Il Garante Privacy multa per 200 mila euro il gestore di un sito di dating online per aver violato i dati personali di circa 1 milione di iscritti

Il Garante Privacy multa per 200 mila euro un sito di incontri online. Nel mirino dell’Autorità finisce il trattamento dei dati raccolti dalla piattaforma, fra i quali anche quelli relativi alle preferenze e agli orientamenti sessuali. È la prima volta che il Garante Privacy adotta un provvedimento nei confronti di un sito di incontri – o dating online – e in questo caso la sanzione, pari a 200 mila euro, riguarda una società, Nirvam, che gestisce una piattaforma di dating online per consentire agli utenti registrati la ricerca di potenziali partner in tutta Italia. Il Garante contesta la violazione dei dati personali di circa 1 milione di iscritti. Come informa l’odierna newsletter, la decisione segue una complessa attività istruttoria che ha richiesto un accertamento ispettivo e ha rilevato “l’illiceità dei trattamenti dei dati degli utenti, tra cui quelli relativi alle preferenze e agli orientamenti sessuali”.

Dating online, dati personali senza adeguata policy privacy

La registrazione nella piattaforma, che conta circa 5 milioni di iscritti in tutto il mondo (di cui oltre un milione con e-mail validata e quasi 10 mila con abbonamento attivo a pagamento), prevedeva – spiega il Garante – l’inserimento di numerosi dati (interesse di incontro, nazione, regione, città di residenza, data di nascita, e-mail) e di foto, che i clienti caricavano all’interno del profilo pubblico o nell’area riservata, senza che venisse fornita loro un’adeguata informativa sull’uso che di quei dati sarebbe stato fatto.

Nell’informativa presente sulla piattaforma, spiega il Garante, non veniva infatti riportata alcuna indicazione rispetto ai molteplici e ulteriori trattamenti effettuati dalla società che gestisce la piattaforma per la fruizione dei servizi offerti, né informazioni sulla possibilità per gli interessati di esercitare i diritti previsti dalla normativa privacy, compreso quello di proporre reclamo al Garante. Il titolare del sito, è emerso dall’ispezione, non aveva una specifica privacy policy sulle tempistiche di conservazione dei dati trattati, “limitandosi a procedere in maniera casuale alla cancellazione degli account non più attivi e delle informazioni contenute, così come delle richieste di iscrizione non andate a buon fine”.

La società inoltre non aveva redatto il registro delle attività di trattamento e non aveva nominato il responsabile della protezione dati (RPD).

Oltre alla multa, il Garante Privacy ha ordinato una serie di misure correttive che la società dovrà adottare. Dovrà individuare tempistiche di conservazione delle informazioni personali trattate, cancellare i profili utenti la cui conservazione risulti eccedente, redigere la valutazione d’impatto. Dovrà inoltre dotarsi di sistemi volti a rafforzare la sicurezza dei dati dei clienti, quali, ad esempio, misure di cifratura o di pseudonimizzazione dei dati sensibili o sistemi antintrusione.

