Avv. Giuseppe Croari – Dott.ssa Silvia Di Paola

Il Garante per la protezione dei dati personali è recentemente intervenuto sanzionando una società concessionaria di servizi idrici e di gestione dei rifiuti con una multa di 300.000 euro, a causa dell’inadeguatezza delle misure di sicurezza, della mancata validità del consenso e della non corretta determinazione dei tempi di conservazione dei dati.

Il Provvedimento trae origine da una segnalazione relativa alle modalità di registrazione all’area riservata del sito della società; l’utente, in particolare, lamentava che nell’area personale fosse possibile consultare lo storico dei consumi e delle bollette, oltre a indirizzo, abitazione e numero di telefono (fisso e cellulare), semplicemente registrandosi con una qualunque mail e il codice fiscale, senza che la società verificasse l’effettiva riconducibilità dell’account alla persona che si registrava.

Oltretutto, all’esito di un accesso al sito effettuato dall’Autorità, emergeva che, nell’area riservata, erano presenti ben tre moduli di consenso già preselezionati sul “Sì”, senza un collegamento diretto a un’informativa privacy specifica. Sebbene il sito contenesse la Privacy Policy, la Cookie Policy, l’Informativa clienti e quella relativa alle interazioni con le pagine social aziendali, tali informative non erano facilmente accessibili durante la registrazione. Inoltre, la società prevedeva un periodo di conservazione dei dati per finalità di marketing di cinque anni.

Al termine dell’istruttoria, dunque, l’Autorità riscontrava la violazione degli articoli 5, 24, 25 e 32 del GDPR e irrogava la relativa sanzione.

La validità del codice fiscale come misura di sicurezza

Il Garante si è, anzitutto, pronunciato sulla validità del codice fiscale quale misura di sicurezza per l’accesso all’area riservata. Secondo l’Autorità, il codice fiscale non può più essere considerato un dato “riservato” o difficile da reperire, visto che oggi esistono strumenti online che permettono di risalire a questo dato a partire dalle informazioni anagrafiche, spesso facilmente reperibili sui social network o in altre fonti pubbliche.

Di conseguenza, il Garante ha rigettato l’argomentazione della società secondo cui l’utilizzo del codice fiscale, combinato con la creazione di una password e l’impiego di un’e-mail, rappresenta una misura adeguata, anche tenendo conto della necessità di non rendere troppo complicato l’accesso ai servizi digitali da parte degli utenti.

La validità del consenso ai fini di marketing

Il Garante si è, inoltre, espresso sulla validità della raccolta dei consensi per finalità promozionali tramite l’utilizzo di caselle preselezionate. In merito, l’Autorità ha severamente ammonito la società, stabilendo che tale modalità è completamente in contrasto con la nozione di consenso libero, specifico, informato e inequivocabile prevista dal GDPR.

Inoltre, il Garante ha, altresì, rilevato una violazione del principio di trasparenza, in quanto le informative adottate non risultavano chiaramente riferibili ai trattamenti effettuati durante la registrazione all’area riservata. L’Autorità ha sottolineato che i documenti informativi devono essere strutturati in modo funzionale, altrimenti rischiano di compromettere la trasparenza complessiva del trattamento, vanificando così la finalità stessa dell’informativa.

Il periodo di conservazione dei dati

Infine, il Garante ha preso posizione sulla durata del periodo di conservazione dei dati per finalità di marketing, alla luce del termine di cinque anni stabilito dalla società. Quest’ultima aveva giustificato tale scelta facendo riferimento alla durata media dei contratti con i clienti. Orbene, pur riconoscendo un’ampia libertà di valutazione al titolare del trattamento, come previsto dal principio di accountability, l’Autorità ha sottolineato che tale discrezionalità non può tradursi in decisioni vaghe o slegate dalle peculiarità del trattamento in questione.

Il Garante ha ribadito che i tempi di conservazione dei dati per scopi di marketing devono essere determinati in funzione delle legittime aspettative degli interessati e delle specifiche caratteristiche delle attività promozionali. Pertanto, non è corretto ancorare automaticamente il periodo di conservazione alla durata del contratto o a esigenze non direttamente legate agli scopi di marketing.

Implicazioni per le aziende e conclusioni

Il provvedimento del Garante rappresenta un importante monito per tutte le aziende, in particolare quelle che gestiscono servizi essenziali e grandi volumi di dati personali. L’adozione di misure di sicurezza adeguate, la corretta progettazione dei sistemi di accesso digitali e una gestione rigorosa dei consensi e dei tempi di conservazione non possono essere considerate meri adempimenti formali, ma elementi centrali della responsabilità del titolare del trattamento ai sensi del GDPR.

La decisione dell’Autorità conferma un orientamento ormai consolidato volto a rafforzare la tutela effettiva dei diritti degli interessati, richiedendo ai titolari del trattamento scelte consapevoli, proporzionate e trasparenti. In tale prospettiva, il rispetto dei principi di sicurezza, trasparenza e limitazione della conservazione si configura non solo come obbligo normativo, ma anche come strumento fondamentale per garantire la fiducia degli utenti e la correttezza complessiva dei trattamenti di dati personali.

Se sei un’azienda e necessiti di supporto in tema di privacy, rivolgiti ai nostri partner dello Studio Legale FCLEX esperti di diritto dell’informatica e delle nuove tecnologie.