Di recente il Garante Privacy ha reso nota una sua azione contro due siti di comparazione di polizze, che sono stati multati 120.000 euro perché non sono riusciti a dimostrare la validità dei consensi acquisiti. Questo il tweet pubblicato dall’Autorità:
Nella fattispecie, il Garante della privacy ha esaminato la società “Assiteca SpA per verificare la raccolta di dati personali effettuata tramite i siti www.6sicuro.it e www.chiarezza.it, con particolare riguardo all’utilizzo di tali dati per finalità di marketing, anche tramite comunicazione a terzi”. La sentenza arriva dopo un’indagine durata quasi un anno e che ha preso il via da alcune segnalazioni e un reclamo.
Dagli accertamenti condotti sui siti coinvolti, il Garante ha notato che:
- Al momento della compilazione delle informazioni per ricevere il preventivo richiesto, alcuni consensi erano segnati come “obbligatori” e altri – come il consenso alle attività di marketing – erano pre-selezionati.
- Una volta ricevuto il preventivo via mail, l’utente poteva visualizzare il risultato cliccando su un link “Vai al preventivo”. Una volta cliccato il link, tutti i consensi facoltativi venivano salvati come prestati, anche se in fase di compilazione si era negato il consenso.
La società ha chiarito che questo è accaduto per un bug di sistema e che non è stata un’azione volontaria. Comunque, per 9.700 utenti è stato registrato un consenso che non dimostra la loro reale volontà e per 2.155 utenti è stato salvato un consenso che invece non era mai stato espresso.
Tutto questo ha portato il Garante alla sua decisione finale, ovvero la multa di 120.000 euro.
In che modo è stato violato il GDPR?
Spiega Iubenda: “Per il GDPR, il consenso è una questione di grande importanza e deve rispettare dei requisiti precisi: deve essere libero, specifico, informato e revocabile. Nel caso esposto qui, non si trattava di consenso libero, perché alcune caselle del modulo per richiedere il preventivo erano pre-selezionate”.
La ragione della multa è stata l’incapacità dei titolari del trattamento di dimostrare che i consensi che avevano ottenuto erano stati raccolti in linea con le disposizioni del GDPR. È infatti responsabilità del titolare predisporre una prova del consenso inequivocabile che contenga:
- da chi e quando è stato prestato il consenso;
- quali preferenze sono state espresse;
- informative legali o privacy in vigore quando è stato raccolto il consenso;
- quale modulo è stato compilato al momento del conferimento del consenso;
- eventuale revoca del consenso.
