Il Garante per la Protezione dei Dati Personali ha recentemente dichiarato illecito il trattamento di dati personali acquisiti da una sito di comparazione commerciale (gas, energia, mutui, ecc.) che prestava il proprio servizio solo se il potenziale cliente offriva il consenso al trattamento tramite un unico segno di spunta nel modulo da completare via web. L’illecito risiedeva nel fatto che il consenso, una volta fornito, permetteva la comunicazione dei dati personali a società terze che potevano utilizzarli per scopi promozionali; viceversa, la mancanza del consenso inibiva il completamento del modulo e non permetteva all’utente di andare avanti nella sua richiesta di comparazione. In pratica, il Garante ha sanzionato la pratica del “tutto o niente” cioè “Se accetti di avere il mio servizio devi accettare anche le mail pubblicitarie dei miei partner commerciali”.
Ricordiamo che il consenso deve essere libero, specifico ed informato. In particolare, le linee guida sul consenso, approvate in via definitiva dal WP29 il 10 aprile scorso, si soffermano sul concetto di granularità ovvero sul dovere del titolare, qualora un servizio coinvolga più processi di trattamento con finalità diverse, di acquisire tanti consensi quante sono le finalità. Quindi, in questo caso, la società sanzionata avrebbe dovuto acquisire almeno due consensi: uno per il trattamento dei dati finalizzati alla formulazione dei preventivi comparati ed un altro per la comunicazione dei dati a soggetti terzi per fii di marketing.
Il Garante, inoltre, ha dichiarato illegittimo l’intero trattamento, e non solo la comunicazione a terzi, perché avvenuto in violazione delle norme sul consenso.
Infine, il Garante ha intimato alla società di comparazione di informare i propri partner sulla inutilizzabilità dei dati comunicati vista l’illeicità a monte della raccolta effettuata.
Lo abbiamo imparato fin da bambini: non c’è cosa peggiore dei muri di gomma!