La nota barretta di cioccolato ripiena di cocco essiccato non c’entra nulla. Bounty (UK) Ltd è un’azienda inglese che – specie tramite i propri siti web e app – si propone come punto di riferimento per chi desidera avere un figlio, per le persone o le famiglie in transizione verso la genitorialità, e per chi genitore lo è diventato da poco. Bounty è molto famosa nel Regno Unito ed ha qualcosa da offrire per ogni fase chiave della vita genitoriale, dalla gravidanza alla nascita fino all’età prescolare. Gli utenti, specie gestanti e neo mamme, consultano Bounty.com per trovare (o chiedere) suggerimenti, aiuto, rassicurazioni, informazioni e consigli per gli acquisti. Chi si registra accede a servizi dedicati e a comunità online in cui poter condividere problemi, preoccupazioni e dritte con una rete di persone che condividono la stessa condizione.

Pochi giorni fa l’autorità britannica in materia di protezione dati personali – l’Information Commissioner’s Office (ICO) – ha emesso sanzione da £ 400.000 a carico di Bounty (UK) Ltd per aver illecitamente comunicato a terze parti 34,4 milioni di profili riferiti a 14 milioni di iscritti che avevano rilasciato i propri dati tramite registrazione a siti, app, carte fedeltà e anche tramite form sottoposti da addetti della società nei reparti neonatali degli ospedali.

Secondo il provvedimento dell’ICO, la società ha svolto attività da data broker senza informare gli iscritti. Il Il Commissioner Bounty ha, infatti, rilevato che – a loro insaputa– i dati degli utenti erano comunicati a 39 aziende terze tra cui:

• Acxiom, multinazionale che fornisce servizi di profilazione su base individuale strumentali di marketing ed advertisement;
• Equifax, colosso mondiale del credit scoring che – attraverso la raccolta di dati eteorgenei – definisce e rivende informazioni sull’affidabilità economica di milioni di individui;
• Indicia, società specializzata nel digital marketing;
• Sky, il noto marchio di piattaforme televisive satellitari appartenenti alla News Corporation di Rupert Murdoch.

La condivisione è stata giudicata illecita per l’assenza di trasparenza verso gli interessati e per la mancata raccolta di un loro valido consenso specifico a cotanto data sharing.

Nel decidere l’ammontare della sanzione, l’ICO ha considerato che:

• la condivisione con terze parti è avvenuta secondo un business model della società che prevedeva la generazione di introiti basati sulla vendita di dati personali;
• mai, nella storia delle proprie investigazioni, è stato riscontrato un numero così alto di profili impropriamente condivisi con terze parti;
• le informazioni personali indebitamente comunicate ai partner commerciali non erano solo riferite a soggetti da considerarsi potenzialmente vulnerabili, quali future madri o neo mamme, ma anche a bambini molto piccoli con indicazione di data di nascita e sesso.

Ragioni sufficienti per comminare una multa da 400 milioni di sterline ai sensi del Data Protection Act del 1998 che prevedeva un massimale da 500 milioni. Bounty ha ammesso le proprie colpe e collaborato con l’Autorità tanto da rivedere le proprie politiche di business e riformulare le proprie privacy policy prima dell’entrata in forza del GDPR. Una mossa di buon senso, anche perché se la violazione ora sanzionata fosse stata rilevata dopo il 25 maggio 2018, l’ICO avrebbe dovuto considerare i parametri edittali del nuovo Regolamento europeo e potuto riservare al contravventore una pena pecuniaria ben più pesante.