Il Garante Privacy si è recentemente pronunciato con un provvedimento nei confronti di una società, ribadendo un principio che negli ultimi mesi viene pesantemente minacciato da diverse società: gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing. Nel provvedimento, il Garante ha quindi sottolineato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell’invio di comunicazioni promozionali: non si può cioè obbligare una persona a ricevere pubblicità solo per avere accesso alla “vetrina online” di un sito. Il Garante ha vietato alla Società di utilizzare per attività di marketing i dati personali degli utenti registrati poiché detta società ha agito “in violazione dei principi di minimizzazione dei dati personali, necessità e correttezza di cui agli artt. 3 e 11, comma 1, lett. d) ed a), del Codice, nonché in assenza di un previo consenso manifestato liberamente e specificamente ai sensi dell’art. 130, commi 1 e 2, del Codice (punti 3.1 e 3.2)” (fonte doc. web n. 6955363 – sito web www.garanteprivacy.it).
Nello specifico, l’Autorità ha rilevato che con riferimento alle modalità di raccolta dei dati personali attraverso il form presente sul sito della società contestata, è stato accertato che, per “navigare” in tutte le pagine del sito e acquistare i prodotti reclamizzati dallo stesso, occorreva «necessariamente flaggare la casella posta in corrispondenza della voce “Accetto i Termini e Condizioni e la Privacy Policy”; policy che, con riguardo alle finalità del trattamento dei dati raccolti, faceva espresso riferimento, oltre che alle «finalità direttamente connesse e strumentali all’attivazione e al funzionamento dei servizi offerti» dalla Società, anche alle finalità promozionali della medesima . Nell’ipotesi in cui non fosse stato rilasciato detto consenso da parte dell’utente, lo stesso non avrebbe potuto registrarsi al sito e quindi avrebbe fruito di alcun servizio, ivi compreso l’acquisto di prodotti. Invece, soltanto con il rilascio del citato consenso, l’utente accettando la Privacy Policy del sito era automaticamente inserito nella mailing-list di invio della newsletter. In questo modo, la società registrava in una banca dati una grande quantità di indirizzi e-mail e altri dati, per l’invio di pubblicità non richiesta. I dati richiesti dalla società in fase di registrazione, tra l’altro, spesso non erano necessari per la navigazione nel sito e neppure per l’acquisto dei prodotti reclamizzati, in violazione dei principi di minimizzazione e di necessità previsti dal Codice della privacy.