Dopo aver incorporato tre società, la catena di profumerie Douglas Italia Spa avrebbe trattenuto i dati personali dei clienti senza richiedere il consenso: questa l’accusa per cui il Garante privacy italiano ha disposto una sanzione da un milione e quattrocentomila euro nei confronti dell’azienda, per violazione della normativa in materia di protezione dei dati. In particolare durante l’ispezione, svolta con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, è emerso che Douglas conservava i dati di circa tre milioni e trecentomila clienti delle precedenti tre aziende inglobate.
Meta, sanzione da 265 milioni per fuga di dati: violati i principi di privacy by design e by default
Indice degli argomenti
Sanzione a Douglas Italia, l’antefatto
L’inchiesta del Garante è partita dopo una segnalazione del 5 novembre 2020 da parte di una donna. La signora ha spiegato all’autorità “di aver presentato, in data 3 agosto 2020, un’istanza a Douglas Italia”, ai sensi degli artt. 15-22 del GDPR, come si legge nell’0rdinanza del Garante. Non avendo avuto riscontro, ha contattato il Garante privacy.
Douglas ha risposto alla richiesta di informazioni da parte del Garante il 24 febbraio 2021, spiegando che il trattamento dati dell’interessata “trova(va) la sua base giuridica nell’adesione della stessa (interessata) al c.d. programma fidelity Douglas” e di aver chiesto alla stessa “consensi liberi e specifici per le finalità diverse da quelle contrattuali e para-contrattuali”, precisando che “nell’impostazione di tale raccolta di dati l’eventuale diniego dell’interessato a siffatte finalità non avrebbe precluso l’attivazione della Card Douglas e di partecipare alle iniziative ad essa correlate”. Douglas ha anche fornito un “Modulo di aggiornamento dell’autorizzazione e del consenso al trattamento dati personali per l’utilizzo della Douglas Card, sottoscritto dalla reclamante in data 5 agosto 2019 presso una Profumeria Douglas, in occasione dell’operazione di cambio card ovvero passaggio dalla vecchia fidelity card” di una società del gruppo alla nuova.
L’azienda ha anche spiegato di aver “tempestivamente agito per l’esercizio dei diritti dell’interessata a seguito della ricezione del reclamo” e di non aver ricevuto la precedente comunicazione del 3 agosto 2020, confermando “sia la revoca dei consensi che la contestuale cancellazione dai sistemi gestionali Douglas dei dati dell’interessata”. Tuttavia, il Garante privacy ha ritenuto di dover approfondire la gestione della società delle istanze degli interessati e i trattamenti dati per marketing e profilazione. Così tra novembre e dicembre 2021 sono scattate le ispezioni.
Le violazioni contestate
Dalla verifica del Garante e delle Fiamme gialle è emerso innanzitutto che la mancata risposta all’istanza della signora è risultato essere un episodio isolato, “a fronte di una gestione delle istanze degli interessati, che, di regola, può definirsi corretta e tempestiva”. Tuttavia, l’autorità ha rilevato possibili violazioni:
- riguardo al trattamento dei dati personali tramite app Douglas, è stato riscontrato che in relazione alla configurazione dell’app “sono emersi i presupposti della violazione dell’art. 7 del Regolamento, in quanto viene raccolto un consenso, in una forma che non può considerarsi né libera né specifica, per diverse finalità non contrattuali, come il marketing della Società, quello di soggetti terzi e la profilazione. Di conseguenza, in via strettamente correlata, le prospettate attività di trattamento in questione sono risultate prive di base giuridica, in violazione dell’art. 6 del Regolamento”, scrive il Garante nell’ordinanza.
- Riguardo al trattamento dei dati dei clienti delle aziende inglobate nel nuovo gruppo, il Garante ha riscontrato che Douglas “ha provveduto a sostituire -limitatamente ai clienti, delle tre società acquisite, che si siano presentati e si presentino nei punti vendita Douglas e che abbiano liberamente scelto di aderire al programma di fedeltà- le fidelity card”, scrive il Garante. La Società ha fornito lo stesso modulo con identiche informative e gli stessi consensi rispetto a quello attualmente in uso, “considerando non più validi i consensi eventualmente acquisiti dalle preesistenti Società. Douglas non ha dimostrato di aver traccia di tali consensi, al pari delle informative al tempo eventualmente rilasciate agli interessati nonché dell’origine e del canale di raccolta utilizzato al tempo dalle tre società, motivando detta lacuna con la creazione di un unico data base mediante fusione delle banche dati delle società in questione”. Il Garante ha dunque rilevato, “considerato che la Società non ha dato seguito alle richieste dell’Autorità riguardo alla suindicata documentazione, non riuscendo così a comprovare la dinamica (a partire dalle modalità di raccolta dei dati) dei trattamenti svolti dalle Società acquisite, unitamente ai rispettivi database, nè se e come gli adempimenti dell’informativa e del consenso siano stati assolti dalle medesime, sono stati ravvisati i presupposti della violazione degli artt. 5, par.2 e 24, del Regolamento (principio di accountability)”.
- Conservazione dati dei clienti che non hanno rinnovato la fidelity card: circa tre milioni e trecentomila clienti. Per il Garante “considerata la notevole massa dei dati in questione e l’attuazione meramente eventuale della finalità sostituiva sopra indicata, l’Ufficio ha rilevato i presupposti della violazione dei ‘principi di finalità e limitazione della conservazione’, ai sensi dell’art. 5, par.1. lett. b) ed e), del Regolamento”.
- Il Garante ha anche individuato un’incongruenza tra la pratica e l’informativa rilasciata agli interessati, “è stata ritenuta contestabile la violazione dell’art. 13, par. 2, lett. a), del Regolamento, in stretta connessione con la presunta violazione di cui al precedente punto C)”, scrive l’autorità.
- Il Garante ha accertato che “se l’interessato ha prestato il consenso ai soli sms promozionali, in realtà potrebbe ricevere anche telefonate promozionali, e viceversa“, situazione che ha portato a contestare “gli artt. 5, par.2 e 24, del Regolamento (accountability) nonché, in via strettamente connessa, l’art. 25, par.1, del Regolamento (privacy by design)”.
- Riscontrate anche irregolarità relative al blog aziendale.
Le richieste del Garante privacy
Poiché la società, che è nata nel 2019, aveva incorporato tre aziende del settore, dovrà adottare una serie di misure per conformarsi alle norme italiane e UE relative, scrive il Garante nella sua nota ufficiale, “ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione”.
Gli interventi sull’app aziendale
La società dovrà dunque apportare modifiche all’appDouglas, “una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite”, spiega chiaramente il Garante.
Libertà di espressione del consenso
I clienti dovranno avere la possibilità di esprimere un consenso “libero e specifico per le diverse attività”, tra cui il marketing della società, marketing di soggetti terzi e profilazione.
Cancellazione dei dati trattenuti troppo a lungo e pseudonimizzazione degli altri
Douglas dovrà inoltre eliminare i dati che risalgono a oltre dieci anni fa, a eccezione del caso di contenziosi in corso, e cancellare o pseudonimizzare quelli più recenti. Se opterà per la pseudonimizzazione, Douglas dovrà indicarlo sul proprio sito e informare i clienti che se non rinnoveranno la fidelity card entro sei mesi i loro dati saranno cancellati. Quando rinnoveranno la fidelity card, i clienti potranno avere la possibilità di esprimere il proprio consenso al trattamento dei dati.
La società inoltre dovrà adottare idonee soluzioni per un’adeguata conservazione dei dati dei clienti.