L’Autorità Garante per la protezione dei dati personali ha multato il gestore di un noto sito di incontri online con una sanzione pecuniaria di 200.000 euro. La multa è stata emessa poiché il sito ha violato i dati personali di circa un milione di iscritti. Si tratta del primo caso di provvedimento preso dall’Autorità Garante nei confronti di un sito di incontri.
La decisione è stata presa dopo una complessa attività istruttoria, che ha incluso un’ispezione sul posto, e ha rilevato che il trattamento dei dati degli utenti, inclusi quelli relativi a preferenze e orientamenti sessuali, era illecito. La registrazione al sito richiedeva agli utenti di fornire numerosi dati personali, tra cui interessi di incontro, nazione, regione e città di residenza, data di nascita e e-mail, e foto, senza fornire un’adeguata informativa sull’uso che sarebbe stato fatto di tali dati.
L’informativa fornita sulla piattaforma non ha incluso informazioni sui trattamenti effettuati dalla società gestore per l’erogazione dei servizi offerti, né ha fornito informazioni sui diritti degli utenti in merito alla privacy, compreso il diritto di presentare reclami all’Autorità Garante.
L’ispezione ha anche rivelato che il titolare del sito non aveva una specifica politica sulla privacy per le tempistiche di conservazione dei dati trattati, agendo casualmente nella cancellazione degli account inattivi e delle informazioni associate ad essi, oltre alle iscrizioni non andate a buon fine. Inoltre, la società non aveva redatto un registro delle attività di trattamento, non aveva nominato un responsabile della protezione dei dati (RDP), né aveva preparato una valutazione d’impatto (DPIA) come richiesto dal Regolamento europeo sulla protezione dei dati.
Di fronte a queste numerose violazioni, oltre alla sanzione pecuniaria, l’Autorità ha ordinato l’adozione di una serie di misure correttive. La società dovrà definire tempistiche per la conservazione delle informazioni personali trattate, cancellare i profili utenti la cui conservazione risulta eccedente, redigere una valutazione d’impatto e implementare sistemi per migliorare la sicurezza dei dati dei clienti, come misure di cifratura o pseudonimizzazione dei dati sensibili e sistemi di tracciamento degli accessi non autorizzati.
M.T.