NEWS

Con la funzione 'Invita un amico' il passaparola social può violare il Gdpr

La piattaforma social non può sfruttare la rubrica caricata per «invitare un amico». E non si può mandare una mail informativa per chiedere il consenso a ricevere successive proposte commerciali. Questi i principi formulati dal Garante della privacy del Belgio, con la pronuncia n. 25 del 14/5/2020, che ha inflitto a una piattaforma una sanzione di 50 mila euro. Il garante belga si è espresso, previa consultazione di tutti i garanti europei, sulla base delle norme del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr) e, pertanto, i principi espressi devono essere valutati in tutti gli stati dell'Unione.

 Con il passaparola si rischia di violare il gdpr

La vicenda ha riguardato una piattaforma social desiderosa di aumentare il numero di utenti registrati, incoraggiando gli utenti a invitare i loro amici sulla piattaforma stessa. Proprio, in base alla funzione «invita un amico», l'utente, caricando e sincronizzando le proprie rubriche, forniva alla piattaforma social l'accesso al proprio elenco di contatti, in modo che un messaggio potesse essere inviato a tali contatti, per farli entrare nella piattaforma o, se già registrati, per farli diventare parte della rete di amici dell'utente.

In questo quadro, il Garante belga ha accertato, innanzitutto, che l'utente, che sceglie di «invitare un amico» non può fornire un valido consenso al trattamento da parte della piattaforma social. Nella pronuncia, infatti, si legge che solo l'interessato può validamente acconsentire al trattamento dei dati a lui riferiti.

Nel caso in cui i dati personali forniti riguardino un terzo, solo quest'ultimo deve dare il proprio. Senza consenso, di regola, la piattaforma non può trattare i dati dei terzi.

Peraltro, il Gdpr prevede un'alternativa al consenso: si chiama «legittimo interesse», che potrebbe in teoria essere una base giuridica valida in relazione al trattamento dei dati personali dei contatti di un utente. Il legittimo interesse, afferma il garante belga, ha, però, una portata limitata: il social può trattare i dati, senza il consenso, per fare un primo controllo delle liste caricate, e ciò allo scopo di identificare se i contatti dell'utente sono altri utenti già esistenti della piattaforma e se, a loro volta, hanno dato il loro consenso all'uso dei loro dati di contatto ai fini della comunicazione sulla piattaforma. Questo significa di conseguenza, che i dati di contatto dei non utenti (identificati in base a tale controllo) vanno immediatamente eliminati (questa regola è nota tra i garanti europei come regola del «confronta e dimentica»).

Per la cronaca, nella vicenda in esame il social tratteneva i dati per un tempo eccedente quello necessario a questa prima verifica. Richiamando, poi, un parere del gruppo dei garanti europei (n. 5 del 2009), la pronuncia in esame afferma che i meccanismi di «invito di un amico» su piattaforme di social media sono consentiti se soddisfano quattro condizioni, la cui combinazione trasforma il messaggio in una «comunicazione personale»: 1) nessun incentivo al mittente o al destinatario; 2) è il singolo utente a scegliere chi riceve l'e-mail / messaggio; inoltre il social non può pre-flaggare tutti i destinatari; 3) è in chiaro l'identità del mittente; 4) l'utente che invia deve conoscere l'intero contenuto del messaggio inviato per suo conto.

Se queste quattro condizioni sono osservate, non è richiesto alcun consenso.

Marketing. Nella stessa pronuncia il garante belga si è occupato della liceità di mandare una prima mail finalizzata unicamente allo scopo di chiedere il consenso a successive comunicazioni commerciali. Considerato che il marketing via e-mail richiede un consenso preventivo, il garante belga, adeguandosi all'indirizzo degli altri garanti europei, ha concluso che la pratica di invio di una prima e-mail per chiedere il consenso a successive e-mail a fini di marketing non è consentita dal Gdpr.

Fonte: Italia Oggi del 5 giugno 2020, articolo di Antonio Ciccia Messina

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Intercettazioni, legittime le videoregistrazioni in luoghi non riconducibili al concetto di domicilio
Next Rivelazione di segreti industriali per chi utilizza il know how della vecchia azienda in altra nuova

Privacy Day Forum: il servizio di Ansa

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy