In un recente provvedimento, il Garante Privacy ha sanzionato per la prima volta un sito di incontri online per illecito trattamento dei dati degli utenti, tra cui anche categorie particolari di dati, quali i dati relativi alla vita e all’orientamento sessuale.
Il tema dei siti di incontri è molto dedicato, in quanto, nell’ambito di tali piattaforme, possono essere trattate categorie particolari di dati ex art. 9 GDPR quali quelli relativi all’orientamento e alla vita sessuale, per cui saranno necessarie maggiori cautele nelle attività di trattamento.
In particolare, il Garante si è soffermato su due aspetti in relazione al trattamento di dati sensibili: la base giuridica del trattamento e le misure di sicurezza.
Base giuridica del trattamento
Il Garante ha innanzitutto contestato alla società di non aver ottenuto il previo consenso al trattamento di categorie particolari di dati personali ai sensi dell’art. 9 GDPR, quali le informazioni idonee a rivelare l’orientamento e la vita sessuale degli interessati. In particolare, secondo il GDPR questi dati possono essere trattati solo in presenza di specifici presupposti, tra cui il consenso dell’interessato. Nel caso in esame, il Garante ha riscontrato la mancanza di una base giuridica in quanto non era prevista una procedura idonea ad acquisire il consenso esplicito ed informato degli utenti per il trattamento di dati sensibili, che invece sarebbe stato necessario nel caso in esame.
Il Garante, quindi, pone l’attenzione sulla particolare attività dei siti di dating online che dovranno quindi prevedere idonee procedure per ottenere il consenso esplicito ed informato degli interessati per poter trattare dati relativi alla loro vita e orientamento sessuale.
Misure di sicurezza adottate
Nella valutazione delle misure di sicurezza adottate dalla società, il Garante ha tenuto in particolare considerazione la peculiare tipologia di servizio erogato dal sito, in quanto i dati personali degli utenti costituiscono informazioni di natura estremamente sensibile, come già sottolineato.
Il Garante, quindi, evidenzia che in ragione dell’attività effettuata dalla società, sarà necessario prevedere specifiche misure di sicurezza che siano proporzionate ai rischi significativi connessi al trattamento, anche e soprattutto in relazione al materiale fotografico caricato dagli utenti che possono presentare contenuti espliciti che necessitano di apposita protezione.
Secondo il Garante, difatti, la società non aveva posto in essere specifiche misure tecniche a protezione dei dati particolarmente sensibili, bensì sono state applicate delle misure di sicurezza non idonee ed indistintamente a trattamenti anche molto differenti tra loro in termini di rischio per i diritti e le libertà delle persone fisiche.
Conclusioni
In definitiva, da questo provvedimento del Garante si possono ricavare importanti prescrizioni che dovranno orientare le società che offrono servizi di dating online. Tale attività, difatti coinvolge il trattamento di dati personali relativi alla vita e all’orientamento sessuale degli utenti, considerati categorie particolari di dati ai sensi dell’art. 9 del GDPR. Le società, quindi, dovranno prestare particolare attenzione agli adempimenti privacy, soprattutto in tema di consenso e misure di sicurezza, quando trattano tali tipologie di dati.
Su un simile argomento può essere interessante l’articolo: “Un’app di incontri per la comunità LGBTQ riceve una sanzione privacy”.