Quali sono gli articoli del GDPR “violati” da Vinted in una sola frase

Prima di partire con questo approfondimento, occorre fare un inciso: quel che appare distopico all’interno del sito “italiano” di Vinted (ma anche in quello francese) è la doppia versione dei fatti. Da una parte la privacy policy (il documento principale) in cui si fa un ampio riferimento al Regolamento Europeo sulla Protezione dei dati personali; dall’altra i “termini e condizioni” in cui, oltre a non citare mai il GDPR, compare una frase non solo ambigua, ma che va anche in una direzione contraria rispetto alle norme UE e alla stessa politica sulla privacy che la piattaforma dice di applicare (ecco spiegato il motivo delle “violati” virgolettato nel titolo).

LEGGI ANCHE > La multa dell’Agcm a Vinted perché i costi delle operazioni erano diversi da quelli presentati agli utenti

Una premessa doverosa perché qui non stiamo parlando e accusando Vinted di aver violato direttamente il GDPR, ma di come la scelta “comunicativa” (le virgolette sono d’obbligo, visto che non si tratta di un testo di letteratura) non possa far altro che generare confusione sulle liceità del trattamento dei dati da parte dell’azienda lituana famosa per la vendita di prodotti di “seconda mano”. Sta di fatto che, come noto, gli utenti quando si iscrivono a una piattaforma non leggono tutto ciò che devono leggere e qualora qualcuno decidesse di scrutare con attenzione il capitolo “Termini e condizioni” si troverebbe di fronte a un enorme controsenso. Non in linea con il Regolamento europeo.

Il giallo della frase «a tuo rischio e pericolo»

La frase contestata (e contestabile) appare all’interno del capitolo 5 dei “Termini e condizioni”, quello relativo al «Come utilizziamo i dati che condividi con noi». Lì, infatti, è scritto:

«Ci adoperiamo con impegno per proteggere i tuoi dati personali, ma anche le misure di sicurezza più efficaci non sono sempre in grado di prevenire gli attacchi informatici e garantire che terzi non autorizzati non trovino il modo di accedere ai tuoi dati personali. Pertanto, ti invitiamo a considerare quali dati personali o altre informazioni ci fornirai, poiché lo fai a tuo rischio e pericolo». 

A tuo rischio e pericolo sembra una frase tratta da un film. Un qualcosa che non può essere concretamente applicabile al principio del trattamento dei dati personali degli utenti. Almeno in Europa. Perché il titolare del trattamento dei dati è il responsabile della gestione della sicurezza di quei dati stessi e, qualora ci fosse un attacco informatico in grado di provocare un data breach, è sua la responsabilità. Non dell’utente che, quindi, non ha il dovere di valutare il rischio e il pericolo. Deve essere la piattaforma a garantire che i sistemi di protezione funzionino correttamente.

Vinted, le violazioni del GDPR nei “termini e condizioni”

Ed è qui che, al netto della presenza di un’altra pagina dedicata alla privacy policy in cui si parla apertamente del GDPR (con gli annessi riferimenti al rispetto di questo Regolamento, necessario per poter operare correttamente in Europa), l’esperto DPO Christian Bernieri ha messo in evidenza come si palesino diverse violazioni al Regolamento UE sulla protezione dei dati personali in una sola frase.

Con una sola frase si violano diversi principi del #GDPR:

Privacy By design
Principio di correttezza e buonafede
Principi di limitazione delle finalità
Principio di minimizzazione dei dati
Principio di integrità e riservatezza

Praticamente tutto l’art 5 e 25 del GDPR

Prosit

— Christian Bernieri – DPO (@prevenzione) January 3, 2024

Si parte dall’articolo 5 del GDPR che – come spiega anche il sito del Garante Privacy italiano – si occupa dei princìpi generali del trattamento dei dati personali. Nello specifico, quella sola frase «a tuo rischio e pericolo» (che va in direzione opposta rispetto all’obbligo di consentire questo trattamento per utilizzare Vinted) va contro:

• liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato;
• limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati;
• minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
• integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.

In particolare, quest’ultimo aspetto è il più interessante: il titolare del trattamento dei dati (in questo caso la piattaforma, Vinted) deve garantire la sicurezza dei dati raccolti. E non può “lavarsene le mani” lasciano in capo all’utente iscritto “i rischi e i pericoli”).

Ma c’è anche un’altra possibile violazione del GDPR, quella relativa all’articolo 25 del Regolamento Europeo sulla protezione dei dati personali, quello che si occupa della “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”. Si parla, per l’esattezza, dei concetti di “Privacy by design” e “Privacy by default” che vengono spiegati così:

«Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici». 

La sicurezza dei dati è un obbligo per il titolare del trattamento, fin dalla progettazione. Dunque, non si può lasciare nelle mani dell’utente il “rischio e pericolo“.