Mancano 4 mesi per la messa in conformità con le Linee Guida del Garante. A partire dal 10 gennaio 2022, tutti coloro che non hanno provveduto, rischiano di incorrere in delle severe sanzioni.

 

Vediamo in questo articolo alcuni dei cambiamenti principali nell’utilizzo dei cookie, nonché alcune delle passate sanzioni amministrative adottate dal Garante, l’Autorità italiana per la protezione dei dati personali.

 

Sommario: 

 

 

 

I principali cambiamenti del Garante circa l’utilizzo dei cookie 

 

Il Garante ha pubblicato il 10 luglio scorso una serie di Linee Guida sull’utilizzo di cookie e altri strumenti di tracciamento al fine di essere adottate dalle aziende per la messa in conformità. Ecco 4 principali cambiamenti in raccolta del consenso:

 

  • La raccolta del consenso deve avvenire tramite una manifestazione di volontà libera e specifica degli interessati

  • L’interessato deve avere la possibilità di revocare il proprio consenso facilmente e in qualsiasi momento 

  • Il proprietario del sito web o applicazione deve rispettare i principi di privacy by design e privacy by default 

  • Il proprietario del sito web o applicazione deve rispettare i tempi di conservazione dei dati

 

Checklist: 10 step per essere conformi alle nuove Linee Guida sull'utilizzo dei cookie

Scopri i 10 passi per diventare conforme tramite questa checklist creata da Didomi per te. Con le nuove Linee Guida del Garante, raccogliere i dati dell’utente in modo conforme e consenziente è ormai un obbligo legale, oltre che morale. La scadenza per la messa in conformità è il 10 gennaio 2022. Affrettati!

 

Scarica la checklist 

 

The Garante checklist pdf - Socials (Rectangle)

 

Sanzione di €16.729.600 a Wind Tre S.p.A per trattamenti illeciti di dati a scopi promozionali

 

Il 9 luglio 2020, il Garante Privacy ha inflitto una multa da quasi 17 milioni di euro a Wind Tre S.p.A, una delle più grandi compagnie telefoniche in Italia, per trattamenti illeciti di dati legati prevalentemente ad attività promozionali. 

 

Erano diversi i comportamenti di Wind Tre S.p.A che non erano in linea con il Garante, tra questi troviamo:

 

  • L’invio di contatti promozionali tramite sms, telefono, email, fax o chiamate automatizzate, nonostante l’utente si fosse previamente opposto alla ricezione di tali comunicazioni;

  • La raccolta del consenso per diverse finalità di trattamento ad ogni nuovo accesso dell’utente sull’app, salvo per consentire di revocare entro 24 ore;

  • La distribuzione di un’informativa sulla privacy non chiara e che faceva facilmente cadere in errore l’utente sulla legittima espressione del consenso; 

  • La navigazione veniva bloccata all’utente se quest’ultimo non interagiva prima sul banner dando consenso positivo;

 

Le pratiche descritte qui sopra non possono considerarsi lecite e la raccolta dei consensi non si può dire essere stata fatta tramite una manifestazione di volontà libera e specifica degli interessati.

 

Il Garante Privacy ha così vietato a Wind Tre S.p.A l’utilizzo dei dati degli utenti senza il loro previo consenso e ha ordinato di implementare delle procedure per il rispetto della privacy e della volontà degli utenti di non essere disturbati con attività promozionali non richieste. 


L’Autorità italiana per la protezione dei dati ha in seguito provveduto ad effettuare altri controlli in altre aziende di telefonia mobile italiane, dove ha inflitto sanzioni per invio di offerte commerciali indesiderate (vedi Vodafone Italia S.p.A).

 

 

Sanzione di €8.500.000 a Eni Gas e Luce per un’insufficiente base giuridica per il trattamento dei dati

 

Eni Gas e Luce, società leader per la vendita di gas ed energia elettrica a famiglie e imprese italiane, ha ricevuto l’11 dicembre 2019 una sanzione di 8.500.000 euro da parte del Garante per l’invio di chiamate promozionali senza il consenso degli interessati o successivamente alla loro opposizione nei confronti della ricezione di tali chiamate.

