Ho trovato molto interessante il provvedimento (n°10025835) del Garante della Privacy che ha affrontato una situazione, purtroppo, molto comune: l’invio di e-mail promozionali indesiderate “urbi et orbi”, la mancanza di una corretta gestione/aggiornamento tecnico del proprio e-commerce e il non rispetto del GDPR.
Vediamo nel dettaglio il “caso Rossi Carta srl” e del suo e-commerce https://www.rossicarta.it
Invio di e-mail promozionali indesiderate: un errore costoso!
Il punto di partenza di questa storia è stato il reclamo presentato da un comune cittadino (si, proprio il classico “Mario Rossi”…) che, nonostante non avesse mai espresso il consenso, ha iniziato a ricevere email promozionali dalla Rossi Carta.
Non solo l’azienda ha inviato queste comunicazioni senza la dovuta autorizzazione, ma non è stata in grado di rispondere tempestivamente e in modo esaustivo alle richieste di chiarimento e cancellazione dei dati del reclamante.
In un’epoca in cui la protezione dei dati personali è cruciale tanto per i consumatori quanto per le normative tale comportamento ha esposto l’azienda a sanzioni rilevanti.
Il GDPR stabilisce che il consenso per l’invio di comunicazioni commerciali deve essere chiaro, informato e specifico.
La sicurezza dei dati: un CMS obsoleto e le sue conseguenze
Un altro aspetto critico emerso durante l’istruttoria del Garante della Privacy riguarda l’utilizzo di una versione obsoleta del CMS (Content Management System) Prestashop (la 1.7.6, rilasciata nel 2019) con cui è stato sviluppato www.rossicarta.it.
Nonostante fossero disponibili aggiornamenti di sicurezza già da diversi mesi, l’azienda ha continuato a utilizzare una versione vulnerabile del software, esponendo i dati personali dei propri clienti a rischi significativi.
Le conseguenze di questa negligenza non si sono fatte attendere: accessi non autorizzati ai sistemi dell’azienda e problemi di deindicizzazione del sito sui motori di ricerca, con un impatto diretto sulle operazioni di e-commerce (e sul fatturato ovviamente).
L’uso di software (CMS, plugin, temi, ecc) non aggiornati non solo espone a rischi di sicurezza, ma può anche compromettere la funzionalità e l’affidabilità del sito web, elementi fondamentali per qualsiasi attività online.
Rispettare il GDPR!
Il GDPR impone alle aziende l’obbligo di proteggere i dati personali con misure tecniche e organizzative adeguate, e di notificare tempestivamente eventuali violazioni dei dati personali al Garante.
Nel caso di Rossi Carta, la mancata notifica del data breach e l’incapacità di dimostrare di aver adottato misure adeguate per prevenire tali incidenti hanno portato a ulteriori contestazioni da parte dell’Autorità.
Questo caso sottolinea l’importanza per tutte le attività, indipendentemente dalla loro dimensione o settore, di prendere sul serio il GDPR: non basta trattare i dati con superficialità o sperare che eventuali problematiche passino inosservate!
Le aziende devono essere proattive nella gestione della sicurezza dei dati e pronte a rispondere a qualsiasi evento imprevisto in modo rapido ed efficace.
Una lezione da imparare.
La storia di Rossi Carta è un monito per tutte le imprese che operano online.
Mantenere i sistemi aggiornati, gestire correttamente i dati personali e rispettare le normative sulla privacy non sono semplici raccomandazioni ma obblighi legali che, se ignorati, possono avere conseguenze molto serie oltre che onerose: in questo caso la sanzione è stata di 30.000,00 € (si TRENTA mila non tremila…)
Per evitare di incorrere in situazioni simili, si deve:
- Aggiornare regolarmente i propri sistemi:
L’utilizzo di software obsoleti rappresenta un rischio significativo per la sicurezza dei dati. - Ottenere e gestire il consenso correttamente:
L’invio di comunicazioni promozionali deve essere basato su un consenso chiaro e documentabile. - Rispettare il GDPR:
Implementare misure adeguate per proteggere i dati personali e notificare tempestivamente eventuali violazioni.
Curioso, per non dire altro, che, nel momento in cui sto scrivendo, il CMS su rossicarta.it non sia stato ancora aggiornato…
