Dalla Newsletter del Garante del 14/02/2024

Il Garante privacy sanziona per 200 mila euro il gestore di un noto sito di dating online, per aver violato i dati personali di circa 1 milione di iscritti. È la prima volta che l’Autorità adotta un provvedimento nei confronti di un sito di incontri.

La decisione, assunta a seguito di una complessa attività istruttoria che ha richiesto anche un accertamento ispettivo in loco, ha rilevato l’illiceità dei trattamenti dei dati degli utenti, tra cui quelli relativi alle preferenze e agli orientamenti sessuali.

La registrazione nella piattaforma, che conta circa 5 milioni di iscritti in tutto il mondo (di cui oltre un milione con e-mail validata e quasi 10 mila con abbonamento attivo a pagamento), prevedeva l’inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e di foto, che i clienti caricavano all’interno del profilo pubblico o nell’area riservata, senza che venisse fornita loro adeguata informativa sull’uso che di quei dati sarebbe stato fatto. Nell’informativa presente sulla piattaforma non veniva infatti riportata alcuna indicazione rispetto ai molteplici e ulteriori trattamenti effettuati dalla società che gestisce la piattaforma per la fruizione dei servizi offerti, né informazioni sulla possibilità per gli interessati di esercitare i diritti previsti dalla normativa privacy, compreso quello di proporre reclamo al Garante.

Dall’ispezione effettuata dal Garante è emerso inoltre che il titolare del sito non disponeva di una specifica privacy policy inerente alle tempistiche di conservazione dei dati trattati, limitandosi a procedere in maniera casuale alla cancellazione degli account non più attivi e delle informazioni contenute, così come delle richieste di iscrizione non andate a buon fine.

La società, infine, pur essendovi tenuta, non aveva redatto il registro delle attività di trattamento, non aveva nominato il responsabile della protezione dati (RPD), né aveva predisposto la valutazione d’impatto (DPIA) richiesta dal Regolamento europeo.

In considerazione delle numerose violazioni riscontrate, il Garante, oltre alla sanzione pecuniaria, ha ordinato di adottare una serie di misure correttive volte a conformare i trattamenti alla normativa privacy. La società in particolare, oltre ad individuare tempistiche di conservazione delle informazioni personali trattate, a cancellare i profili utenti la cui conservazione risulti eccedente e a redigere la valutazione d’impatto, dovrà dotarsi di sistemi volti a rafforzare la sicurezza dei dati dei clienti, quali, ad esempio, misure di cifratura o di pseudonimizzazione dei dati sensibili, file di log dotati di marche temporali, sistemi antintrusione.