Logo adSalsa

marco maglio 2Gentile Avvocato,

ho francamente qualche limite nell’interpretazione della legge. Gestisco un sito e-commerce attraverso il quale vendiamo prodotti per la cura e il benessere della persona, dalla cosmetica ai sanitari, ai contraccettivi, ecc. I dati che memorizziamo nel database sono gli indirizzi di spedizione e fatturazione, il codice fiscale, indirizzo e-mail, telefono e prodotti acquistati. Non capisco se vendere uno shampoo antiforfora significa acquisire dati sulla salute dell’acquirente.. Inoltre il database fisicamente non è nella nostra sede in quanto abbiamo acquistato un servizio annuale che prevede piattaforma web già pronta.

Tra l’altro, leggo sulla 196/2003:

Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato; non è il caso di una vendita?

Secondo lei come dobbiamo comportarci nei confronti del Garante della Privacy?Grazie mille e complimenti per il blog.

Cordialmente,

M. V.

L’ESPERTO RISPONDE AL VOSTRO QUESITO:

“Gentile M.,

per fornirle indicazioni pratiche, pur senza conoscere i dettagli della vostra attività, posso dirle che l’acquisizione di dati inerenti l’acquisto di prodotti destinati a chi presenta patologie o affezioni che riguardano in senso lato la salute non comportano il trattamento di dati sensibili per fini di marketing. Quindi le confermo che potete commercializzare tali prodotti a distanza, rispettndo ovviamente le norme che regolano tale attività, senza dovervi preoccupare di acquisire un consenso in forma scritta, come è previsto per l’utilizzo di dati sensibili. Dovrete solo prevedere che nel form che la persona compila per ordinarvi il prodotto sia presente un’informativa che chiarisca bene chi tratta è dati e per quali finalità (oltre ai contenti che sono elencati nell’articolo 13 del D.lgs 196/2003). Le confermo che ai sensi dell’articolo 24 da lei citato non occorre invece acquisire il consenso del cliente se i dati verranno usati esclusivamente per dare esecuzione all’ordine ricevuto. Se le finalità di utilizzo sono anche altre (ad esempio l’invio di generici messaggi promozionali pur se non connessi a portatori di specifiche patologie) occorrerà valutare se sia necessario chiedere un consenso specifico – in relazione al tipo di strumento di comunicazione utilizzato (le regole infatti variano a seconda del canale di comunicazione – telefono, posta elettronica, posta ordinaria – usato per contattare le persone)

Diverso è il caso in cui, attraverso questionari o domande dirette, invece vogliate raccogliere direttamente questo tipo di dati (cioè le affezioni e gli stati patologici delle persone) per compiere attività di marketing. In tal caso dovreste disporre del consenso scritto dell’interessato e dell’autorizzazione del Garante che, peraltro, fin dal 2000 ha espressamente precisato che i dati sensibili non possono essere usati per attività di direct marketing nemmeno in presenza di un consenso espresso degli interessati.

In definitiva curi che nel suo sito sia presente una adeguata informativa (che oltre agli elementi sopra indicati chiarisca i criteri di raccolta di eventuali dati di navigazione mediante l’uso di cookies) ed eviti di usare i dati relativi alla salute dei suoi clienti che può desumere dagli acquisti effettuati per profilarli e inviare loro offerte su prodotti specifici che riguardano tali affezioni.

Questo per dare indicazioni di carattere estremamente generale rispetto al suo quesito. Data la delicatezza dell’attività di e-commerce che svolgete è po consigliabile che verifichiate in dettaglio ed in concreto il rispetto delle norme che regolano la vendita di prodotti afferenti alla cura della persona e a portatori di particolari affezioni e gestire adeguatamente gli adempimenti inerenti l’adozione di adeguate misure di sicurezza informatica e organizzative (in particolare per quanto riguarda la nomina degli eventuali responsabili e incaricati del trattamento dei dati e dell’amministratore di sistema).

Cordiali saluti

Avvocato Marco Maglio