Update | Richiesta del consenso per trattamenti non eseguiti: sanzione dal Garante Privacy
Il Garante per la protezione dei dati personali ha recentemente sanzionato Edison Energia S.p.A. (“Società”) a seguito di una complessa istruttoria, dalla quale è emersa la violazione di diversi importanti principi dettati dal GDPR.
Innanzitutto, sul diritto di opposizione ex art. 21 GDPR il Garante ha ribadito e precisato alcuni profili, quali:
- il fatto di possedere soltanto liste costituite dall’indicazione del solo numero telefonico “non contattabile”, non consentendo quindi di comprendere quando e come l’interessato avesse espresso il consenso e quando e come lo avesse revocato, integra una violazione del principio di privacy by design;
- il diritto di opposizione deve poter essere esercitato in modo agevole e rapido. Pertanto, l’interessato può esercitarlo in qualsiasi momento con una richiesta univoca, che abbia effetto nei confronti del titolare del trattamento che tratta i dati così come nei confronti del titolare che abbia acquisito tali dati. Ancora, tale richiesta di opposizione deve essere univoca anche nel senso che essa deve essere registrata sia per campagne promozionali in corso che future.
Inoltre, il Garante ha affrontato anche l’argomento del consenso quale base giuridica del trattamento, richiamando alcuni interessanti principi.
In particolare, con riferimento al trattamento dei dati personali effettuato tramite il sito internet www.edisonenergia.it e sull’app MyEdison, il Garante ha accertato che esso si svolgeva in assenza di una lecita base giuridica poiché basato su un consenso viziato. Più nel dettaglio, sia sul sito sia sull’app veniva richiesto, in fase di registrazione, un unico consenso per finalità promozionali e di profilazione. Essendo l’iscrizione dell’utente al sito internet o all’app subordinata al rilascio di un unico consenso per finalità di marketing e profilazione, tale consenso non può ritenersi né libero né specifico, non risultando quindi un’idonea base giuridica. A tal proposito, la Società ha affermato che le finalità promozionali e di profilazione menzionate nella richiesta del consenso in fase di registrazione sono, in realtà, un refuso in quanto non effettivamente perseguite dalla Società. Questa affermazione, tuttavia, porta con sé un ulteriore problema: la criticità in relazione a tale consenso è che le finalità indicate non corrispondevano affatto alla realtà in quanto la Società non perseguiva veramente finalità di profilazione. Pertanto, una richiesta di consenso così formulata ha determinato uno scollamento tra il piano formale di informativa e il piano fattuale delle attività. In merito, il Garante afferma che il principio di trasparenza del trattamento (art. 5 par. 1 lett. a) GDPR), è da intendersi come agevole comprensibilità del messaggio informativo con specifico riguardo alle modalità e finalità del trattamento corrispondenti non soltanto con i consensi richiesti ma anche con gli scopi effettivamente perseguiti. Di conseguenza, da tale principio si desume un’esigenza di corrispondenza fra informativa ex art 13 ed effettività dei trattamenti posti in essere.
A conclusione di tale ragionamento, il Garante ha quindi rilevato che, in assenza di idonee informazioni sul trattamento, l’espressione di volontà – ovvero il consenso – risulta viziata e quindi inidonea a costituire condizione di liceità del trattamento stesso (causando quindi anche una violazione degli artt. 6 e 7 GDPR).
A seguito dell’accertamento di tutte le suddette violazioni – quindi dei principi di liceità, trasparenza, correttezza, privacy by design e by default, accountability – il Garante ha ritenuto opportuno ingiungere alla Società l’adozione di una serie di misure per mettersi in regola e ha ordinato il pagamento di una sanzione di 4 milioni e 900 mila euro.
