Consensi sui siti web: multati due siti di comparazione di polizze per circa 120.000 euro. Non hanno potuto dimostrare la validità dei consensi acquisiti dagli utenti.

L’attività istruttoria del Garante

Tra Febbraio e Marzo 2022 il Garante ha effettuato accertamenti ispettivi presso la sede della società XX al fine di verificare le modalità della raccolta di dati personali. In dettaglio l’attività ispettiva ha avuto la finalità di approfondire:

  • l’uso dei dati personali degli utenti a fini di marketing;
  • la comunicazione dei dati personali a terzi;
  • la procedura adottata per garantire agli interessati l’esercizio dei propri diritti

in relazione ai dati raccolti tramite due siti web di confronto polizze online.

L’ispezione è avvenuta in base alla pianificazione delle attività ispettive del Garante previste per il primo semestre del 2022. L’accertamento è avvenuto simulando una richiesta di comparazione di preventivi auto in entrambi i siti sotto osservazione, verificando poi le registrazioni corrispondenti nel sistemi della Società. Sistemi ai quali il team ispettivo ha richiesto ed avuto accesso diretto.

Per saperne di più > Ispezioni Garante Privacy? Niente panico, ecco cosa fare

Le risultanze dell’attività istruttoria

L’attività istruttoria ha permesso di accertare che:

  • una volta compilati i campi richiesti, l’utente visualizzava la richiesta di due distinti consensi per due diverse attività di trattamento. Alcuni di questi consensi erano presentati come “obbligatori” e riguardavano la dichiarazione di presa visione dell’informativa e il consenso alla trasmissioni dei dati dell’interessati alle compagnie assicurative per elaborare preventivi e finalizzare i contratti;
    su uno dei siti web il consenso relativo a “ricerca e profilazione” era preselezionato, mentre nell’altro sito risultavano già selezionati tutti i consensi facoltativi;
    in corso di compilazione del preventivo, uno di siti web mostrava un pop up all’utente con la richiesta “Possiamo contattarti in merito a questo preventivo? SI/NO”. L’azienda ha chiarito che tale funzionalità permetteva di contattare l’utente anche nel caso in cui non avesse portato a termine la compilazione per il preventivo;
    all’esito della compilazione, l’utente riceveva una email di conferma con un link “Vai al preventivo” per visualizzare il risultato. A prova diretta eseguita, il Garante ha accertato che, se veniva cliccato il tasto Vai al preventivo, tutti i consensi facoltativi (anche se non concessi) venivano automaticamente trasformati in Si nel sistemi aziendali. Ignorando quindi le scelte espresse dall’utente;
  • le società terze alle quali l’azienda ha fornito i dati degli utenti a finalità di marketing non figuravano (se non in minima parte) nell’elenco delle società terze concessionarie dei dati dei due siti web.

La verifica sui dati dei reclamanti

Oltre al Piano Ispettivo del Garante per il primo semestre 2022, le motivazioni che hanno portato all’attivazione dell’Autorità vedono anche i reclami di tre utenti. Utenti che avevano inviato segnalazioni al Garante a causa della ricezione di messaggi promozionali. Così il Garante ha posto a verifica il trattamento dati di questi tre utenti, ricostruendo come questi avessero ricevuto i messaggi promozionali nonostante:

  • alcuni avessero revocato i consensi espressi sui siti web al trattamento dati per finalità di marketing;
  • altri non avessero mai prestato il consenso per tali attività.

Il Garante contesta le violazioni riscontrate: i consensi raccolti sui due siti web illegittimi

“L’Ufficio ha ritenuto sussistente un quadro di complessiva carenza di misure tecniche e organizzative del titolare. Ciò in ragione di diversi errori di sistema che avevano portato ad aggirare la volontà espressa dagli interessati con il conseguente invio di messaggi promozionali e con la conseguente comunicazione a terzi in assenza di un idoneo consenso”

si legge nel provvedimento.

Ancora:

“la stessa impostazione dei sistemi, che incentrava l’anagrafica sulla base del preventivo e non dell’utente, non consentiva la corretta gestione nel tempo della volontà dell’interessato che, in mancanza della registrazione come utente in un’apposita area personale, non poteva neanche avvalersi della facoltà di verificare/ modificare i dati rilasciati e i consensi resi (se non, ovviamente, scrivendo direttamente alla Società)”.

In concreto per 9700 utenti l’azienda ha registrato un consenso che non dimostra la reale volontà dell’utente, per 2155 invece è stato registrato un consenso mai espresso. Il Garante ha comunque sottolineato come, tenuto conto dei numerosi singoli consensi richiesti al termine del preventivo, si sia dimostrato complesso capire se il consenso al ricevimento di comunicazioni promozionali riferisse all’azienda stessa o ai partner terzi.

Caos consensi sui siti web: non serve chiederne tanti, vanno chiesti (in maniera chiara) quelli utili!

Il Garante ha trovato estremamente confusa anche l’informativa privacy. Ad esempio dall’informativa non è chiaro, in relazione alle attività di profilazione, se la finalità di questo trattamento fosse meramente staistica oppure se finalizzata a comunicazioni personalizzate.

Su presupposti tali, sottolinea il Garante,

“si è ritenuto che ogni consenso eventualmente ottenuto non avrebbe potuto considerarsi di fatto informato e, di conseguenza, libero dal momento che non era chiara la finalità per la quale veniva effettuata la profilazione sui dati conferiti e, di conseguenza, l’interessato non era in grado di valutare le conseguenze di tale trattamento. Analoghe considerazioni sono state fatte per la comunicazione a terzi e per le finalità di marketing.

La mancanza di chiari e definiti tempi di conservazione dei dati è solo l’ulteriore tassello.

Il Garante quindi, valutata anche la difesa dell’azienda e i correttivi già posti in essere, ha ritenuto congrua l’inflizione di una sanzione amministrativa di 120.000 euro. Nonché la pubblicazione del provvedimento sul sito web del Garante.

Il provvedimento completo è consultabile qui


Vuoi verificare se il tuo sito web è conforme alla normativa vigente? Ti serve un esperto che verifichi o produca per te la documentazione privacy? Contattaci, ti aiuteremo noi!