati come “obbligatori” ed erano relativi alla dichiarazione di presa visione dell’informativa e all’assenso alla comunicazione dei dati alle compagnie assicurative per l’elaborazione dei preventivi e per la finalizzazione del contratto con le stesse. Dalla simulazione di una richiesta di preventivo effettuata dall’Autorità sui portali della società, è emerso che sul sito www.6sicuro.it il consenso relativo a “ricerca e profilazione” risultava preselezionato e sul sito www.chiarezza.it, erano “preflaggati” tutti i consensi facoltativi.
È stato riscontrato inoltre che i dati raccolti dalla società, mediante l’elaborazione del preventivo, erano ad esso collegati e non al singolo utente, e che venivano salvati solo al termine della procedura di compilazione, all’esito della quale l’utente riceveva un’e-mail di conferma. Quest’ultima conteneva un link che riportava l’utente al preventivo appena effettuato che, ove selezionato, automaticamente valorizzava nei sistemi della società come concessi tutti i consensi facoltativi, anche se non concessi.
Preso atto della difesa della società, che, con due memorie, ha giustificato quanto contestato dai verbalizzanti, l’Autorità ha riscontrato le seguenti violazioni.
1) Inadeguatezza delle misure tecniche e organizzative. Il sistema così strutturato, anche a seguito dell’integrazione di due diversi sistemi societari, non ha permesso una corretta gestione della volontà manifestata dall’interessato. Con riguardo agli specifici aspetti legati ai consensi “preflaggati” (in ragione di una volontà già manifestata) e al trattamento incentrato sul preventivo invece che sull’utente, pur essendo chiaro che tali modalità di trattamento non costituiscono, di per sé una violazione delle norme, l’Autorità chiarisce che il fatto che non sussista uno specifico obbligo giuridico non significa che il trattamento sia, per ciò solo, conforme ai dettami del Regolamento: spetta al titolare, scegliere le modalità più conformi alla propria natura e al tipo di trattamento che dovrà realizzare oltre che, ovviamente, alle soluzioni disponibili allo stato dell’arte. Il Garante, preso atto dell’imminente aggiornamento dei sistemi già programmato dalla società, prima dell’accertamento ispettivo, ha ritenuto non necessario intervenire con ulteriori misure correttive.
2) Informativa poco chiara. Con riguardo, invece, all’idoneità dei consensi acquisiti, è stato osservato che la società – come descritto nell’informativa privacy - basava sul consenso il trattamento per finalità di marketing, la comunicazione a terzi e la profilazione. Inoltre, con riguardo alle “finalità di comunicazione e commerciali”, tenuto conto dei numerosi consensi che venivano richiesti al termine del preventivo, è stato ritenuto dall’Autorità difficile comprendere se tale trattamento riguardasse comunicazioni promozionali di Assiteca oppure (anche o esclusivamente) la comunicazione a terzi per proprie finalità promozionali.
3) Consenso al trattamento dati per finalità promozionali. Dagli accertamenti svolti, come descritto sopra, è stato rilevato che, a causa di un bug di sistema, la volontà di alcuni utenti non è stata correttamente recepita, considerato che alcuni consensi risultavano involontariamente prestati e registrati nel sistema aziendale dopo l’accesso al preventivo generato sui portali effettuato cliccando sul link allegato all’e-mail recapitata all’utente. Il Garante ha però rilevato che per circa 9.700 utenti è stato registrato un consenso che non ne comprova la reale volontà e, per 2.155 di questi, è stato acquisito un consenso che non era mai stato espresso, in violazione degli artt. 6, par. 1, lett. a) e 7 del Regolamento.
4) Tempi di conservazione dei dati personali. Dai documenti prodotti dalla società in sede di ispezione, è emerso che la società identificava due tipologie di trattamento: i) elaborazione di preventivi assicurativi; ii) iniziative di marketing, cessione dati a terzi, profilazione, invio newsletter. Per entrambe veniva indicata la base giuridica del consenso e i tempi di conservazione dei dati erano “fino a revoca del consenso”, non definendo quindi la data retention per le singole finalità.
Pur tenendo in debita considerazione l’atteggiamento collaborativo della società e la tempestiva adozione di misure correttive, le aggravanti - dell’ampia portata dei trattamenti, in termini di numero di soggetti coinvolti e la gravità delle violazioni riscontrate - il Garante ha ritenuto di dover comminare ad Assiteca una sanzione amministrativa pecuniaria per euro 120.000,00.
Avv. Sabrina Salmeri e Dott.ssa Rossella Taddei
Newsletter
Iscriviti per ricevere i nostri aggiornamenti
