5 Giugno 2020• byDLA Piper
L’utilizzo della funzione “Invita un amico” per il trattamento dei dati di non-utenti è stata considerata illecita dal Garante privacy belga.
L’Autorità per la protezione dei dati personali belga (GBA), ha comminato una sanzione di € 50.000 ad un social network per aver raccolto e utilizzato i dati personali di soggetti non-utenti della piattaforma in assenza di una base giuridica legittima ai sensi del Regolamento UE 2016/679 (GDPR) nell’ambito dell’offerta del servizio “Invita un amico”, ossia quel servizio mediante il quale gli utenti iscritti possono invitare i propri contatti ad iscriversi a loro volta sulla piattaforma.
In linee generali, i profili di criticità relativi a tale servizio originano dal fatto che il messaggio viene inoltrato tramite la piattaforma raccogliendo i dati dei destinatari dalle liste di contatti personali degli utenti iscritti. In tale contesto, pertanto, l’utente potrebbe voler inoltrare il messaggio sia a soggetti già membri, che a soggetti non-utenti.
Considerato che la comunicazione in oggetto richiede il previo consenso del diretto interessato, l’utente che sceglie di “invitare un amico” non-utente della piattaforma non può prestare per conto di quest’ultimo il consenso per il trattamento dei dati personali da parte del provider. In questi casi, il trattamento dei dati dei “non-utenti” potrebbe basarsi sull’interesse legittimo del titolare, ma soltanto per l’effettuazione di un primo controllo (c.d. confronta e dimentica), volto a (i) identificare i contatti del mittente già utenti del social network, rispetto ai quali il provider dispone già del relativo consenso, e (ii) procedere all’immediata cancellazione dei contatti personali del mittente rispetto ai quali manchi detto consenso.
Peraltro, l’inoltro di tali inviti anche ai non-utenti potrebbe essere giustificato nel caso in cui tale funzionalità fosse implementata in modo da non rientrare nel campo di applicazione del GDPR, in virtù della cosiddetta “esenzione domestica”. In particolare l’Autorità, riprendendo quanto disposto in merito dal Gruppo di Lavoro di cui all’Art. 29 nel Parere 5/2009, rileva che la comunicazione tramite la funzione “Invita un amico” può essere considerata comunicazione a carattere personale o domestico ai sensi del GDPR nel caso in cui (i) non viene dato alcun incentivo né al mittente né al destinatario; (ii) il provider non seleziona i destinatari del messaggio; (iii) l’identità del mittente è chiaramente indicata; e (iv) il mittente conosce l’intero contenuto del messaggio che sarà inviato a suo nome. Tuttavia la GBA, rilevata l’assenza di tali condizioni nel caso di specie e, pertanto, dovendosi ritenere il GDPR pienamente applicabile, conclude nel senso dell’illiceità dei trattamenti effettuati dal social network aventi ad oggetto i dati dei non-utenti.
Alla luce di tutto quanto precede, l’Autorità ha quindi ritenuto opportuno comminare una sanzione pecuniaria di importo pari a EUR50.000. La GBA ha altresì comunicato che, dato il carattere transfrontaliero del social network, la decisione è stata presa a seguito della cooperazione tra 23 autorità di controllo di 16 diversi Paesi europei, ivi inclusa l’Italia.