Il garante dei dati personali con Provvedimento in data 4 ottobre a seguito di un’istruttoria nei confronti delle società Facebook e WhatsApp per determinare la correttezza del trattamento dei dati posto in essere in fase di acquisizione ha emesso un provvedimento sanzionatorio.
A seguito dell’avvenuto passaggio di proprietà, l’applicazione di messaggistica aveva apportato delle modifiche in ordine ai termini e all’informativa sulla privacy dei propri servizi, finalizzate a rendere accessibili alla nuova Società proprietaria dell’app una serie di informazioni concernenti i singoli account degli utenti. Il nuovo trattamento di cui si richiedeva il consenso avrebbe avuto quale finalità quella di
(i) Business Analysis Analytics (attività di de-duplicazione degli account sulle varie app appartenenti al nuovo gruppo facente capo alla Società gestrice del social network allo scopo di individuare gli utenti attivi su di esse, attività di analisi della frequenza e delle caratteristiche di utilizzo delle applicazioni condotta su base anonima e aggregata);
(ii) System Security Purpose (sicurezza e antispam che permetteva all’app di messaggistica di condividere e ricevere informazioni relative ad account abusivi, pericolosi o illeciti che fossero attivi nelle società del gruppo societario);
(iii) Targeted Advertising Purpose (utilizzo dei dati degli utenti dell’app per promuovere prodotti e inserzioni pubblicitarie sul social network).
Proprio in riferimento a quest’ultima finalità – promozione prodotti e inserzioni pubblicitarie – WhatsApp aveva richiesto ai propri utenti di manifestare la propria adesione alla comunicazione dei dati a Facebook entro 30 giorni, specificando, altresì, che l’eventuale diniego avrebbe comportato l’interruzione del servizio di messaggistica.
Al termine dell’istruttoria il Garante si è espresso negativamente sul trattamento dei dati personali operato dalle Società, ritenendo lo stesso illecito perché posto in violazione della normativa in materia di privacy.
Il Garante in primo luogo si è soffermato ad analizzare l’informativa data agli utenti e relativa alla comunicazione dei dati forniti a terzi (la Società acquirente infatti appare come terzo, essendo entrambe autonomamente titolari dei dati). L’informativa, secondo il giudizio del Garante, era priva degli elementi essenziali e tassativi previsti dal codice privacy. In particolare non veniva fornito all’interessato l’elemento sostanziale che aveva reso necessario modificare le informazioni agli interessati, vale a dire la condivisione con Facebook dei dati relativi all’account di WhatsApp, ma si limitava a comunicare un generico cambiamento della c.d privacy notice. Non venivano, poi, indicate in modo preciso e chiaro né i dati oggetto di trattamento né le finalità dello stesso, in particolare quelle di carattere pubblicitario.
Anche con riguardo al consenso il Garante si è espresso negativamente, rilevando che questo non poteva considerarsi espressamente, specificatamente e liberamente manifestato. Questo perchè veniva richiesto attraverso un modello con casella già fleggata, sia perché il mancato consenso aveva come conseguenza l’interruzione di un servizio ormai divenuto di generale utilizzo.
In ultimo il Garante si è espresso in ordine al legittimo interesse, chiamato in causa dalle due Società in fase di istruttoria, le quali avevano sostenuto che non era necessario ottenere un consenso specifico da parte degli utenti potendosi fondare su basi giuridiche alternative, come, appunto, gli interessi legittimi. Sul punto il Garante ha negato che nel caso di specie fosse configurabile il legittimo interesse, in quanto non solo non era stata avviata la procedura di bilanciamento degli interessi coinvolti a cura dell’Autorità stessa, ma non erano stati comunque forniti idonei elementi di valutazione per poter verificare se il trattamento perseguisse effettivamente il legittimo interesse dichiarato, come la sicurezza, o se fosse necessario per la realizzazione dell’interesse, cioè contribuisse alla sua realizzazione, meglio di altre possibili soluzioni meno invasive, o se tale trattamento, oltre ad essere idoneo e necessario, fosse finalizzato alla produzione di un beneficio nella realizzazione del legittimo interesse la cui importanza sia superiore allo svantaggio arrecato agli interessati.
Nessun commento:
Posta un commento