 

Eni Gas e Luce attuava diversi comportamenti illeciti:

 

  • Mancanza di controlli, anche a campione, dei dati raccolti che potessero comprovare il rispetto di tali dati; 

  • Attività illecite di marketing tramite chiamate indesiderate effettuate a chi non aveva prestato il proprio consenso; 

  • Nessuna considerazione, da parte della società, circa il diniego degli interessati al trattamento dei propri dati personali; 

  • Conservazione dei dati personali per tempi superiori a quelli connessi al perseguimento delle finalità;

  • Mancato rispetto di privacy by default. 

 

Il Garante Privacy ha ordinato a Eni Gas e Luce di implementare dei sistemi che verifichino lo stato dei consensi degli utilizzatori prima di procedere con qualsiasi tipo di attività promozionale. Ha ordinato, inoltre, la cessazione dell’uso di dati forniti da altri provider e la revisione dei propri tempi di conservazione sui dati per scopi di marketing.

 

 

Sanzione di €2,856,169 a Iren Mercato S.p.A per raccolta illecita di dati personali degli utenti 

 

Il 13 maggio 2021, il Garante Privacy ha comminato una sanzione di quasi 3,000,000 di euro a Iren Mercato S.p.A., una delle più grosse società di elettricità in Italia, per aver portato avanti attività illecite di marketing diretto aventi fini promozionali senza previo consenso al trattamento dei dati personali di milioni di persone.

 

L’invio di informazioni ed offerte commerciali avveniva anche da parte di terzi, i quali raccoglievano i dati degli interessati sui loro siti web per poi inviarli ad Iren.

 

Iren Mercato S.p.A. non rispettava diversi principi descritti nelle Linee Guida del Garante, tra cui: 

 

  • Il principio di accountability, cioè l’adozione di un comportamento volto a dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del Regolamento; e 

  • Il principio di privacy by design che riguarda l’incorporazione della privacy a partire dalla progettazione di un processo aziendale. 

 

Sembrerebbe inoltre che Iren si sia difesa dinanzi a tali osservazioni giustificandosi con la scusa del legittimo interesse, che permetterebbe all’azienda di trattare i dati personali degli utenti per scopi di marketing diretto. Ma bisogna ricordare che, usare il legittimo interesse come base giuridica per le proprie attività di marketing non è più permesso dal Garante, che provvederà infatti a procedere con delle misure sanzionatorie in questo senso qui.

 

In conclusione, Iren Mercato S.p.A ha ricevuto l’ordine di raccogliere i dati degli utilizzatori di maniera conforme, ovvero solo dopo aver ottenuto il loro consenso, tramite un atto di manifestazione libero, specifico e informato.

 

 

Didomi può aiutarti a metterti in conformità prima della scadenza

 

Il Garante italiano della privacy è al secondo posto come autorità europea più attiva in termini di applicazione di sanzioni. Il Garante non lascia scampo a nessuno: tutte le aziende sono coinvolte, sia piccole che grandi. Ne è l’esempio Deliveroo, una delle più grosse aziende di consegna di cibo online, che il 2 agosto scorso ha ricevuto una multa di €2,500,000 per aver trattato illegalmente i dati personali di circa 8.000 utenti e per altre violazioni al GDPR. 

 

Da qui al 10 gennaio 2022, il Garante mira a multare tutti i proprietari di siti web e applicazioni che non si saranno adeguati alle Linee Guida. Per questa ragione, è bene arrivare preparati e non aspettare l’ultimo minuto per mettersi in conformità. Le regole per conformarsi le conosciamo già e sono applicabili da adesso! 

 

Le pratiche di trattamento dati stanno diventando sempre più importanti ed è per questo che Didomi propone delle soluzioni di conformità che sono costantemente aggiornate alle normative locali e che permettono ai nostri clienti di essere sempre in conformità. Quindi non esitare a contattarci per iniziare il processo oggi stesso insieme ad uno dei nostri esperti di GDPR o del Garante.

 

Richiedi una demo