Una società di autonoleggio è sanzionata per profilazione e geolocalizzazione continua degli utenti. Comminata una sanzione aggiuntiva per mancate comunicazioni al Garante.

Iniziamo dalla fine: la sanzione imposta dal Garante per la protezione dei dati personali ad una società di autonoleggio di mezzi elettrici ammonta a 40.000 euro. Decisione già presa tempo fa ed avvallata dalla Corte di Cassazione negli scorsi giorni.

La motivazione? Aver profilato gli automobilisti affittuari dei mezzi aziendali, averli geolocalizzati continuamente senza darne comunicazione al Garante. La mancata comunicazione all’Authority ha portato ulteriori 20mila euro di sanzione, per un totale di 60.000.

I fatti: la raccolta dati

La società di noleggio di veicoli elettrici aveva approntato sul proprio sito web un servizio che consentiva di ottenere forti sconti rispetto alla tariffa standard ad una condizione: l’utente avrebbe dovuto compilare una scheda con molte informazioni specifiche, molte più di quanto normalmente richieste per il noleggio dei mezzi.

Una volta compilato il form, un algoritmo matematico provvedeva al calcolo dello sconto da applicare secondo le informazioni fornite: un trattamento quindi completamente automatizzato che prevedeva raccolta dati, incrocio e analisi degli stessi finalizzati a stimare l’uso che ciascun utente avrebbe fatto dei veicoli e, di conseguenza, lo sconto da applicare.

Profilazione del cliente: è lecito procedere così?

Non c’è stato dubbio per i Giudici della Corte che tale meccanismo rientrasse nell’ambito di applicazione delle norme sul trattamento dei dati personali. Il trattamento aveva una finalità specifica, in dettaglio:

«definire il profilo o la personalità dell’interessato o analizzare abitudini o scelte di consumo»

La Corte ha rilevato come un tale meccanismo di scontistica non possa prescindere dalla profilazione degli utenti: identificato o meno, l’utente vedeva analizzate le proprie abitudini. L’offerta infatti era presentata in modo chiaro:

«un’offerta commerciale il più possibile ritagliata sulle concrete caratteristiche dell’interessato».

L’azienda di noleggio auto aveva presentato ricorso contro decisione iniziale del Garante sottolineando come i dati non venissero conservati. I Giudici hanno risposto che

«ai fini dell’integrazione della profilazione, non occorre la memorizzazione sine die del dato, nè la sua associazione duratura al singolo cliente, in quanto l’attività di elaborazione attraverso algoritmo di dati personali sostanzia di per sè un’attività di screening dei dati forniti»

Le mancate comunicazione al Garante sono sanzionabili

Dopo la prima verifica subita, l’azienda aveva proceduto a notificare al Garante il trattamento dei dati relativo alla geolocalizzazione. Non aveva però comunicato il trattamento dei dati a finalità di profilazione. I giudici hanno quindi escluso ogni riduzione della sanzione perchè

«la raccolta e l’elaborazione dei dati costituiva attività centrale della società, anche considerato il valore della produzione registrato nell’anno di riferimento»


Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.