Le piattaforme dello shopping on line costituiscono allo stato l’attuale frontiera degli acquisti per una moltitudine di consumatori. La diffusione di tale modalità di acquisto sta generando un mercato sempre più florido, che per molteplici ragioni, quali le tempistiche, le modalità di servizio, la pigrizia del consumatore, sta subentrando progressivamente allo shopping tradizionale, imponendosi con modalità e caratteristiche sue proprie.
Con questa imperante modalità di shopping on line si sono sviluppate molteplici problematiche collegate dalla data protection, molte delle quali riconducibili alla possibilità per gli utenti di navigare liberamente su siti di e-commerce, senza essere obbligati a rilasciare il consenso atto a consentire l’uso dei dati personali per finalità di marketing oppure a rilasciarlo con modalità e artifizi che incidono sulla libera capacità di autodeterminazione degli utenti.
Ed è a questo proposito che è intervenuta la decisione del Garante per la protezione dei dati personali italiano (Provvedimento sul trattamento per finalità di marketing di dati personali raccolti mediante un sito web - 20 luglio 2017 [doc.web.6955363], in seguito alla segnalazione di numerosi utenti che lamentavano la ricezione di pubblicità indesiderata da parte di una società di shopping on line e il mancato rispetto del diritto di opposizione al trattamento dei loro dati.
Dai riscontri raccolti dal Garante privacy, anche grazie all'attività ispettiva svolta in collaborazione con il Nucleo Speciale Privacy della Guardia di Finanza, è emerso che gli utenti che desideravano accedere alle sezioni del sito web gestito dalla società di e-commerce, ed eventualmente acquistare i prodotti in vetrina, erano preventivamente obbligati a registrarsi e contestualmente a “flaggare” la casella posta in corrispondenza della voce “Accetto i Termini e Condizioni e la Privacy Policy”. Tale policy, con riguardo alle finalità del trattamento dei dati raccolti, faceva espresso riferimento, oltre che alle «finalità direttamente connesse e strumentali all’attivazione e al funzionamento dei servizi offerti» dalla Società, anche alle finalità promozionali della medesima. Solo dopo aver barrato la casella con il click richiesto si poteva accedere al servizio desiderato.
La circostanza su cui è opportuno soffermarsi e su cui la stessa Autorità privacy ha posto l’attenzione riguardo al caso di specie concerne il fatto che con l'adesione alla policy del sito, con un unico click, l'utente acconsentiva che i propri dati venissero utilizzati non solo per le finalità connesse ai servizi offerti on line, cioè quelli desiderati e per i quali si accedeva alla rete, ma anche per finalità di promozione commerciale, sia della società stessa, sia di suoi partner commerciali.
Su questo, l’indirizzo del Garante privacy è sempre stato coerente ed esplicito nel sostenere che il consenso per finalità commerciali dovrebbe essere chiesto ogni volta con un click aggiuntivo e ben distinto da quello per il servizio richiesto e fornito (vedasi "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013, pubblicate in G.U. n. 174 del 26 luglio 2013 e in www.garanteprivacy.it, doc. web n. 2542348; nonché il provvedimento generale del 29 maggio 2003 volto a individuare corrette modalità di invio delle email a contenuto promozionale, doc. web n. 29840).
A seguito delle segnalazioni degli utenti e dell’attività ispettiva condotta, è emerso che una mole ingente di indirizzi e-mail e di altri dati raccolti in questo modo venivano registrati in una banca dati per l'invio di pubblicità non richiesta e dunque indesiderata.
Nel provvedimento in questione, il Garante ha ricordato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell'invio di comunicazioni promozionali, non potendo quindi obbligare una persona a ricevere pubblicità solo per avere accesso alla “vetrina online” di un sito.
Da tale analisi è anche emerso che i dati richiesti dalla società in fase di registrazione, nella maggior parte casi, non risultavano essere necessari per la navigazione nel sito stesso e neppure per l'acquisto dei prodotti pubblicizzati, in violazione di principi previsti dal Codice della privacy (D.lgs. 196/2003).
In particolare, la condotta realizzata si pone in primo luogo in violazione con i principi di minimizzazione dei dati personali e di necessità, di cui agli artt. 3 e 11, comma 1, lett. d), del Codice privacy, atteso che il trattamento dell'informazione relativa all'indirizzo di posta elettronica non può ritenersi necessario per consentire la “navigazione” nel sito web ai fini della visualizzazione delle proposte commerciali ivi contenute. Inoltre, tali dati personali non possono formare oggetto di raccolta neppure quando l'utente effettui acquisti mediante il sito e-commerce.
Ancora, la condotta realizzata si pone anche in violazione ai principi di correttezza di cui all'art. 11, comma 1, lett. a), del Codice privacy, atteso che la capacità di autodeterminazione degli utenti e dunque la libertà del consenso che sono chiamati a manifestare, non è assicurata quando si assoggetta, come nel caso di specie, il mero accesso ad un sito di commercio elettronico, prima ancora che la fruizione di prestazioni dedotte in contratto, alla contestuale autorizzazione a trattare i dati conferiti per una finalità diversa, qual è quella promozionale e pubblicitaria (tra i più recenti, cfr. provvedimenti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; 15 luglio 2010, doc. web n. 1741998).
Il Garante al termine del Provvedimento ricorda che, “ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro ai sensi dell'art. 162, comma 2-ter del Codice”.
In conclusione, con il Provvedimento in questione, l’Autorità Garante ha vietato categoricamente alla Società di utilizzare per attività di marketing i dati personali raccolti, mentre il Nucleo Speciale Privacy della Guardia di Finanza, contestualmente, ha attivato un autonomo procedimento sanzionatorio relativo alla violazione accertata.