Condivisione illecita di dati tramite tracking pixel: la Data Protection Authority norvegese sanziona sei siti web

L’Autorità norvegese per la protezione dei dati personali ha concluso un’indagine su sei siti web che utilizzano tracking pixel (piccolissima immagine invisibile, spesso di un solo pixel, incorporata in una pagina web o in un’email, che serve a raccogliere informazioni sugli utenti che visualizzano quella pagina o email) accertando la condivisione illecita di dati personali con soggetti terzi. L’istruttoria, avviata con l’obiettivo di sensibilizzare sull’impiego di tecnologie di tracciamento online, ha portato all’irrogazione di una sanzione amministrativa pari a circa 22.000 euro e a cinque ammonimenti formali.

I siti esaminati – tra cui portali di informazione sanitaria, religiosi, istituzionali e di commercio elettronico – appartengono a enti pubblici e privati.

Il provvedimento si basa sulla violazione di diversi articoli del Regolamento generale sulla protezione dei dati (GDPR), tra cui gli articoli 6, 9, 12 e 13, che disciplinano rispettivamente la liceità del trattamento, la gestione dei dati sensibili, l’obbligo di trasparenza e l’informativa da fornire agli interessati. È emerso che tutti i siti coinvolti hanno reso accessibili a soggetti terzi – senza una valida base giuridica – dati personali degli utenti, compresi dati appartenenti a categorie particolari.

I tracking pixel rappresentano una tecnologia ampiamente utilizzata per fini di marketing e analisi, in grado di raccogliere automaticamente informazioni sull’attività degli utenti, come le pagine visitate, i clic effettuati o gli articoli aggiunti al carrello. Tuttavia, il loro impiego comporta obblighi rigorosi in termini di protezione dei dati, soprattutto quando comporta la trasmissione di informazioni sensibili o riguardanti minori.

L’autorità ha riscontrato gravi carenze anche nell’assolvimento dell’obbligo informativo verso gli utenti. Non è stato fornito un adeguato avviso circa l’utilizzo dei pixel o le modalità del trattamento, contravvenendo agli standard di trasparenza e correttezza richiesti dalla normativa europea.

In esito all’indagine, solo uno dei soggetti coinvolti è stato sanzionato pecuniariamente, mentre gli altri cinque hanno ricevuto un’ammonizione formale. La decisione si inserisce in un più ampio sforzo volto a rafforzare la conformità delle pratiche digitali e promuovere un uso responsabile delle tecnologie di tracciamento, in linea con i principi di tutela dei diritti fondamentali degli utenti.

Approfondimenti:

• Norwegian Press Release: Ulovlig deling av personopplysninger gjennom sporingspiksler hos seks nettsteder
• English Press Release:  Unlawful sharing of personal information through tracking pixels on six websites