22 Mar Il recente provvedimento dell’Autorità Garante nei confronti di un sito di dating online
Autori: Isabella Oldani, Miriam Andrea Fadda, Andrea Strippoli
Con il Provvedimento del 7 dicembre 2023[1], l’Autorità Garante per la protezione dei dati personali ha imposto a un gestore di un sito di dating online una sanzione pari a 200 mila euro, per l’illiceità dei trattamenti da questo posti in essere sui dati dei propri utenti, inclusi quelli relativi alle preferenze e agli orientamenti sessuali. Si tratta del primo provvedimento adottato dal Garante italiano nei confronti di un sito di incontri.
Il funzionamento della piattaforma è il seguente: al momento della registrazione, agli utenti viene richiesto di inserire diverse informazioni personali, quali l’indirizzo email, la regione e città di residenza, oltre ai propri interessi di incontro e le proprie foto. Il sito propone, quindi, alcuni profili di altri utenti sulla base delle informazioni fornite.
All’esito delle proprie attività istruttorie, il Garante ha riscontrato la violazione di diversi principi privacy. Vediamo quali.
Le violazioni contestate
Dall’ispezione effettuata è emerso che, oltre a non avere predisposto una informativa privacy adeguata (con conseguente violazione del principio di trasparenza), la società non aveva individuato una base giuridica per il trattamento dei dati idonei a rivelare l’orientamento e le preferenze sessuali degli utenti (e quindi di dati rientranti nell’ambito di applicazione dell’Articolo 9 GDPR), quale poteva essere solo il consenso esplicito degli stessi. Conseguentemente, il titolare non aveva neanche posto in essere una procedura – all’atto di iscrizione sul sito – idonea a raccogliere tale consenso, rendendosi pertanto responsabile di una violazione del principio di liceità del trattamento.
Inoltre, la società non disponeva di una politica di conservazione dei dati adeguata. Il Garante ha infatti constatato (inter alia) che la società non aveva individuato tempistiche per la cancellazione dei dati degli utenti che avevano usufruito della prova gratuita senza poi acquistare un abbonamento. Ancora, dalle verifiche effettuate è emerso che – anche a valle di operazioni di cancellazione – le foto degli utenti rimanevano conservate all’interno dei sistemi della società, pur non essendo queste più raggiungibili dagli utenti. Sul punto, l’Autorità si è peraltro espressa in relazione alla natura di dato personale delle foto in risposta a quanto sostenuto dalla società (nelle proprie memorie difensive), secondo la quale queste ultime fossero da considerarsi alla stregua di un dato “anonimo”. Il Garante ha rigettato l’argomento avanzato dalla società sostenendo che “le foto (…) anche se non associabili ai dati anagrafici degli utenti, contengono, per propria natura, elementi caratteristici dei tratti fisici degli individui raffigurati, in grado di consentire comunque l’identificazione degli stessi”.
Entrando maggiormente nel merito delle tempistiche di conservazione definite dalla società, l’Autorità ha osservato come, se un periodo di conservazione di 10 anni dalla cancellazione del profilo di un utente possa essere giustificato rispetto ad alcune tipologie di dati (quali quelli necessari alla fatturazione dei servizi), una simile tempistica risulta invece sproporzionata rispetto ai dati di profilo degli utenti, in quanto suscettibili di ricomprendere informazioni sensibili sull’orientamento sessuale e/o sulla vita sessuale di questi. Pertanto, ha ribadito come sia opportuno individuare un periodo di conservazione strettamente legato alle finalità per cui i dati sono raccolti.
L’Autorità ha inoltre contestato l’adeguatezza delle misure di sicurezza implementate dalla società, specialmente tenuto conto della peculiare tipologia del servizio e delle categorie di dati trattati (compresi i materiali fotografici caricati che possono presentare contenuti espliciti meritevoli di particolare protezione), elementi idonei a giustificare l’implementazione di specifiche misure di sicurezza proporzionate al rischio (tra cui quelle idonee a prevenire forme di accesso abusivo/non autorizzato). Misure che, come detto, non sono state implementate dalla società, con conseguente violazione dei principi di integrità e sicurezza del trattamento.
Conclusioni
Giova ricordare che il trattamento di categorie particolari di dati nell’ambito dell’utilizzo di app di dating (sebbene lo stesso concetto sia naturalmente applicabile anche ad altri contesti) merita particolare attenzione, come anche di recente ricordato dall’Autorità Garante norvegese nel provvedimento sanzionatorio nei confronti dell’app Grinder[2]. Nell’ambito di quest’ultimo, l’Autorità norvegese ha infatti evidenziato come le categorie di dati che rientrano nell’alveo dell’Articolo 9 GDPR devono essere individuate alla luce dello scopo che lo stesso articolo mira a perseguire, ovvero garantire un livello di protezione rafforzato nei confronti di soggetti che potrebbero essere esposti a pregiudizi e/o discriminazioni sulla base delle proprie preferenze od orientamenti sessuali. Ciò – sempre a parere dell’Autorità norvegese – indipendentemente dalla effettiva dimostrazione del fatto che il trattamento abbia causato o possa causare un danno per gli interessati e dal fatto che i dati siano idonei a rivelare un determinato orientamento rispetto a un altro, dovendosi piuttosto avere cura di esaminare se il trattamento in esame sia idoneo a mettere a rischio i diritti fondamentali e le libertà degli interessati, specialmente in caso di abuso e/o violazioni di tali categorie di dati.
[1] Autorità Garante per la protezione dei dati personali, provvedimento del 7 dicembre 2023, doc web 9978568, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9978568.
[2] Datatilsynet, provvedimento del 13 dicembre 2021, 20/02136-18, https://www.datatilsynet.no/en/regulations-and-tools/regulations/avgjorelser-fra-datatilsynet/2021/gebyr-til-grindr/. Giova ricordare come la decisione dell’Autorità Norvegese sia stata impugnata da Grinder e successivamente confermata dal Privacy Appeals Board. Maggiori informazioni sono disponibili ai seguenti link: https://www.datatilsynet.no/en/news/aktuelle-nyheter-2022/datatilsynet-har-mottatt-klage-pa-overtredelsesgebyr-i-grindr-saken/, https://www.datatilsynet.no/en/news/aktuelle-nyheter-2023/record-fine-grindr-confirmed/.
