Garante privacy su fidelity card: multa gruppo Rinascente

È costato caro, al Gruppo Rinascente, un alterco scoppiato tra una dipendente addetta alle vendite presso il negozio di Milano ed una cliente. A seguito di un litigio nel negozio, infatti, la dipendente avrebbe annullato la fidelity card che da anni era intestata alla cliente e ne avrebbe emessa un’altra (non richiesta e non autorizzata, quindi con illecito trattamento dei dati personali) con la poco lusinghiera intestazione “donzella svampita”. La cliente non c’è stata ed ha segnalato all’Autorità Garante per la Protezione dei dati personali il trattamento illecito dei suoi dati.
Per approfondimenti consigliamo: I ricorsi al Garante della privacy -I diritti, i doveri e le sanzioni

Indice

1. La vicenda


La segnalazione ha dato il via ad un accertamento condotto dal Nucleo Speciale Privacy e Frodi Tecnologiche della Guardia di Finanza, il quale ha scoperto che oltre alle violazioni dei principi di integrità e riservatezza, correttezza e liceità, erano presenti altre inosservanze della normativa sulla tutela dei dati personali.
Questa nuova sanzione dimostra come il panorama relativo alla tutela dei dati personali sia sempre più in fermento e come non solo gli “addetti ai lavori”, ma anche i cittadini interessati si stiano sempre più rendendo conto di avere per le mani un patrimonio milionario rappresentato per l’appunto dalle proprie informazioni personali.
All’esito dell’istruttoria, l’Autorità Garante per la Protezione dei Dati Personali ha inflitto al Gruppo Rinascente una pesante multa di 300.000 euro per diverse violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR). Questa sanzione segue di poco la precedente multa di 240.000 euro inflitta al Gruppo Benetton, anch’essa riguardante il trattamento improprio di dati personali legati alle fidelity card, il che dimostra come sia necessario per i grandi gruppi di retail adeguare le proprie politiche di marketing alla normativa sul trattamento dei dati.

2. Le violazioni riscontrate


Tra le principali irregolarità riscontrate, si è appurato che nell’informativa relativa alla fidelity card denominata “friends card”, non erano stati indicati i tempi di conservazione dei dati per finalità di marketing e profilazione; peraltro, analoga contestazione era stata alla base della sanzione al gruppo Benetton, il che non può non farci riflettere sull’importanza dell’indicazione di una chiara e trasparente retention policy e sull’esigenza, una volta indicata, di rispettarla. I dati non si possono conservare per sempre, con buona pace di tutti.
Inoltre, è emerso che l’attività di profilazione svolta tramite il sito di e-commerce del Gruppo Rinascente era ad ampio raggio, ma non era stata predisposta alcuna procedura di valutazione d’impatto (Data Protection Impact Assessment) come prescritto dal GDPR. Questo vuol dire che la società non aveva adeguatamente considerato le possibili conseguenze negative per i diritti e le libertà fondamentali dei clienti derivanti da tali attività di profilazione.
Un’altra irregolarità consisteva nell’inoltro degli indirizzi e-mail dei clienti della Rinascente alla società americana Facebook-Meta senza che questa pratica fosse adeguatamente segnalata nell’informativa privacy (peraltro, il trasferimento dei dati verso gli Stati Uniti è pratica che fino alla scorsa settimana era altamente rischiosa e in linea di principio vietata, situazione che è cambiata solo dopo l’approvazione della decisione di adeguatezza della commissione europea sul Privacy framework)

3. I principi del GDPR in gioco


Le violazioni riscontrate e contestate al Gruppo Rinascente si ricollegano a diversi principi fondamentali del general data Protection Regulation 679/2016.
Tra questi:

  • l’art. 5, che richiede che i dati personali siano trattati in modo lecito, corretto e trasparente, garantendo la limitazione delle finalità e la minimizzazione dei dati;
  • l’art. 6, che sancisce le basi giuridiche del trattamento, che devono essere adeguate e specifiche;
  • l’art. 13, che stabilisce l’obbligo per i titolari del trattamento di fornire agli interessati informazioni chiare e trasparenti sul trattamento dei propri dati,
  • l’art. 30, che riguarda l’obbligo per il titolare del trattamento di effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) quando il trattamento, in particolare l’utilizzo di nuove tecnologie, può comportare un rischio elevato per i diritti e le libertà degli interessati.

La mancanza di indicazioni chiare riguardo ai tempi di conservazione dei dati, l’omissione di informazioni sul trattamento dei dati da parte di Facebook-Meta e l’assenza di una DPIA in relazione all’attività di profilazione rappresentano gravi violazioni del GDPR.
L’Autorità Garante ha imposto alla Rinascente di definire tempi differenziati di conservazione dei dati, distinguendo tra trattamenti a fini di marketing e trattamenti a fini di profilazione. Inoltre, è stata prescritta la cancellazione o anonimizzazione dei dati che dovessero risultare conservati al di là dei termini stabiliti.
La decisione dell’Autorità Garante di infliggere una sanzione di 300.000 euro è stata basata su vari fattori. Innanzitutto, il numero considerevole di soggetti coinvolti dalle violazioni, con più di 2.000.000 di persone risultate iscritte presso i negozi o online, ha contribuito a definire l’importo della multa. La durata delle violazioni e la capacità economica della Società sono stati anche considerati nel calcolo della sanzione.
Tuttavia, è importante notare che il Garante ha riconosciuto alcune attenuanti nella valutazione della multa. La mancanza di precedenti procedimenti a carico della Società è stata presa in considerazione, insieme alla tempestiva adozione di misure correttive da parte della Rinascente dopo la scoperta delle violazioni. Inoltre, la grave crisi socioeconomica in atto ha influito sulla determinazione dell’importo della sanzione.
In conclusione, possiamo affermare che la multa di 300.000 euro inflitta al Gruppo Rinascente per la violazione del GDPR in relazione alle fidelity card rappresenti un segnale importante per tutte le aziende che trattano dati personali in qualsiasi ambito esse si trovino ad operare.
Il rispetto dei principi di integrità e riservatezza, correttezza e liceità, nonché l’aderenza alle disposizioni del Regolamento Europeo riguardo alle informazioni fornite agli interessati e alle procedure di valutazione d’impatto sono fondamentali per garantire la protezione dei dati personali e evitare sanzioni severe.
Le aziende non possono più permettersi di sottovalutare la tutela della privacy dei propri clienti bollandola come “una seccatura burocratica”, ma al contrario adoperarsi proattivamente per adottare tutte le misure necessarie per conformarsi alle leggi e ai regolamenti in materia di protezione dei dati. Solo così potranno instaurare un rapporto di fiducia con gli utenti e assicurarsi il rispetto dei diritti fondamentali di ognuno di loro.

Volume consigliato

FORMATO CARTACEO

I ricorsi al Garante della privacy

Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.

Michele Iaselli | Maggioli Editore 2022

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento