L’ amore ai tempi del GDPR: il dating online sotto la lente del Garante Privacy
Con il Provvedimento n. 599 del 7 dicembre scorso, l'Autorità Garante per la Protezione dei dati personali ha sanzionato il gestore di un noto sito di dating online, per aver violato i dati personali di circa 1 milione di iscritti. In relazione alla specifica fattispecie, il Garante adotta per la prima volta un provvedimento nei confronti di un sito di incontri.
La decisione, assunta a seguito di una complessa attività istruttoria che ha richiesto anche un accertamento ispettivo in loco, ha rilevato l'illiceità dei trattamenti dei dati degli utenti, tra cui quelli relativi alle preferenze e agli orientamenti sessuali.
A seguito dell'attività istruttoria, l'Autorità ha rilevato che la registrazione nella piattaforma, che conta circa 5 milioni di iscritti in tutto il mondo (di cui oltre un milione con e-mail validata e quasi 10 mila con abbonamento attivo a pagamento), prevedeva l'inserimento di numerosi dati tra cui:
- interesse di incontro;
- nazione;
- regione;
- città di residenza;
- data di nascita;
- e-mail;
e di foto, che i clienti caricavano all'interno del profilo pubblico o nell'area riservata, senza che venisse fornita loro adeguata informativa sull'uso che di quei dati sarebbe stato fatto. Nell'informativa presente sulla piattaforma – sottolinea il Garante - non veniva infatti riportata alcuna indicazione rispetto ai molteplici e ulteriori trattamenti effettuati dalla società che gestisce la piattaforma per la fruizione dei servizi offerti, né informazioni sulla possibilità per gli interessati di esercitare i diritti previsti dalla normativa privacy, compreso quello di proporre reclamo al Garante.
Dall'ispezione effettuata dal Garante è emerso inoltre che il titolare del sito non disponeva di una specifica privacy policy inerente alle tempistiche di conservazione dei dati trattati, limitandosi a procedere in maniera casuale alla cancellazione degli account non più attivi e delle informazioni contenute, così come delle richieste di iscrizione non andate a buon fine.
La società, infine, pur essendovi tenuta, non aveva redatto il registro delle attività di trattamento, non aveva nominato il DPO, né aveva predisposto la valutazione d'impatto (DPIA) richiesta dal GDPR.
In considerazione delle numerose violazioni riscontrate, il Garante, oltre alla sanzione pecuniaria, ha ordinato di adottare una serie di misure correttive volte a conformare i trattamenti alla normativa privacy. La società in particolare, oltre ad individuare tempistiche di conservazione delle informazioni personali trattate, a cancellare i profili utenti la cui conservazione risulti eccedente e a redigere la valutazione d'impatto, dovrà dotarsi di sistemi volti a rafforzare la sicurezza dei dati dei clienti, quali, ad esempio, misure di cifratura o di pseudonimizzazione dei dati sensibili, file di log dotati di marche temporali, sistemi antintrusione.