NEWS

Finlandia: multa da 856.000 euro alla piattaforma di e-commerce che obbligava i clienti a registrarsi come utenti sul sito

Se vi è capitato di essere costretti a registrarvi su una piattaforma di shopping online per fare anche un singolo acquisto, trovandovi poi a ricevere newsletter e offerte promozionali da quel sito, è bene sapere che questa antipatica pratica viola il GDPR. Lo evidenzia quanto accaduto a un cliente di Verkkokauppa.com, azienda finlandese che vende i suoi prodotti sia con consegna a domicilio sia attraverso 4 megastore e oltre 2500 punti di ritiro, che fattura oltre 500 milioni di euro l’anno.

Viola la privacy il sito di e-commerce che ti obbliga a registrarti per fare acquisti online

Indagando sulle attività di Verkkokauppa.com a seguito di una denuncia presentata da un cliente indispettito dall’obbligo impostogli di registrarsi come utente sul sito di e-commerce anche per effettuare un singolo acquisto, il garante per la protezione dei dati (Ombudsman), ha infatti scoperto un trucchetto attuato dalla società finlandese per ottenere i dati personali degli aspiranti acquirenti e conservarli poi a tempo indeterminato, mettendosi così in condizione di profilarli e inviare loro le proprie newsletter contenenti promozioni e offerte mirate in base ai loro gusti ed abitudini di acquisto.

In pratica era impossibile fare acquisti nel negozio online senza creare un account sulla piattaforma online, perché la procedura di Verkkokauppa.com non prevedeva alternativa a quella di registrarsi obbligatoriamente al sito come cliente prima di effettuare acquisti.

E non solo il sito di acquisti online obbligava i clienti a creare un account fornendo dati come il loro nome e cognome, email, indirizzo di consegna, e recapiti telefonici, ma conservava tutte quelle informazioni a tempo indeterminato insieme alla cronologia di tutti ordini effettuati, accumulando così uno storico dalla cui analisi era possibile formulare nuove proposte d’acquisto personalizzate.

Anche se la Verkkokauppa.com si era giustificata sostenendo che sarebbero stati “gli clienti stessi a determinare il periodo di conservazione dei propri dati, poiché essi possono richiedere la chiusura del proprio account e la cancellazione dei propri dati in qualsiasi momento”, d’altra parte tali asserzioni non sono bastate a persuadere l’autorità per la privacy finlandese, la quale ha sentenziato che Verkkokauppa.com avrebbe invece deciso consapevolmente di non specificare un periodo di conservazione per i dati raccolti, e quindi gli utenti si sarebbero trovati schedati a tempo indeterminato con la sola possibilità di correre successivamente ai ripari chiedendo la cancellazione del proprio account e dei loro dati personali dal sito di e-commerce.

Ma in base al principio di accountability previsto dal GDPR, come ha precisato la stessa autorità al termine delle indagini, è responsabilità della società di e-commerce, come titolare del trattamento, di stabilire termini adeguati per la conservazione dei dati personali dei clienti, e la memorizzazione delle informazioni non può essere giustificata dal fatto che essi possano semplicemente richiederne la cancellazione.

Il garante finlandese ha così ritenuto che Verkkokauppa.com, rendendo obbligatoria la creazione di un account cliente con la conseguente memorizzazione indefinita dei dati un requisito per effettuare acquisti online, abbia violato gli art. 5, paragrafo 1, lettera e) e l’art. 25, paragrafo 2 del GDPR, e per questo ha infine imposto una sanzione amministrativa di ben 856.000 euro alla società di e-commerce, che da parte sua pare non rassegnarsi a pagare la multa, in quanto avrebbe già manifestato l’intenzione di voler fare ricorso al provvedimento amministrativo inflittole dall’autorità, anche se le regole in materia di protezione dei dati sono ormai ben note e valide per tutti i paesi membri dell’UE, compresa l’Italia.

Oltre alla pesante multa, il garante ha ordinato alla società Verkkokauppa.com Oyj anche di specificare nella propria informativa sulla privacy un periodo di conservazione adeguato per le informazioni degli account e di rivedere e rettificare la propria procedura di registrazione obbligatoria, permettendo così ai clienti che desiderano fare singoli acquisti di avere la possibilità di evitare di essere schedati e poi vessati da comunicazioni pubblicitarie indesiderate.

di Nicola Bernardi, presidente di Federprivacy (Nòva Il Sole 24 Ore)

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Usa: frodi online in aumento, ma chi denuncia ha il 70% di possibilità di recuperare il denaro estorto
Next Regno Unito: finiscono online i dati di oltre 300.000 clienti del servizio taxi

Privacy Day Forum 2024: intervista a Pasquale Stanzione

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy