I precedenti: le denunce e le indagini dell’EDPB per la richiesta di documento per sbloccare i fondi
Un team composto da diversi garanti della privacy, tra Lituania, Polonia e Francia, ha esaminato già in passato alcune presunte forzature sul trattamento dei dati personali da parte di Vinted
05/01/2024 di Gianmichele Laino
A dare una scossa al tentativo di Vinted di cambiare i propri termini e condizioni di utilizzo relativamente anche ai dati personali degli utenti e al loro trattamento, c’è stato sicuramente anche tutto ciò che – dal 2021 in poi – è stato esaminato da diversi garanti della privacy di alcuni Paesi europei, sotto la guida e il coordinamento dell’EDPB ovvero l’European Data Protection Board. Nel 2021, infatti, i garanti di Lituania, Francia e Polonia hanno dovuto affrontare una serie di segnalazioni degli utenti relative a una pratica diffusa su Vinted (la società ha sede in Lituania, dunque capo-fila di questa operazione è stata proprio l’autorità del Paese baltico): si trattava della scansione, da parte degli utenti, del proprio documento d’identità come condizione necessaria per sbloccare le somme di denaro ricevute dalla vendita dei loro capi d’abbigliamento.
LEGGI ANCHE > Quali sono i numeri di Vinted in Italia e in Europa
EDPB e Vinted, i precedenti con il trattamento dei dati personali da parte degli utenti
Inoltre, a essere stati esaminati da questo gruppo di lavoro – in un lungo periodo di analisi – sono state anche le politiche che portavano Vinted a bloccare un account (prendendo in esame i relativi criteri stabiliti per effettuare questa particolare operazione) e – in generale – la conservazione e le finalità di trattamento dei dati personali. Il problema più grave, tuttavia, era quello della scansione del documento d’identità.
Uno dei principi fondamentali del GDPR – il regolamento per la tutela dei dati personali vigente nell’Unione Europea – è proprio quello di richiedere alle aziende titolari del trattamento dei dati personali di rispettare i principi di proporzionalità per la loro diffusione e, soprattutto, per minimizzare il più possibile le informazioni necessarie alle varie operazioni che costituiscono il core business delle stesse aziende. Per fare un esempio legato al caso in specie, agli utenti che hanno effettuato le segnalazioni non sembrava proporzionale scansionare l’intero documento d’identità semplicemente per sbloccare delle cifre a loro dovute (il core business di Vinted è quello di mettere in connessione delle persone per la compravendita di capi d’abbigliamento usati). La scansione di un documento d’identità, infatti, oltre ai dati necessari per confermare l’operazione prevedeva anche la condivisione di un sacco di informazioni non necessarie alla stessa.
All’epoca dei fatti, tuttavia, Vinted aveva contrapposto la propria obiezione: non era lei a chiedere la scansione, ma l’operatore di pagamenti digitali a cui si appoggiava (ovvero Adyen). In ogni caso, l’intervento dei garanti della privacy si è reso necessario, sotto il coordinamento dell’autorità europea.