Il Garante della Privacy si è nuovamente pronunciato sul consenso al trattamento dei dati personali richiesto per la partecipazione a concorsi promozionali online.
In seguito ad un’indagine svolta nel 2008, è emerso che una società che gestisce i siti web di note emittenti radio nazionali ha raccolto per oltre un anno i dati personali dei suoi utenti attraverso una procedura in violazione della disciplina vigente.
Per partecipare ai concorsi online o per registrarsi ai siti l’utente era di fatto obbligato a esprimere il consenso al trattamento dei dati. In particolare la società richiedeva, attraverso un unico consenso, l’autorizzazione al trattamento dei dati sia per le finalità strettamente necessarie alla fornitura del servizio sia per ulteriori trattamenti, quali il trasferimento dei propri dati ad altre società, l’invio di comunicazioni commerciali e alcune “operazioni di profiling” i cui risultati potevano essere comunicati a società del gruppo ed a partners commerciali.
Il Garante ha rilevato l’illeicità di questa procedura sotto diversi aspetti. La società, infatti, non è tenuta a chiedere il consenso al trattamento dei dati personali necessari per attuare un servizio richiesto dall’utente. Tale richiesta è superflua dal momento che l’utente è parte interessata del contratto e il trattamento dei dati è un’operazione finalizzata all’esecuzione dallo stesso.
La normativa sulla privacy, inoltre, stabilisce che il consenso deve essere specifico. Gli utenti devono poter esprimere il consenso in relazione ad ogni diverso trattamento dei propri dati. È necessario poi che venga specificata l’identità di ogni soggetto coinvolto nell’utilizzo delle informazioni, un’indicazione non presente nei form dei siti in esame.
Ma soprattutto, una procedura di registrazione che renda obbligatorio autorizzare il trattamento dei propri dati per usufruire di un servizio risulta in violazione del Codice della privacy, art.23, secondo cui “il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato“.
Il provvedimento nega quindi l’utilizzo dei dati raccolti e prescrive alla società di riformulare correttamente il modulo di registrazione ai concorsi e ai siti.
Il Garante della Privacy ha così ribadito il principio per cui il consenso al trattamento dei dati personali dev’essere frutto di un atto libero e consapevole (Provv. 12 ottobre 2005 , doc. web n. 1179604; Provv. 3 novembre 2005 , doc. web n. 1195215; Provv. 10 maggio 2006 , doc. web n. 1298709; Provv. 31 gennaio 2008, doc. web n. 1490553 in www.garanteprivacy.it).
Aggiungi commento