Veggenza online: la società KG COM sanzionata con una multa di 150.000 euro
La CNIL ha imposto una multa di 150.000 euro alla società KG COM per inosservanza del GDPR e della legge sulla protezione dei dati. In particolare, questa società ha raccolto dati eccessivi, nonché dati sensibili senza previo ed esplicito consenso , e non ha garantito sufficientemente la sicurezza dei dati.
Il contesto
La società KG COM gestisce diversi siti Web per offrire ai propri clienti consulenze di chiaroveggenza tramite un’interfaccia di dialogo online ( chat ) o per telefono. A seguito della pubblicazione nel 2020 di un articolo di stampa che rivelava l’esistenza di una fuga di dati personali che coinvolgeva l’azienda, la CNIL ha effettuato tre missioni ispettive.
Durante le sue indagini, la CNIL ha rilevato diverse carenze, in particolare per quanto riguarda la registrazione sistematica delle telefonate, la raccolta di dati sanitari e informazioni relative all’orientamento sessuale, la conservazione dei dati bancari senza il consenso della persona, l’obbligo di notificare un dato violazione . Ha inoltre rilevato violazioni delle norme relative ai cookie.
Di conseguenza, il Comitato Ristretto – organo della CNIL preposto a pronunciare sanzioni – ha inflitto due multe a KG COM:
- una multa di 120.000 euro per violazione del Regolamento generale sulla protezione dei dati (GDPR) . Questa multa è stata presa in collaborazione con le controparti europee della CNIL (Belgio, Lussemburgo, Italia, Spagna, Portogallo, Bulgaria, Berlino) nell’ambito dello sportello unico, perché KG COM ha clienti e potenziali clienti da diversi Stati membri di l’ Unione Europea.
- una sanzione di 30.000 euro per la violazione relativa all’uso dei cookie (art. 82 Codice Privacy). In questo caso, la CNIL è competente ad agire da sola.
Al fine di determinare l’importo della sanzione , la CNIL ha tenuto conto del numero particolarmente elevato di violazioni delle norme relative alla protezione dei dati, della sensibilità dei dati personali in questione (dati sanitari, informazioni sull’orientamento sessuale) e del numero di persone coinvolte.
Ha inoltre preso in considerazione la situazione finanziaria della società, che ha presentato un risultato netto negativo per l’anno 2020 dopo un calo significativo del suo fatturato negli ultimi anni, e ha tenuto conto della struttura della società, che impiega solo pochi dipendenti, di trattenere una multa dissuasiva ma proporzionata .
Le principali violazioni sanzionate
Una violazione dell’obbligo di minimizzare i dati personali raccolti e utilizzati (articolo 5.1.c del GDPR)
La società ha sistematicamente registrato tutte le telefonate intercorse tra operatori telefonici e prospect, nonché tra chiaroveggenti e clienti, ai fini del monitoraggio della qualità del servizio, della prova della sottoscrizione del contratto e nella prospettiva delle richieste giudiziali.
Sebbene l’azienda abbia ora cessato le consultazioni chiaroveggenti telefoniche, e quindi le registrazioni telefoniche, non ha tuttavia dato alcuna giustificazione, per il passato, circa la necessità di registrare sistematicamente tutte le conversazioni a tali fini.
Una violazione dell’obbligo di avere una base giuridica per l’utilizzo dei dati bancari (articolo 6 del GDPR)
La società conserva le coordinate bancarie dei propri clienti, oltre il tempo strettamente necessario all’effettuazione della transazione, ai fini del contrasto alle frodi e per facilitare l’acquisto di nuove consulenze veggenti da parte dei clienti.
Se la base giuridica per la conservazione dei dati bancari ai fini della lotta alle frodi è il legittimo interesse, ciò non vale per la conservazione per successivi acquisti, per i quali la società avrebbe dovuto ottenere il consenso delle persone.
Una violazione dell’obbligo di ottenere il consenso prima della raccolta di categorie particolari di dati (articolo 9 del GDPR)
Durante i consulti, i clienti possono comunicare dati relativi al proprio stato di salute e al proprio orientamento sessuale, che vengono annotati su schede custodite dai veggenti.
La società dovrebbe aver ottenuto il preventivo ed esplicito consenso dei clienti al trattamento dei loro dati sensibili. Il semplice desiderio di ricevere servizi di chiaroveggenza e di fornire spontaneamente informazioni sensibili non può essere considerato come consenso esplicito. La società avrebbe inoltre dovuto fornire una specifica informativa sulla raccolta dei propri dati sensibili.
Una violazione dell’obbligo di garantire la sicurezza dei dati (articolo 32 del GDPR)
La società ha implementato password non sufficientemente complesse per gli account utente e non ha protetto l’accesso al sito Web www.voyance-en-direct.tv utilizzando il protocollo HTTP anziché il protocollo HTTPS, esponendo quindi i dati al rischio di attacchi informatici o perdita di dati.
Utilizzava anche un meccanismo di crittografia dei dati bancari che presentava vulnerabilità.
Una violazione dell’obbligo di notificare le violazioni dei dati alla CNIL (articolo 33 del GDPR)
La società è stata informata il 29 settembre 2020 di essere stata oggetto di una violazione dei dati da parte di un giornalista che le ha fornito un campione del suo database. Tuttavia, la società non ha notificato alla CNIL la violazione dei dati . Ha ritenuto di non poter constatare la violazione a causa della chiusura del proprio server e della mancata memorizzazione dei log di connessione ( log ) al server da parte del proprio subappaltatore .
Tuttavia, la società potrebbe identificare la violazione dei dati confrontando i dati campione forniti dal giornalista con il proprio database. La società, in qualità di titolare del trattamento, aveva l’obbligo di notificare la violazione dei dati anche se causata da un errore del responsabile del trattamento.
Una violazione degli obblighi relativi all’uso dei cookie (articolo 82 del Codice Privacy)
La CNIL ha inizialmente notato l’assenza di un banner informativo relativo ai cookie e il deposito di tre cookie sul terminale dell’utente senza il suo consenso e non appena è arrivato sul sito. La società ha quindi istituito un banner informativo, ma che non ha reso facile rifiutare il deposito dei cookie quanto accettarli.
Durante la procedura, la società ha installato un banner informativo in conformità con i requisiti della CNIL e ha smesso di depositare cookie soggetti a consenso senza aver ottenuto il consenso degli utenti.
Fonte: CNIL